Pode-se dizer que o endereço eletrônico é, hoje, o canal de comunicação por excelência, utilizado pela maioria das empresas e profissionais. E esta naturalidade com que se utiliza o e-mail não deve significar um uso relaxado e despreocupado, sob pena do risco de ocorrem episódios de incidentes de segurança com dados pessoais.
A proteção de dados é um direito fundamental de status constitucional, que conta com todo um regime jurídico próprio, centralizado pela Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
Para efeito da LGPD, qualquer violação às suas disposições configura incidente de segurança com os dados pessoais, sujeitando o infrator à aplicação das sanções nela estabelecidas ou mesmo a condenação judicial.
Quando se fala em proteção de dados pessoais, ainda há quem pense apenas na tecnologia capaz de proteger a empresa contra vazamento de dados mediante uma invasão do sistema por hackers.
Contudo, a Lei determina que aquele que realiza tratamento de dados pessoais deve assegurar a proteção destes dados contra uso indevido e acesso não autorizado.
O acesso não autorizado acontece sempre que alguém, que não está autorizado a tomar contato com os dados, a conhecer o seu conteúdo, entra em contato com eles, acessa-os de algum modo.
Por esta razão que, mesmo dentro da organização, é preciso estabelecer um controle de acesso, para que, em cada setor, somente tenha possibilidade de acesso aos dados os colaboradores que efetivamente deles precisem em razão das suas funções. E estes devem acessar somente os dados necessários em cada momento. Caso contrário, tem-se uma situação de acesso não autorizado, passível de penalização.
Neste sentido, o envio de um email equivocado, se contiver dados pessoais, configura um vazamento de dados. O equívoco pode se dar na designação do destinatário, encaminhando uma mensagem com dados pessoais a um terceiro. Ou pode se dar no conteúdo, quando a mensagem, embora dirigida à pessoa certa, vai acompanhada de dados pessoais de terceiro. Isto é muito comum.
Por exemplo, a Autoridade de Proteção de Dados da Espanha, com quem a Autoridade brasileira mantém uma relação muito próxima e acordos de cooperação, já multou um escritório de contabilidade que encaminhou um arquivo contendo dados pessoais para o cliente errado. O próprio cliente que recebeu o email com o arquivo de terceiro denunciou o escritório.
Viola a LGPD tanto o envio indevido do e-mail por dolo, quanto por erro. Pode haver aqui uma gradação da penalidade a ser aplicada.
As estatísticas revelam que a maior parte dos incidentes de segurança com dados pessoais envolve o elemento humano.
Ao receber um e-mail dirigido a outra pessoa, com dados pessoais desta, quem recebe a mensagem deve exigir do remetente informações acerca dos seus dados: como ele obteve o seu e-mail, quais outros dados seus ele tem e como os obteve, o modo de tratamento, critérios, compartilhamentos, finalidades.
A pessoa deve exercer o seu direito de acesso, mediante o requerimento de uma declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, no prazo de até 15 dias, nos termos da LGPD. Pode ainda escolher se quer a declaração impressa ou por meio eletrônico, que seja seguro e idôneo.
Vale ainda esclarecer que uma resposta com mero pedido de desculpas, informando que os dados foram excluídos, além de não atender, constitui outra infração à LGPD, por impedir o exercício do direito de acesso aos dados pelo titular e usar de má fé, o que agrava a conduta e, consequentemente, a pena.
