Tem crescido nas empresas a discussão sobre consumerização, que é o termo para designar a massificação de dispositivos de mobilidade no ambiente corporativo trazidos pelo particular, de propriedade do próprio colaborador. Até então, as empresas faziam o controle de uso destes dispositivos através do fornecimento ou não do mesmo, mas agora, o ambiente de trabalho está sendo invadido por tablets, smartphones e netbooks.

Como os gestores devem aplicar as melhores práticas de governança de TI quando o equipamento não é da empresa, mas as informações sim? É essencial para minimizar os riscos a elaboração e implantação de uma norma interna clara específica sobre “Consumerização e Mobilidade”, que define como ficam as seguintes questões:

• Uso do dispositivo do particular para o trabalho (em que situações isso ocorre ou não, caso seja proibido, se for feito uso importante deixar claro que é na situação de “comodato”);

• Conteúdos e informações corporativas dentro do dispositivo (obrigação de backup, sigilo, confidencialidade e dever de reportar incidente de eventual perda ou vazamento);

• Suporte, atualizações e uso de ferramentas protetivas para garantir segurança da informação (se serão fornecidos pela empresa ou não);

• Situações de ressarcimento se houver perda, furto, roubo, dano, deteriorização do ativo tecnológico particular enquanto a disposição da empresa (se ocorrer dentro do perímetro físico, ou se ocorrer fora, em mobilidade, deslocamento);

• Monitoramento das informações corporativas (se vai usar algum software de Data Loss Prevention);

• Inspeção física do equipamento (se vai realizar e em que condições);

• Acesso a informações de trabalho a qualquer tempo e de qualquer lugar não configura sobreaviso e hora extra (tem que deixar isso claro);

• Responsabilidade do colaborador sobre o conteúdo particular do equipamento (porque pode ter algo que possa ser considerado ilícito, como pirataria de música, filme, jogos, pedofilia).

A lei brasileira não trata especificamente de consumerização, mas há uma série de dispositivos legais no Código Civil, Código Penal e da Consolidação das Leis do Trabalho que definem alguns pontos que estão diretamente relacionados a mesma, em especial na questão de responsabilidade civil  e criminal relacionada ao equipamento e risco trabalhista. Tem que ficar claro que o fato de ele ter o recurso e acessar informações da empresa não garante que está o tempo todo a disposição da empresa, e se possível também dizer que isso se deve a cargo de confiança.

A falta de regra gera alto risco jurídico, financeiro e reputacional para as duas partes. A empresa pode ter que indenizar terceiros, pagar rescisões altas na trabalhista pelo colaborador alegar que estava trabalhando 24X7 (dando direito a receber por sobreaviso e hora extra), ou ainda ter que ressarcir equipamento do particular. O colaborador pode perder o equipamento, ter que ressarcir a empresa e ainda perder o emprego.

O gestor de TI precisa deixar a regra clara, sob pena de responder por culpa no desempenho das suas funções, conforme previsto pelo artigo 1016 do Código Civil. Afinal, como todos já estão trazendo para dentro da empresa os dispositivos particulares de mobilidade (pendrives, smartphones, netbooks, tablets, e-readers), em havendo um incidente, o gestor da TI pode ser responsabilizado por negligência, por não ter aplicado melhores práticas de controle e governança no ambiente de informações da empresa.