Paulo Sá Elias
Renato Opice Blum
Os "gadgets" e as empresas
No Brasil, no âmbito corporativo, já é possível notar a onipresença do iPad. Praticamente em todas as reuniões e encontros de negócios há alguém com um dispositivo da Apple, muitas vezes fazendo par com o iPhone. Executivos de negócios fazem apresentações impressionantes com a possibilidade de interatividade e acesso on-line aos dados corporativos, atualização de valores, números, mercadorias, geolocalização, etc. Médicos conseguem acesso rápido aos registros dos pacientes em hospitais e clínicas. Advogados consultam cópias digitalizadas de todas as páginas de um processo judicial, inteiro teor de decisões judiciais, legislação e – ainda – conseguem realizar videoconferências, chamadas em VoIP. Tudo na ponta dos dedos.
Uma característica interessante dessas inovações tecnológicas é que elas costumam chegar primeiro às mãos dos empregados individualmente – ou seja, não são adotadas desde o início como ferramenta de trabalho pelas empresas. Logo, temos observado inevitavelmente o surgimento dos seguintes problemas no âmbito corporativo:
1. Há departamentos de TI que simplesmente entendem que esses dispositivos não são indispensáveis à atividade profissional do colaborador, razão pela qual não autorizam o acesso às redes – deixando os funcionários descontentes;
2. Em outras empresas, com políticas mais inovadoras, há um esforço para admiti-los como ferramenta de trabalho, já que os aplicativos disponíveis estão ficando cada vez mais avançados e interessantes para a atividade profissional.
Em todos os casos, uma coisa é inegável: a inovação tecnológica não espera a burocracia e a indecisão. Ela caminha em alta velocidade e as empresas precisam atualizar frequentemente suas políticas de gerenciamento de dados e compliance para que fiquem em harmonia com os avanços tecnológicos e a inevitável inserção desses novos gadgets em seus ambientes corporativos.
No entanto, com a utilização cada vez mais frequente desses dispositivos e a dispersão das fontes de ESI (Electronically Stored Information) nas empresas, é necessária a adoção de uma série de cautelas e providências legais para regular a utilização e a preservação dos dados sensíveis. O iPad, como exemplo, por sua própria característica e facilidade, acaba permitindo ao usuário que edite, importe, modifique e armazene cada vez mais documentos corporativos e dados sensíveis em comparação com os demais dispositivos móveis populares nas empresas como é o caso do Blackberry. Além do que, a sincronização nem sempre é possível e realizada adequadamente entre os iPads e a rede corporativa, aumentando o risco de que dados únicos e importantes para as empresas residam exclusivamente nesses dispositivos.
Para muitas empresas, o conteúdo que atualmente circula nesses dispositivos acaba ficando fora do alcance do gerenciamento de dados corporativos e dos mecanismos de proteção existentes, inclusive no que diz respeito aos acordos de confidencialidade assinados pelos colaboradores e funcionários, gerando uma série de questionamentos jurídicos e preocupações.
Diferentemente do que ocorre com os laptops, os iPads normalmente armazenam os arquivos criados ou recebidos pelo usuário dentro de Apps (aplicativos) não padronizados. Uma das principais características do iPad é justamente a variedade impressionante de Apps (aplicativos) disponíveis para download na AppStore/iTunes, facilmente acessíveis (gratuitamente ou por pequenos valores). Exatamente neste ponto, surge uma das principais dúvidas: como administrar os dados corporativos armazenados nesta variedade de aplicativos não padronizados? – Um funcionário, por exemplo, quando não mais se interessar por um determinado aplicativo, ao apagá-lo de seu dispositivo, pode acidentalmente também eliminar informações corporativas relevantes para a empresa.
E o problema não é apenas em relação a preservação dos dados nos iPads – mas também em relação a dificuldade de auditoria ou perícia forense nesses dispositivos, por conta de uma série de características técnicas dos sistemas operacionais da Apple que envolvem até mesmo o armazenamento "on the cloud" e a possibilidade de o usuário utilizar criptografia independente dos protocolos de criptografia utilizados pela empresa onde trabalha. Os protocolos corporativos podem adotar características como ADKs (Additional Decryption Keys) devidamente informadas aos funcionários quando da assinatura dos termos de utilização, oferecendo garantia de acesso às informações criptografadas para as empresas caso o funcionário morra, por exemplo. Como fazer isso em um iPad fora dos padrões?
Como sabemos, os empregados não devem ter expectativa de privacidade no uso dos recursos eletrônicos da empresa, o que pode incluir até mesmo hardware de propriedade pessoal, na medida em que armazenarem ESI associados com os negócios da empresa. Por isso, é fundamental a implementação de políticas de segurança e uma série de medidas legais para a proteção da empresa e dos funcionários, incluindo a obrigatoriedade da comunicação imediata sobre a perda, furto ou roubo de um iPad ou dispositivo semelhante com informações corporativas, atualização da política de gerenciamento de registros e dados, limitações aos aplicativos que podem ser instalados e utilizados, critérios de utilização desses gadgets, responsabilidades, etc.
__________
*Renato Opice Blum e Paulo Sá Elias são sócios do escritório Opice Blum Advogados Associados, em Ribeirão Preto/SP
__________