Upload
lydang
View
219
Download
0
Embed Size (px)
Citation preview
1
Mobilidade Corporativa e os Riscos Trabalhistas
Webinar 3 – 24.04.2015 Instrutor(a): Caroline Teófilo
2
Autor desconhecido. Fonte Missão Praia da Costa. Disponível em http://www.missaopraiadacosta.com.br/up/wp-
content/uploads/2012/07/gafetrabalho.jpg Acessado em 18.01.2013 às 17:07.
Como está a Sociedade Digital com a Mobilidade:
Ausência de Fronteiras Físicas;
Tempo Real – Conectividade;
Compartilhamento Irrestrito de Informações;
Excesso de Dispositivos Móveis cada vez menores e
mais potentes;
Surgimento de Novos Riscos.
3
Au
tor
Gu
s M
ora
is. F
on
te B
log
Segr
. Dis
po
nív
el e
m h
ttp
://b
log.
segr
.co
m.b
r/w
p-
con
ten
t/u
plo
ads/
20
14
/05
/evo
luca
o_a
rmaz
enam
ento
.jpg
Ace
sso
em
22
.04
.20
15
às
10
h5
6.
4
Au
tor
F/N
azca
e D
ataf
olh
a. F
on
te F
/Naz
ca. D
isp
on
ível
em
htt
p:/
/ww
w.f
naz
ca.c
om
.br/
wp
-co
nte
nt/
up
load
s/2
01
4/1
2/f
rad
ar-1
4_p
ub
lica-
site
.pd
f. A
cess
ado
em
22
.04
.20
15
às
15
h1
6.
Fin
alid
ade
Edu
caci
on
al.
Pesquisa realizada pela F/Nazca em parceria com o Datafolha – Abril/2014
5
Pesquisa realizada pela F/Nazca em parceria com o Datafolha – Abril/2014
Au
tor
F/N
azca
e D
ataf
olh
a. F
on
te F
/Naz
ca. D
isp
on
ível
em
htt
p:/
/ww
w.f
naz
ca.c
om
.br/
wp
-co
nte
nt/
up
load
s/2
01
4/1
2/f
rad
ar-1
4_p
ub
lica-
site
.pd
f. A
cess
ado
em
22
.04
.20
15
às
15
h1
6.
Fin
alid
ade
Edu
caci
on
al.
6
Autor Desconhecido. Fonte: BeeCreative. Disponível em http://www.beecreative.com.br/web-por-dispositivo-movel-ultrapassa-via-computador-no-brasil/. Acesso em 22.04.2015 às 15h26. Finalidade Educacional.
E com o crescente uso dos dispositivos móveis, aumentam os riscos.....
7
Autor Desconhecido. Fonte: MAS RH. Disponível em http://www.msarh.com.br/blog/wp-content/uploads/2015/04/byod.jpg. Acesso em 22.04.2015 às 15h37. Finalidade Educacional
Quais os principais riscos:
• Vazamento de Informações;• Impactos trabalhistas;
• Acesso não autorizado aos ambientes e informações corporativas;
• Dificuldade de integração dos diversos dispositivos com a Área de T.I.;
• Furto, Roubo e Perda dos Dispositivos Móveis;• Risco à infraestrutura Tecnológica.
8
Em Dezembro de 2011 foi sancionada a Lei 12.551, que alterou o Artigo 6° da Consolidação das Leis do Trabalho:
“Art. 6o da CLT - Não se distingue entre o trabalho realizado noestabelecimento do empregador, o executado no domicílio doempregado e o realizado a distância, desde que estejamcaracterizados os pressupostos da relação de emprego.
Parágrafo único. Os meios telemáticos e informatizados de comando,controle e supervisão se equiparam, para fins de subordinaçãojurídica, aos meios pessoais e diretos de comando, controle esupervisão do trabalho alheio.” (NR)
9
Para que esteja configurada a relação de emprego doteletrabalhador, são necessários que existam ospressupostos da relação de emprego que compreendem:
Ser prestado por pessoa física
Pessoalidade Habitualidade Onerosidade Subordinação
Autor Desconhecido. Fonte Static Portal Educação. Disponível em https://static.portaleducacao.com.br/arquivos/imagens_artigos/2112201216201020121219190921emprego1.jpg Acessado em 13.05.2013 às 18:59. Finalidade Educacional.
A alteração do Art. 6º da CLT foi necessária para enfatizar que há subordinação quando estafor exercida por outros meios, que não os presenciais, principalmente a partir da internet edas novas tecnologias.
10
“O uso de aparelho de intercomunicação, a exemplo de BIP, “pager” ou aparelhocelular, pelo empregado, por si só, não caracteriza o regime de sobreaviso, uma vezque o empregado não permanece em sua residência aguardando, a qualquermomento, convocação para o serviço.”
Redação Anterior
Nova Redação
“I - O uso de instrumentos telemáticos ou informatizados fornecidos pela empresaao empregado, por si só, não caracteriza o regime de sobreaviso. II - Considera-seem sobreaviso o empregado que, à distância e submetido a controle patronal porinstrumentos telemáticos ou informatizados, permanecerem regime de plantão ouequivalente, aguardando a qualquer momento o chamado para o serviço durante operíodo de descanso. “
Hora Extra e Sobreaviso – Súmula 428 do Tribunal Superior do Trabalho, publicada em Setembro/2012
11
O que é o Sobreaviso?
Au
tor
Bir
a: F
on
te S
ind
ae. D
isp
on
ível
em
h
ttp
://w
ww
.sin
dae
.org
.br/
db
imag
ens/
d4
e1cb
ad8
79
c75
47
4f9
e4
eaa5
20
c1c6
a.jp
g A
cess
o e
m 2
2.0
4.2
01
5 à
s 1
6h
40
. Fi
nal
idad
e Ed
uca
cio
nal
.
12
“Artigo 244, § 2º da CLT –Considera-se de "sobre-aviso" o empregado efetivo, que permanecer em sua própria casa, aguardando a qualquer momento o chamado para o serviço. Cada escala de "sobre-aviso" será, no máximo, de vinte e quatro horas, As horas de "sobre-aviso", para todos os efeitos, serão contadas à razão de 1/3 (um terço) do salário normal.”
13
SOBREAVISO. USO DE APARELHO CELULAR.
A Corte regional entendeu ser devido o pagamento das horas em sobreaviso (...) a
reclamante era acionada pela reclamada fora do horário de expediente, dando
suporte pelo telefone e, em outros momentos, se deslocando para a sede da
empresa. Do teor da Súmula nº 428 do TST, verifica-se que o mero uso de aparelho
celular, por si só, não caracteriza o sobreaviso, devendo haver a comprovação de
que o empregado, de fato, estava à disposição do empregador.
(TST, RR-276-98.2010.5.05.0007, 2ª Turma, Rel. Min.: José Roberto Freire Pimenta,
d.j.: 16.8.2013)
Jurisprudência
14
Autor desconhecido. Fonte: iPog. Disponível em: http://www.ipog.edu.br/blog/wp-content/uploads/2014/09/seguran%C3%A7a-da-informa%C3%A7%C3%A3o.jpg. Acesso em 10.03.2015 às 15h33. Finalidade educacional.
Não importa de quem é o dispositivo, e sim de quem é a INFORMAÇÃO!
15
Planejar
Estabelecer as Regras
Capacitar e Educar
Gerenciar com
Ferramentas Tecnológicas
Monitorar
Estabelecer Penalidades
Como mitigar os riscos da Mobilidade?
16
O que deve conter em um Normativo para Dispositivos Móveis?
Obrigatoriedade de uso apenas sepreviamente autorizado
Aviso claro e objetivo demonitoramento
Propriedade da Organização dosconteúdos gerados
Obrigação do uso de softwares desegurança
Possibilidade de inspeção Bloqueio automático por senha
Informação clara que a merapossibilidade de acesso remoto, porte,uso ou recebimento de informações daOrganização não caracterizasobrejornada, sobreaviso ou plantão
Dever de uso de software deapagamento remoto do conteúdo daOrganização
Exigência de comprovação expressa derequisição de trabalho
Dever de armazenar conteúdocorporativo na rede da Organização
17
Exceção de responsabilidade da Organizaçãosobre qualquer dano, perda ou extravio dedispositivo móvel particular
Obrigatoriedade do uso de software deapagamento remoto das mensagenseletrônicas da Organização
Dever de utilizar os serviços dearmazenamento em nuvem para transferirarquivos Organização, somente com prévia eexpressa autorização e obedecendo as regrasde criptografia previstas
Recomendação para o colaborador evitararmazenar conteúdo de exposição de vidaíntima sem mecanismos de proteção nosdispositivos móveis particulares
Responsabilidade do colaborador sobreconteúdo, softwares, e suas licenças, quemantiver em seu dispositivo móvel particular
Dever do colaborador de informar quaisquercasos de avaria, dano, defeito, roubo, perda oufurto do dispositivo móvel
Dever do colaborador realizar backup dasinformações geradas, quando não for possívelseu armazenamento na rede
O que deve conter em um Normativo para Dispositivos Móveis?
18
Qual o limite para o monitoramento e a inspeção dos dispositivos particulares e
corporativos?
Autor Desconhecido. Fonte: Promoview. Disponível em http://promoview.com.br/wp-content/uploads/2012/03/MonitoramentoMidiasSociais3.jpg Acesso em 22.04.2015 às 18h49. Finalidade Educacional.
19
Autor Desconhecido. Fonte Mundo Educação. Disponível em http://mundoeducacao.com/upload/conteudo_legenda/c556555bca7d452e38c46df62cd77f26.jpg. Acesso em 22.04.2015 às 19h01. Finalidade Educacional.
Privacidade do Empregado
Poder Diretivo do Empregador
20
O que é Privacidade?
“A privacidade é um dos direitos mais importantes doindivíduo, está protegido pela Constituição Federal de1988, e consiste na habilidade que o mesmo tem decontrolar a exposição de informações sobre sua vidapessoal, sua intimidade, bem como a disponibilidadede dados sobre si mesmo, de retificar, ratificar ouapagar os mesmos, e de proteger a confidencialidadede suas comunicações, seu domicílio, sua imagem,honra e reputação perante terceiros.”
Patricia Peck Pinheiro
21
Em que momento há a expectativa de privacidade?
Não há expectativa deprivacidade;
Basta ciência das Políticas eNormativos em vigor daempresa;
Uso obrigatório paracumprimento das funçõesprofissionais.
Há expectativa de privacidade;
É indispensável a concordânciae autorização paramonitoramento e inspeçãopara mitigação da expectativa;
Uso facultativo.
Dispositivo Móvel Particular
Dispositivo Móvel Corporativo
22
Art. 5º Todos são iguais perante a lei, sem distinção de qualquernatureza, garantindo-se aos brasileiros e aos estrangeiros residentesno País a inviolabilidade do direito à vida, à liberdade, à igualdade, àsegurança e à propriedade, nos termos seguintes:
X - são invioláveis a intimidade, a vida privada, a honra e a imagemdas pessoas, assegurado o direito a indenização pelo dano materialou moral decorrente de sua violação;
XII - é inviolável o sigilo da correspondência e das comunicaçõestelegráficas, de dados e das comunicações telefônicas, salvo, noúltimo caso, por ordem judicial, nas hipóteses e na forma que a leiestabelecer para fins de investigação criminal ou instrução processualpenal.
Constituição Federal
23
Constituição Federal:
Art. 5º (...):
LVI - são inadmissíveis, no processo, as provas obtidas por meiosilícitos;
Código de Processo Civil:
Art. 332. Todos os meios legais, bem como os moralmente legítimos,ainda que não especificados neste Código, são hábeis para provar averdade dos fatos, em que se funda a ação ou a defesa.
Provas que forem produzidas não respeitando as garantias de privacidade serão inadmissíveis e
imprestáveis aos processos.
24
“Cabe acrescentar ainda que a conduta da autora é atípica pois nãose enquadra em nenhuma das hipóteses previstas no art. 482 daCLT. (...). A conduta da reclamante não se insere no conceito demau procedimento, mesmo porque a reclamada não demonstroude forma objetiva como a reclamante teria infringido as normas deuso da correspondência eletrônica, aliás, afirmou em depoimentopessoal prestado à fl. 167 que "ao ser comunicada de sua dispensaa reclamante não tinha ciência da política de e-mails dareclamada”.
(TRT-SP, Recurso Ordinário nº , Rel. Des. Cintia Táffari, pub. em10.8.2007)
Jurisprudência – Ciência das regras previamente
25
Autor Desconhecido. Fonte Sorocaba. Disponível em http://www.sorocaba.com.br/uploads/ti/noticias/1371127718.jpg. Acessado em 22.04.2015 às 19h23. Finalidade Educacional.
Qual a melhor forma de garantir o equilíbrio?
Normas que respeitem a ética, proporcionalidade, utilidade,dignidade e honra;
O que não for permitido, expressamente proibir;
Controles que não invadam a privacidade e a intimidade;
Caso necessário, prever os regimes de exceção e quem irátomar a decisão apropriada (comitê, líder, gestor) e evitar queeles surjam sem a devida cautela.
26
Tanto esclarecido, a reclamada mantém um Código de Ética eConduta: (...) "Utilizar equipamentos e recursos de acesso àinformação, correio eletrônico e internet, para fins nãoautorizados". Há, ainda, norma organizacional denominada de"Política de Acesso à Internet e Correio Eletrônico", (...) que acessoà "internet" será auditado periodicamente (fl. 169), sendoexpressamente vedado ao usuário "Utilizar programas decomputador para receber, manter ou disponibilizar arquivos deconteúdo pornográfico, racista, preconceituoso ou ilegal"
Resta clara, portanto, a impropriedade da conduta do reclamanteque, mesmo ciente das normas organizacionais da empregadoraquanto ao acesso à "internet", desta ferramenta fez uso indevido.(TRT04, RO 0001729-33.2010.5.04.0662, Rel. Des. Hugo CarlosScheuermann, j. em 31.5.2012)
Jurisprudência
27
Monitoramento ou inspeção de dispositivos pessoais
O dispositivo pessoal possui expectativa deprivacidade que somente pode ser mitigada com suapermissão e concordância expressa com as regrasvigentes para monitoramento e inspeção (por Termoespecífico e norma de BYOD) ou por Ordem Judicial.
http://t2.gstatic.com/images?q=tbn:ANd9GcRxixUkmys67gaVhH9gd2-IDO9zBrBAQXUX2FNI_8Wv2nit3MxZINdx9c2VLw
O resultado dessa inspeção deve ser sigiloso, sob pena de danos à privacidade do colaborador.
28
Inspeção de dispositivos pessoais
A necessidade de ordem judicial é essencial quandoo colaborador não autorizar/ ou não houver sidocientificado que para o uso de dispositivos móveispróprios nas dependências do empregador, ou emseu proveito, autoriza expressamente a vistoria dodispositivo.
O resultado dessa inspeção deve ser sigiloso, sob pena de danos à privacidade do colaborador.
http://t2.gstatic.com/images?q=tbn:ANd9GcRxixUkmys67gaVhH9gd2-IDO9zBrBAQXUX2FNI_8Wv2nit3MxZINdx9c2VLw
29
Monitoramento ou inspeção de dispositivos pessoais
Estabelecer norma com as diretrizes de inspeção e exigir docolaborador declaração expressa de compreensão eautorização antes do recurso pessoal ser utilizado em proveitocorporativo;
Exibir os procedimentos de segurança para Data LossPrevention decorrentes de eventual desligamento aos quaisos recursos pessoais usados em proveito da empresa passarãoantes de começarem a ser utilizados na atividade profissionale exigindo seu expresso entendimento e autorização;
30
Monitoramento ou inspeção de dispositivos pessoais
Executar busca por palavras-chaves ao invés de exame detodos os conteúdos do dispositivo ou mídia para preservar aprivacidade e intimidade;
Utilizar solução de Data Loss Prevention de modo a executarmonitoramento sobre os dados que interessam à Empresa porsupervisão remota, deixando a inspeção física como exceção;
Prever hipóteses em que o colaborador poderá acompanhar oprocedimento, garantindo sua lisura, transparência elegalidade, assinando termo com a constatação de não abusode direito ou não acesso a dados pessoais não vinculados àatividade.
31
Monitoramento: Os colaboradores estão cientes de que a EMPRESA realiza oregistro e armazenamento de atividades (logs) e monitora seus ambientes físicos elógicos, com a captura de imagens, áudio ou vídeo, inclusive, com a finalidade deproteção de seu patrimônio e reputação e daqueles com os quais se relaciona dealguma forma.
A EMPRESA realiza o armazenamento dos dados monitorados para finsadministrativos e legais, além de colaborar com as autoridades em caso deinvestigação.
Inspeção: A EMPRESA pode realizar, quando necessário, de forma proporcional edentro dos limites da razoabilidade, inspeção em dispositivos próprios, particularesou de terceiros, respeitando a privacidade do proprietário do aparelho e aproteção de seus dados pessoais, sempre em conjunto com a Área de RecursosHumanos.
Exemplos de cláusulas a serem inseridas nas Normas de Segurança da Informação
32
Fonte: http://blog.hotelurbano.com.br/wp-content/uploads/2012/11/Aplicativos-para-viagem.jpg Acessado em 12/09/2014 às 19:00
SEGREDO INDUSTRIAL. COMPROMISSO DE NÃO DIVULGAR. LEGALIDADE1. É vedado ao empregado divulgar o segredo da empresa (a lei não estabeleceprazo para essa vedação); se o empregado divulgar comete falta grave. A proibiçãoalcança o ex-empregado, visto que a rescisão do contrato de trabalho não transferea este o direito de divulgar, explorar ou comercializar a fórmula industrial de queteve conhecimento, ainda que passe a trabalhar para empresa concorrente. 2. Oajuste consistente no compromisso firmado pelo reclamante de não divulgar, nãoexplorar e não utilizar o segredo da fórmula do produto industrial de que temconhecimento guarda perfeita sintonia com o disposto no art. 195, inc. XI, da Lei9.279/1996. Recurso de Revista de que se conhece e a que se dá provimento.
(TST - RR: 1533002120015150093 153300-21.2001.5.15.0093, Relator: EmmanoelPereira, Data de Julgamento: 24/09/2008, 5ª Turma,, Data de Publicação: DJ12/12/2008.)
E se nada der certo....
33
O que fazer caso o colaborador da empresa terceirizada queira acessar remotamente o
seu ambiente lógico?
Autor desconhecido. Fonte: FETT. Disponível em: http://www.fett.com.br/resources/Photoxpress_4418365.jpg. Acesso em 12.03.2015 às 15h07min.
Finalidade comercial.
34
Estabelecer uma Política de Conduta Ética e deSegurança Digital para Terceirizados;
Incluir cláusulas no Contrato de Prestação de Serviçosque tratem do monitoramento e proteção dainformação; afastamento do vínculo empregatício;devolução e eliminação da informação após o términoda contratação;
Estabelecer acordos de confidencialidade; Implementar o Termo de Compromisso (Ciência e
Responsabilidade) que deve ser assinado pelocolaborador terceirizado e pela empresa terceirizada.
Autor desconhecido. Fonte: FETT. Disponível em: http://www.fett.com.br/resources/Photoxpress_4418365.jpg. Acesso em 12.03.2015 às 15h07min.
Finalidade comercial.
35
O que fazer caso seja necessária a realização de inspeção em dispositivo particular?
Autor desconhecido. Fonte: FETT. Disponível em: http://www.fett.com.br/resources/Photoxpress_4418365.jpg. Acesso em 12.03.2015 às 15h07min.
Finalidade comercial.
36
Implementar Termo de Uso de Dispositivo MóvelParticular, com a previsão de realização de inspeção emcasos de suspeitas da ocorrência de incidentes desegurança da informação;
Criar cultura de inspeção aleatória (independente desuspeita ou evidência)
Inspecionar somente conteúdos relacionados à empresa,mantendo o sigilo de quaisquer informações intimas ouprivadas;
Permitir o acompanhamento da inspeção pelo dono dodispositivo;
Realizar a inspeção com o auxílio de mais duastestemunhas, podendo ser da Área Jurídica ou RecursosHumanos.
Autor desconhecido. Fonte: FETT. Disponível em: http://www.fett.com.br/resources/Photoxpress_4418365.jpg. Acesso em 12.03.2015 às 15h07min.
Finalidade comercial.
37
Dispositivo Particular
Cláusula Contratual
(Aviso de Inspeção e Monitoria)
Contrato de Trabalho
Vigente
Usuário concede
Inspeção incidental ou periódica
Usuário rejeita
Descumprimento de regras contratuais – artigo 482, CLT
Término ou rescisão do Contrato de
Trabalho
Usuário concede
Realizar a inspeção e liberar o equipamento
ao usuário
Usuário Rejeita
Sugerir a inspeção assistida
Advertência formal (assinada pelo próprio
ou por testemunha)
Demissão por justa causa (pode invocar o
Poder de Polícia)
38
Prática de Governança
Dispositivo Corporativo –Colaborador direto ou Terceirizado
Dispositivo Particular –colaborador direto
Dispositivo Particular em uso Corporativo -colaborador direto
Dispositivo Particular –Terceirizado
Dispositivo Particular em uso Corporativo - Terceirizado
Impedir uso nasdependênciasda empresa
- Sim. Bastaciência
Sim. Constar nos Termos
Aceitos
Sim. Constar no Contrato e
ciência da regra
Sim. Constar no Contrato e constar nos
Termos Aceitos
Monitoramentodo dispositivo
Sim. Bastaciência
Somente com autorização
Sim. Constar nos Termos
Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
Geolocalização Sim. Bastaciência
Somente com autorização
Sim. Constar nos Termos
Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
39
Prática de Governança
Dispositivo Corporativo –Colaborador direto ou Terceirizado
Dispositivo Particular –colaborador direto
Dispositivo Particular em uso Corporativo -colaborador direto
Dispositivo Particular –Terceirizado
Dispositivo Particular em uso Corporativo -Terceirizado
Verificaçãoremota de
dados
Sim. Bastaciência
Somente com autorização
Sim. Constar nos Termos
Aceitos
Sim. Constar no Contrato e
constar nos Termos Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
Acesso aocontrole de chamadas
Sim. Bastaciência
Somente com autorização
Sim. Constar nos Termos
Aceitos
Sim. Constar no Contrato e
constar nos Termos Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
Acesso aosSMSs
Sim. Bastaciência
Somente com autorização
Sim. Constar nos Termos
Aceitos
Sim. Constar no Contrato e
constar nos Termos Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
40
Prática de Governança
Dispositivo Corporativo –Colaborador direto ou Terceirizado
Dispositivo Particular –colaborador direto
Dispositivo Particular em uso Corporativo -colaborador direto
Dispositivo Particular –Terceirizado
Dispositivo Particular em uso Corporativo - Terceirizado
Verificaçãoremota de
dados
Sim. Bastaciência
Somente com
autorização
Sim. Constar nos Termos
Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
Sim. Constar no Contrato e constar nos
Termos Aceitos
42
Advogada, sócia e líder da área de Segurança da Informação e Resposta aIncidentes do Patricia Peck Pinheiro Advogados;Formada pelo Centro Universitário Fieo;Especializada em Direito Empresarial pela Fundação Getúlio Vargas de SãoPaulo;Certificada pela ISO 27001 Foundation;Membro da comissão da Associação Brasileira de Normas Técnicas (ABNT);Experiência em segurança da informação em Instituições Bancárias;Coautora do livro Direito Digital Aplicado.
Caroline Teófilo da Silva
43
www.istart.org.brwww.familiamaissegura.com.br
FamiliaMaisSeguraNaInternet
+55 11 3068-0777
45
@patriciapeckadv PatriciaPeckPinheiro pppadvogados
+55 11 3068-0777
www.pppadvogados.com.br