BYOD é uma abreviação para a expressão em inglês Bring Your Own Device que é usada para designar o uso de dispositivos eletrônicos pessoais dentro de um contexto profissional. Um exemplo comum de BYOD é quando um empregado se conecta à rede da empresa com o seu computador particular, tablet ou smartphone.
A possibilidade de usar ferramentas pessoais é, acima de tudo, uma escolha do empregador que pode igualmente autorizar o uso sob determinadas condições ou proibi-lo.
A Legislação Trabalhista exige que o empregador forneça aos seus empregados os meios necessários para a execução das suas tarefas profissionais. Logo, ela não proíbe que o empregador permita o uso dos meios pessoais dos empregados.
Veja também – Blog Solere: Quais são as regras básicas de segurança virtual para empresas?
Essa decisão, no entanto, deverá ser tomada após a análise cautelosa entre os interesses envolvidos, as vantagens e as desvantagens apresentadas por esse uso.
Medidas previstas para garantir a segurança dos dados pessoais
O empregador é responsável pela segurança dos dados pessoais de sua empresa, inclusive quando armazenados em terminais sobre os quais ele não tem o controle físico ou legal, mas cuja autorização ele concedeu para o acesso aos recursos de TI da empresa.
Assim, é essencial se proteger tanto contra os riscos de ataques pontuais à disponibilidade, integralidade e confidencialidade dos dados quanto contra os riscos ao comprometimento geral do sistema de informações da empresa (invasões, vírus, cavalos de Tróia, etc.). Para reduzir esses riscos, a recomendação é identificar e classificar os riscos quanto a sua gravidade e a sua probabilidade. Com essas informações, deve-se determinar medidas a serem implementadas e formalizá-las em uma política de segurança.
São exemplos de boas práticas e medidas a serem adotadas para o BYOD:
– Crie bolhas de segurança no dispositivo pessoal do empregado agrupando apenas aplicações de interesse da empresa, ou seja, criptografando todos os aplicativos necessários para o trabalho. Assim, haverá a separação do que é profissional do pessoal;
– Controle o acesso remoto e, se possível, faça uso de um certificado eletrônico ou de um cartão de inteligente;
– Estabeleça medidas de criptografia para o fluxo de informações (VPN, HTTPS, etc);
Veja também – Blog Solere: Como realizar um gerenciamento de usuários eficiente?
– Preveja um procedimento para o caso de falha ou perda do dispositivo pessoal (fornecimento de um equipamento alternativo profissional, exclusão remota de dados profissionais armazenados no dispositivo pessoal, informação ao administrador da rede, etc.);
– Exija o respeito às medidas de segurança elementares como bloquear o dispositivo com uma senha forte e utilização de antivírus atualizado;
– Conscientize os usuários sobre os riscos, formalize as responsabilidades de cada um e especifique as precauções a serem tomadas em um termo de compromisso com caráter vinculante.
– Subordine o uso de dispositivos pessoais a autorização prévia do administrador da rede e/ou do empregador.
Garantias quanto à privacidade
A segurança do sistema de informação da empresa e a necessidade de manutenção do poder de direção e controle do empregador devem estar em conformidade com o respeito a privacidade dos empregados que usam dispositivos pessoais no âmbito da sua atividade profissional. Por exemplo, não é possível prever medidas de segurança com a finalidade de impedir que um smartphone seja usado em um ambiente privado (proibir a navegação na internet, download de aplicativos móveis).
Veja também – Blog Solere: Como escolher a estrutura adequada para tratamento de dados?
Da mesma forma, o empregador não pode acessar elementos relacionados à vida privada armazenados no espaço pessoal do dispositivo, como histórico do navegador, fotos, filmes, agenda e calendário. No entanto, ele deve poder acessar o conteúdo profissional armazenado no equipamento.
Caso seja possível que o empregador possa excluir remotamente parte do dispositivo pessoal destinada especificamente ao acesso remoto aos recursos da empresa, ele não poderá apagar remotamente a integralidade dos dados presentes no equipamento do empregado.
Enquadramento legal
O BYOD não é um tratamento de dados pessoais por si só. É um meio técnico específico no qual os tratamentos são baseados. Portanto, o uso do BYOD não altera as obrigações às quais os tratamentos estão sujeitos e reforça ainda mais a consonância às boas práticas.
Em conclusão, este texto procura tratar sobre o que é o BYOD e quais são as boas práticas de uso. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.