Muitas empresas no Brasil estão enfrentando as consequências do aumento no uso de aplicativos de telefones celulares para comunicações e colaboração empresarial. Ferramentas como o WhatsApp estão crescendo rapidamente na adoção de usuários corporativos e oferecendo vantagens significativas para a produtividade e colaboração dos funcionários.
Ainda assim, os líderes de TI, jurídico e de compliance demonstram preocupação com o impacto que essas ferramentas têm no compliance regulatório, segurança de TI, proteção de dados e investigações internas. Algumas organizações podem optar simplesmente por proibir o uso desses tipos de ferramentas. À primeira vista, essa pode parecer a escolha mais segura.
Mas, considerando a difusão de tais ferramentas e a crescente migração para dados móveis no Brasil – mais de 146 milhões de pessoas aqui agora usam o WhatsApp, grande parte em resposta às mudanças no sistema de cobrança de celular em nosso país – essa posição está se tornando cada vez mais difícil de implementar. Para algumas empresas, especialmente aquelas que são mais dependentes de equipes de vendas ágeis e dinâmicas que operam em campo, a posição mais realista é aceitar que alguns funcionários provavelmente usarão aplicativos móveis, plataformas de colaboração e outras ferramentas baseadas em nuvem, independentemente de serem ou não sancionados pela empresa. Portanto, eles devem determinar um caminho a seguir e políticas que ofereçam suporte ao uso consciente do aplicativo.
As equipes podem começar a mitigar os riscos que essas novas ferramentas trazem, entendendo as armadilhas e estabelecendo controles equilibrados, porém fortes. As dicas para começar incluem o seguinte.
- Compreenda as nuances, limitações e riscos inerentes aos aplicativos populares de comunicação. Em primeiro lugar e acima de tudo, está o fato de que muitos aplicativos de mensagens criptografam as mensagens em trânsito, o que torna muito difícil detectar comportamentos suspeitos ou recuperar informações que foram enviadas entre dois usuários.
- Mesmo quando isso ocorre entre os funcionários, a organização perde o controle sobre as informações apagadas e as fronteiras entre o uso pessoal e corporativo. Além disso, as atividades não estão registradas em muitos aplicativos de mensagens e, portanto, não podem ser recuperadas. Isso se torna uma preocupação particularmente significativa se um funcionário comete um ato ou transação ilegal usando um aplicativo de mensagens e a organização necessite acessar como evidência em uma investigação. A menos que a organização tenha acesso direto ao dispositivo e as mensagens não tenham sido excluídas, a equipe de investigação não terá como obter as informações.
- Políticas da empresa. Um passo importante para obter controle sobre o uso de aplicativos é estabelecer políticas corporativas fortes e aplicáveis que regem as condições sob as quais tais aplicativos podem ser usados e como, se e quais informações da empresa podem ser compartilhadas por meio deles. As políticas devem delinear especificamente o uso corporativo apropriado de telefones celulares e dos aplicativos executados neles, bem como levar em conta as sanções e os protocolos que serão usados se ocorrer uma investigação ou auditoria forense. As políticas de uso aceitáveis também devem incluir requisitos de que os funcionários podem fornecer acesso a seus dispositivos, incluindo senhas, no caso de a organização precisar acessá-los por razões legais ou regulatórias.
- Gerenciamento de dispositivos móveis. Esta é uma categoria de recursos habilitados para tecnologia que permitem que as organizações estabeleçam controles e aplicação de políticas em dispositivos descentralizados. Idealmente, os funcionários só têm permissão para usar dispositivos emitidos pela empresa que são equipados com software de gerenciamento de dispositivo móvel (MDM). Se os dispositivos pessoais forem permitidos, os funcionários devem ser obrigados a instalar a ferramenta MDM e se submeter à política de uso aceitável que reconhece que a organização pode ter controle sobre o dispositivo se /quando ele for usado para negócios da empresa ou para armazenar informações da empresa.
- Treinamento de funcionários. Em última análise, o compliance trata de moldar o comportamento e gerenciar uma mudança na cultura. Mesmo com políticas fortes, firewalls, ferramentas de monitoramento e MDM, sempre haverá o risco de os funcionários instalarem aplicativos e tomarem atalhos que tornam seu trabalho mais eficiente. É por isso que é crítico para abordar o elemento humano nesta questão, aumentando a conscientização sobre os riscos. A maioria dos funcionários quer fazer a coisa certa e simplesmente precisa de educação e treinamento para entender como a organização pode ser exposta por meio do uso impróprio de aplicativos, compartilhamento de informações e combinação de dados pessoais e corporativos. As organizações podem estabelecer treinamentos sobre políticas e compliance. Isso pode incluir o fornecimento de instruções sobre como, quando e por que os funcionários devem transferir informações e documentos compartilhados por meio de aplicativos de mensagens para um repositório de registros para armazenamento adequado.
- Habilite uma abordagem multicanal. Este é um conceito por meio do qual um funcionário pode iniciar uma conversa ou um relacionamento em um canal, como um aplicativo de mensagens, mas transferi-lo para outro canal, como o e-mail da empresa, quando informações confidenciais ou sensíveis entrarem em ação. Usando essa abordagem, os funcionários terão a flexibilidade de se comunicar usando ferramentas convenientes como o WhatsApp, mas garantem o compliance formalizando as comunicações em e-mails de acompanhamento ou capturando documentação criando e armazenando uma captura de tela ou relatório de conversas para que a organização tenha acesso aos mesmos. Embora isso possa criar etapas extras para alguns funcionários, vale a pena ajudar a manter uma postura corporativa forte em termos de governança de informações, proteção de dados e compliance. Defina parâmetros e padrões à frente das orientações regulamentares. Além de lidar com as interrupções internas, as organizações também devem se preparar para como os fatores e regulamentos externos podem impactar sua capacidade de inovar e abraçar ou governar os avanços tecnológicos. Trabalhar em toda a indústria para definir padrões pode ajudar a mitigar a exposição de regulamentações inesperadas, ações de aplicação repentinas ou penalidades devido à falta de regulamentação. Mais especificamente, quando a inovação está se movendo rapidamente, o advento tardio das regulamentações pode resultar em regulamentações que não são mais relevantes para o tratamento do avanço da tecnologia.
Quando os principais participantes da indústria agem conjuntamente para se autorregular, eles podem fornecer orientações úteis e oportunas para definir o ambiente e orientar as discussões no desenvolvimento de novas leis. As empresas estão passando por uma transformação digital rápida e sem precedentes.
Essa mudança está criando um cenário no qual o uso de aplicativos no local de trabalho está se tornando quase sempre inevitável. As equipes jurídicas e de compliance devem reconhecer esses novos riscos, aceitá-los e estabelecer formas de mitigá-los. Com uma mentalidade que prioriza o equilíbrio saudável, as equipes podem suportar a agilidade em seus negócios, bem como estabelecer um controle significativo e necessário sobre as informações sensíveis.
Douglas Leite, sócio do Licks Advogados, Maíra Ayres Torres, Compliance Officer da Chiesi Farmacêutica e Antonio Gesteira, Senior Managing Director da FTI Technology.