Mobilidade Corporativa e os Riscos Trabalhistas · Basta ciência das Políticas e Normativos em vigor da empresa; ... Controles que não invadam a privacidade e a ... Exibir os procedimentos

1

Mobilidade Corporativa e os Riscos Trabalhistas

Webinar 3 – 24.04.2015 Instrutor(a): Caroline Teófilo

2

Autor desconhecido. Fonte Missão Praia da Costa. Disponível em http://www.missaopraiadacosta.com.br/up/wp-

content/uploads/2012/07/gafetrabalho.jpg Acessado em 18.01.2013 às 17:07.

Como está a Sociedade Digital com a Mobilidade:

Ausência de Fronteiras Físicas;

Tempo Real – Conectividade;

Compartilhamento Irrestrito de Informações;

Excesso de Dispositivos Móveis cada vez menores e

mais potentes;

Surgimento de Novos Riscos.

3

Au

tor

Gu

s M

ora

is. F

on

te B

log

Segr

. Dis

po

nív

el e

m h

ttp

://b

log.

segr

.co

m.b

r/w

p-

con

ten

t/u

plo

ads/

20

14

/05

/evo

luca

o_a

rmaz

enam

ento

.jpg

Ace

sso

em

22

.04

.20

15

às

10

h5

6.

4

Au

tor

F/N

azca

e D

ataf

olh

a. F

on

te F

/Naz

ca. D

isp

on

ível

em

htt

p:/

/ww

w.f

naz

ca.c

om

.br/

wp

-co

nte

nt/

up

load

s/2

01

4/1

2/f

rad

ar-1

4_p

ub

lica-

site

.pd

f. A

cess

ado

em

22

.04

.20

15

às

15

h1

6.

Fin

alid

ade

Edu

caci

on

al.

Pesquisa realizada pela F/Nazca em parceria com o Datafolha – Abril/2014

5

Pesquisa realizada pela F/Nazca em parceria com o Datafolha – Abril/2014

Au

tor

F/N

azca

e D

ataf

olh

a. F

on

te F

/Naz

ca. D

isp

on

ível

em

htt

p:/

/ww

w.f

naz

ca.c

om

.br/

wp

-co

nte

nt/

up

load

s/2

01

4/1

2/f

rad

ar-1

4_p

ub

lica-

site

.pd

f. A

cess

ado

em

22

.04

.20

15

às

15

h1

6.

Fin

alid

ade

Edu

caci

on

al.

6

Autor Desconhecido. Fonte: BeeCreative. Disponível em http://www.beecreative.com.br/web-por-dispositivo-movel-ultrapassa-via-computador-no-brasil/. Acesso em 22.04.2015 às 15h26. Finalidade Educacional.

E com o crescente uso dos dispositivos móveis, aumentam os riscos.....

7

Autor Desconhecido. Fonte: MAS RH. Disponível em http://www.msarh.com.br/blog/wp-content/uploads/2015/04/byod.jpg. Acesso em 22.04.2015 às 15h37. Finalidade Educacional

Quais os principais riscos:

• Vazamento de Informações;• Impactos trabalhistas;

• Acesso não autorizado aos ambientes e informações corporativas;

• Dificuldade de integração dos diversos dispositivos com a Área de T.I.;

• Furto, Roubo e Perda dos Dispositivos Móveis;• Risco à infraestrutura Tecnológica.

8

Em Dezembro de 2011 foi sancionada a Lei 12.551, que alterou o Artigo 6° da Consolidação das Leis do Trabalho:

“Art. 6o da CLT - Não se distingue entre o trabalho realizado noestabelecimento do empregador, o executado no domicílio doempregado e o realizado a distância, desde que estejamcaracterizados os pressupostos da relação de emprego.

Parágrafo único. Os meios telemáticos e informatizados de comando,controle e supervisão se equiparam, para fins de subordinaçãojurídica, aos meios pessoais e diretos de comando, controle esupervisão do trabalho alheio.” (NR)

9

Para que esteja configurada a relação de emprego doteletrabalhador, são necessários que existam ospressupostos da relação de emprego que compreendem:

Ser prestado por pessoa física

Pessoalidade Habitualidade Onerosidade Subordinação

Autor Desconhecido. Fonte Static Portal Educação. Disponível em https://static.portaleducacao.com.br/arquivos/imagens_artigos/2112201216201020121219190921emprego1.jpg Acessado em 13.05.2013 às 18:59. Finalidade Educacional.

A alteração do Art. 6º da CLT foi necessária para enfatizar que há subordinação quando estafor exercida por outros meios, que não os presenciais, principalmente a partir da internet edas novas tecnologias.

10

“O uso de aparelho de intercomunicação, a exemplo de BIP, “pager” ou aparelhocelular, pelo empregado, por si só, não caracteriza o regime de sobreaviso, uma vezque o empregado não permanece em sua residência aguardando, a qualquermomento, convocação para o serviço.”

Redação Anterior

Nova Redação

“I - O uso de instrumentos telemáticos ou informatizados fornecidos pela empresaao empregado, por si só, não caracteriza o regime de sobreaviso. II - Considera-seem sobreaviso o empregado que, à distância e submetido a controle patronal porinstrumentos telemáticos ou informatizados, permanecerem regime de plantão ouequivalente, aguardando a qualquer momento o chamado para o serviço durante operíodo de descanso. “

Hora Extra e Sobreaviso – Súmula 428 do Tribunal Superior do Trabalho, publicada em Setembro/2012

11

O que é o Sobreaviso?

Au

tor

Bir

a: F

on

te S

ind

ae. D

isp

on

ível

em

h

ttp

://w

ww

.sin

dae

.org

.br/

db

imag

ens/

d4

e1cb

ad8

79

c75

47

4f9

e4

eaa5

20

c1c6

a.jp

g A

cess

o e

m 2

2.0

4.2

01

5 à

s 1

6h

40

. Fi

nal

idad

e Ed

uca

cio

nal

.

12

“Artigo 244, § 2º da CLT –Considera-se de "sobre-aviso" o empregado efetivo, que permanecer em sua própria casa, aguardando a qualquer momento o chamado para o serviço. Cada escala de "sobre-aviso" será, no máximo, de vinte e quatro horas, As horas de "sobre-aviso", para todos os efeitos, serão contadas à razão de 1/3 (um terço) do salário normal.”

13

SOBREAVISO. USO DE APARELHO CELULAR.

A Corte regional entendeu ser devido o pagamento das horas em sobreaviso (...) a

reclamante era acionada pela reclamada fora do horário de expediente, dando

suporte pelo telefone e, em outros momentos, se deslocando para a sede da

empresa. Do teor da Súmula nº 428 do TST, verifica-se que o mero uso de aparelho

celular, por si só, não caracteriza o sobreaviso, devendo haver a comprovação de

que o empregado, de fato, estava à disposição do empregador.

(TST, RR-276-98.2010.5.05.0007, 2ª Turma, Rel. Min.: José Roberto Freire Pimenta,

d.j.: 16.8.2013)

Jurisprudência

14

Autor desconhecido. Fonte: iPog. Disponível em: http://www.ipog.edu.br/blog/wp-content/uploads/2014/09/seguran%C3%A7a-da-informa%C3%A7%C3%A3o.jpg. Acesso em 10.03.2015 às 15h33. Finalidade educacional.

Não importa de quem é o dispositivo, e sim de quem é a INFORMAÇÃO!

15

Planejar

Estabelecer as Regras

Capacitar e Educar

Gerenciar com

Ferramentas Tecnológicas

Monitorar

Estabelecer Penalidades

Como mitigar os riscos da Mobilidade?

16

O que deve conter em um Normativo para Dispositivos Móveis?

Obrigatoriedade de uso apenas sepreviamente autorizado

Aviso claro e objetivo demonitoramento

Propriedade da Organização dosconteúdos gerados

Obrigação do uso de softwares desegurança

Possibilidade de inspeção Bloqueio automático por senha

Informação clara que a merapossibilidade de acesso remoto, porte,uso ou recebimento de informações daOrganização não caracterizasobrejornada, sobreaviso ou plantão

Dever de uso de software deapagamento remoto do conteúdo daOrganização

Exigência de comprovação expressa derequisição de trabalho

Dever de armazenar conteúdocorporativo na rede da Organização

17

Exceção de responsabilidade da Organizaçãosobre qualquer dano, perda ou extravio dedispositivo móvel particular

Obrigatoriedade do uso de software deapagamento remoto das mensagenseletrônicas da Organização

Dever de utilizar os serviços dearmazenamento em nuvem para transferirarquivos Organização, somente com prévia eexpressa autorização e obedecendo as regrasde criptografia previstas

Recomendação para o colaborador evitararmazenar conteúdo de exposição de vidaíntima sem mecanismos de proteção nosdispositivos móveis particulares

Responsabilidade do colaborador sobreconteúdo, softwares, e suas licenças, quemantiver em seu dispositivo móvel particular

Dever do colaborador de informar quaisquercasos de avaria, dano, defeito, roubo, perda oufurto do dispositivo móvel

Dever do colaborador realizar backup dasinformações geradas, quando não for possívelseu armazenamento na rede

O que deve conter em um Normativo para Dispositivos Móveis?

18

Qual o limite para o monitoramento e a inspeção dos dispositivos particulares e

corporativos?

Autor Desconhecido. Fonte: Promoview. Disponível em http://promoview.com.br/wp-content/uploads/2012/03/MonitoramentoMidiasSociais3.jpg Acesso em 22.04.2015 às 18h49. Finalidade Educacional.

19

Autor Desconhecido. Fonte Mundo Educação. Disponível em http://mundoeducacao.com/upload/conteudo_legenda/c556555bca7d452e38c46df62cd77f26.jpg. Acesso em 22.04.2015 às 19h01. Finalidade Educacional.

Privacidade do Empregado

Poder Diretivo do Empregador

20

O que é Privacidade?

“A privacidade é um dos direitos mais importantes doindivíduo, está protegido pela Constituição Federal de1988, e consiste na habilidade que o mesmo tem decontrolar a exposição de informações sobre sua vidapessoal, sua intimidade, bem como a disponibilidadede dados sobre si mesmo, de retificar, ratificar ouapagar os mesmos, e de proteger a confidencialidadede suas comunicações, seu domicílio, sua imagem,honra e reputação perante terceiros.”

Patricia Peck Pinheiro

21

Em que momento há a expectativa de privacidade?

Não há expectativa deprivacidade;

Basta ciência das Políticas eNormativos em vigor daempresa;

Uso obrigatório paracumprimento das funçõesprofissionais.

Há expectativa de privacidade;

É indispensável a concordânciae autorização paramonitoramento e inspeçãopara mitigação da expectativa;

Uso facultativo.

Dispositivo Móvel Particular

Dispositivo Móvel Corporativo

22

Art. 5º Todos são iguais perante a lei, sem distinção de qualquernatureza, garantindo-se aos brasileiros e aos estrangeiros residentesno País a inviolabilidade do direito à vida, à liberdade, à igualdade, àsegurança e à propriedade, nos termos seguintes:

X - são invioláveis a intimidade, a vida privada, a honra e a imagemdas pessoas, assegurado o direito a indenização pelo dano materialou moral decorrente de sua violação;

XII - é inviolável o sigilo da correspondência e das comunicaçõestelegráficas, de dados e das comunicações telefônicas, salvo, noúltimo caso, por ordem judicial, nas hipóteses e na forma que a leiestabelecer para fins de investigação criminal ou instrução processualpenal.

Constituição Federal

23

Constituição Federal:

Art. 5º (...):

LVI - são inadmissíveis, no processo, as provas obtidas por meiosilícitos;

Código de Processo Civil:

Art. 332. Todos os meios legais, bem como os moralmente legítimos,ainda que não especificados neste Código, são hábeis para provar averdade dos fatos, em que se funda a ação ou a defesa.

Provas que forem produzidas não respeitando as garantias de privacidade serão inadmissíveis e

imprestáveis aos processos.

24

“Cabe acrescentar ainda que a conduta da autora é atípica pois nãose enquadra em nenhuma das hipóteses previstas no art. 482 daCLT. (...). A conduta da reclamante não se insere no conceito demau procedimento, mesmo porque a reclamada não demonstroude forma objetiva como a reclamante teria infringido as normas deuso da correspondência eletrônica, aliás, afirmou em depoimentopessoal prestado à fl. 167 que "ao ser comunicada de sua dispensaa reclamante não tinha ciência da política de e-mails dareclamada”.

(TRT-SP, Recurso Ordinário nº , Rel. Des. Cintia Táffari, pub. em10.8.2007)

Jurisprudência – Ciência das regras previamente

25

Autor Desconhecido. Fonte Sorocaba. Disponível em http://www.sorocaba.com.br/uploads/ti/noticias/1371127718.jpg. Acessado em 22.04.2015 às 19h23. Finalidade Educacional.

Qual a melhor forma de garantir o equilíbrio?

Normas que respeitem a ética, proporcionalidade, utilidade,dignidade e honra;

O que não for permitido, expressamente proibir;

Controles que não invadam a privacidade e a intimidade;

Caso necessário, prever os regimes de exceção e quem irátomar a decisão apropriada (comitê, líder, gestor) e evitar queeles surjam sem a devida cautela.

26

Tanto esclarecido, a reclamada mantém um Código de Ética eConduta: (...) "Utilizar equipamentos e recursos de acesso àinformação, correio eletrônico e internet, para fins nãoautorizados". Há, ainda, norma organizacional denominada de"Política de Acesso à Internet e Correio Eletrônico", (...) que acessoà "internet" será auditado periodicamente (fl. 169), sendoexpressamente vedado ao usuário "Utilizar programas decomputador para receber, manter ou disponibilizar arquivos deconteúdo pornográfico, racista, preconceituoso ou ilegal"

Resta clara, portanto, a impropriedade da conduta do reclamanteque, mesmo ciente das normas organizacionais da empregadoraquanto ao acesso à "internet", desta ferramenta fez uso indevido.(TRT04, RO 0001729-33.2010.5.04.0662, Rel. Des. Hugo CarlosScheuermann, j. em 31.5.2012)

Jurisprudência

27

Monitoramento ou inspeção de dispositivos pessoais

O dispositivo pessoal possui expectativa deprivacidade que somente pode ser mitigada com suapermissão e concordância expressa com as regrasvigentes para monitoramento e inspeção (por Termoespecífico e norma de BYOD) ou por Ordem Judicial.

http://t2.gstatic.com/images?q=tbn:ANd9GcRxixUkmys67gaVhH9gd2-IDO9zBrBAQXUX2FNI_8Wv2nit3MxZINdx9c2VLw

O resultado dessa inspeção deve ser sigiloso, sob pena de danos à privacidade do colaborador.

28

Inspeção de dispositivos pessoais

A necessidade de ordem judicial é essencial quandoo colaborador não autorizar/ ou não houver sidocientificado que para o uso de dispositivos móveispróprios nas dependências do empregador, ou emseu proveito, autoriza expressamente a vistoria dodispositivo.

O resultado dessa inspeção deve ser sigiloso, sob pena de danos à privacidade do colaborador.

http://t2.gstatic.com/images?q=tbn:ANd9GcRxixUkmys67gaVhH9gd2-IDO9zBrBAQXUX2FNI_8Wv2nit3MxZINdx9c2VLw

29


Estabelecer norma com as diretrizes de inspeção e exigir docolaborador declaração expressa de compreensão eautorização antes do recurso pessoal ser utilizado em proveitocorporativo;

Exibir os procedimentos de segurança para Data LossPrevention decorrentes de eventual desligamento aos quaisos recursos pessoais usados em proveito da empresa passarãoantes de começarem a ser utilizados na atividade profissionale exigindo seu expresso entendimento e autorização;

30


Executar busca por palavras-chaves ao invés de exame detodos os conteúdos do dispositivo ou mídia para preservar aprivacidade e intimidade;

Utilizar solução de Data Loss Prevention de modo a executarmonitoramento sobre os dados que interessam à Empresa porsupervisão remota, deixando a inspeção física como exceção;

Prever hipóteses em que o colaborador poderá acompanhar oprocedimento, garantindo sua lisura, transparência elegalidade, assinando termo com a constatação de não abusode direito ou não acesso a dados pessoais não vinculados àatividade.

31

Monitoramento: Os colaboradores estão cientes de que a EMPRESA realiza oregistro e armazenamento de atividades (logs) e monitora seus ambientes físicos elógicos, com a captura de imagens, áudio ou vídeo, inclusive, com a finalidade deproteção de seu patrimônio e reputação e daqueles com os quais se relaciona dealguma forma.

A EMPRESA realiza o armazenamento dos dados monitorados para finsadministrativos e legais, além de colaborar com as autoridades em caso deinvestigação.

Inspeção: A EMPRESA pode realizar, quando necessário, de forma proporcional edentro dos limites da razoabilidade, inspeção em dispositivos próprios, particularesou de terceiros, respeitando a privacidade do proprietário do aparelho e aproteção de seus dados pessoais, sempre em conjunto com a Área de RecursosHumanos.

Exemplos de cláusulas a serem inseridas nas Normas de Segurança da Informação

32

Fonte: http://blog.hotelurbano.com.br/wp-content/uploads/2012/11/Aplicativos-para-viagem.jpg Acessado em 12/09/2014 às 19:00

SEGREDO INDUSTRIAL. COMPROMISSO DE NÃO DIVULGAR. LEGALIDADE1. É vedado ao empregado divulgar o segredo da empresa (a lei não estabeleceprazo para essa vedação); se o empregado divulgar comete falta grave. A proibiçãoalcança o ex-empregado, visto que a rescisão do contrato de trabalho não transferea este o direito de divulgar, explorar ou comercializar a fórmula industrial de queteve conhecimento, ainda que passe a trabalhar para empresa concorrente. 2. Oajuste consistente no compromisso firmado pelo reclamante de não divulgar, nãoexplorar e não utilizar o segredo da fórmula do produto industrial de que temconhecimento guarda perfeita sintonia com o disposto no art. 195, inc. XI, da Lei9.279/1996. Recurso de Revista de que se conhece e a que se dá provimento.

(TST - RR: 1533002120015150093 153300-21.2001.5.15.0093, Relator: EmmanoelPereira, Data de Julgamento: 24/09/2008, 5ª Turma,, Data de Publicação: DJ12/12/2008.)

E se nada der certo....

33

O que fazer caso o colaborador da empresa terceirizada queira acessar remotamente o

seu ambiente lógico?

Autor desconhecido. Fonte: FETT. Disponível em: http://www.fett.com.br/resources/Photoxpress_4418365.jpg. Acesso em 12.03.2015 às 15h07min.

Finalidade comercial.

34

Estabelecer uma Política de Conduta Ética e deSegurança Digital para Terceirizados;

Incluir cláusulas no Contrato de Prestação de Serviçosque tratem do monitoramento e proteção dainformação; afastamento do vínculo empregatício;devolução e eliminação da informação após o términoda contratação;

Estabelecer acordos de confidencialidade; Implementar o Termo de Compromisso (Ciência e

Responsabilidade) que deve ser assinado pelocolaborador terceirizado e pela empresa terceirizada.



35

O que fazer caso seja necessária a realização de inspeção em dispositivo particular?



36

Implementar Termo de Uso de Dispositivo MóvelParticular, com a previsão de realização de inspeção emcasos de suspeitas da ocorrência de incidentes desegurança da informação;

Criar cultura de inspeção aleatória (independente desuspeita ou evidência)

Inspecionar somente conteúdos relacionados à empresa,mantendo o sigilo de quaisquer informações intimas ouprivadas;

Permitir o acompanhamento da inspeção pelo dono dodispositivo;

Realizar a inspeção com o auxílio de mais duastestemunhas, podendo ser da Área Jurídica ou RecursosHumanos.



37

Dispositivo Particular

Cláusula Contratual

(Aviso de Inspeção e Monitoria)

Contrato de Trabalho

Vigente

Usuário concede

Inspeção incidental ou periódica

Usuário rejeita

Descumprimento de regras contratuais – artigo 482, CLT

Término ou rescisão do Contrato de

Trabalho

Usuário concede

Realizar a inspeção e liberar o equipamento

ao usuário

Usuário Rejeita

Sugerir a inspeção assistida

Advertência formal (assinada pelo próprio

ou por testemunha)

Demissão por justa causa (pode invocar o

Poder de Polícia)

38

Prática de Governança

Dispositivo Corporativo –Colaborador direto ou Terceirizado

Dispositivo Particular –colaborador direto

Dispositivo Particular em uso Corporativo -colaborador direto

Dispositivo Particular –Terceirizado

Dispositivo Particular em uso Corporativo - Terceirizado

Impedir uso nasdependênciasda empresa

- Sim. Bastaciência

Sim. Constar nos Termos

Aceitos

Sim. Constar no Contrato e

ciência da regra

Sim. Constar no Contrato e constar nos

Termos Aceitos

Monitoramentodo dispositivo

Sim. Bastaciência

Somente com autorização


Aceitos


Termos Aceitos


Termos Aceitos

Geolocalização Sim. Bastaciência



Aceitos


Termos Aceitos


Termos Aceitos

39






Dispositivo Particular em uso Corporativo -Terceirizado

Verificaçãoremota de

dados

Sim. Bastaciência



Aceitos


constar nos Termos Aceitos


Termos Aceitos

Acesso aocontrole de chamadas

Sim. Bastaciência



Aceitos




Termos Aceitos

Acesso aosSMSs

Sim. Bastaciência



Aceitos




Termos Aceitos

40






Dispositivo Particular em uso Corporativo - Terceirizado

Verificaçãoremota de

dados

Sim. Bastaciência

Somente com

autorização


Aceitos


Termos Aceitos


Termos Aceitos

Alguma dúvida ou

comentário?

41

42

Advogada, sócia e líder da área de Segurança da Informação e Resposta aIncidentes do Patricia Peck Pinheiro Advogados;Formada pelo Centro Universitário Fieo;Especializada em Direito Empresarial pela Fundação Getúlio Vargas de SãoPaulo;Certificada pela ISO 27001 Foundation;Membro da comissão da Associação Brasileira de Normas Técnicas (ABNT);Experiência em segurança da informação em Instituições Bancárias;Coautora do livro Direito Digital Aplicado.

Caroline Teófilo da Silva

43

www.istart.org.brwww.familiamaissegura.com.br

FamiliaMaisSeguraNaInternet

[email protected]

[email protected]

+55 11 3068-0777

44

www.facebook.com/PPPTreinamentos

[email protected]+55 11 2678-0188

45

@patriciapeckadv PatriciaPeckPinheiro pppadvogados

[email protected]

+55 11 3068-0777

www.pppadvogados.com.br

Documents

Mobilidade Corporativa e os Riscos Trabalhistas · Basta ciência das Políticas e Normativos em vigor da empresa; ... Controles que não invadam a privacidade e a ... Exibir os procedimentos