E-MAIL CORPORATIVO E A LGPD - Lei Geral de Proteção de Dados – Parte I

Atualizado: Nov 6

A Inova é especialista em e-mails, não em leis de proteção de dados, que devem sempre seguir as instruções de escritórios jurídicos capacitados. Contudo, e por sua vez, estes escritórios jurídicos não entendem de e-mails. E assim, quando falamos de E-mail Corporativo, a solução é unir expertises, permitindo que sua empresa esteja segura de que estará seguindo o que a LGPD determina.




Este artigo (dividido em cinco partes para descomplicar o entendimento) vai ajudá-lo a se unir aos dois mundos, especialistas em e-mails e escritórios jurídicos, permitindo que adote práticas que estejam em compliance com a Lei Geral de Proteção de Dados brasileira, conhecida como LGPD (Lei nº 13.709/2018), disponível para acesso no site oficial do Governo Federal aqui.

Parte I

Sobre a LGPD e as Disposições Preliminares

DO TRATAMENTO DE DADOS PESSOAIS

· Dos Requisitos para o Tratamento de Dados Pessoais

· Do Tratamento de Dados Pessoais Sensíveis

· Do Tratamento de Dados Pessoais de Crianças e de Adolescentes

· Do Término do Tratamento de Dados

DOS DIREITOS DO TITULAR

Parte II

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

· Das Regras

· Da Responsabilidade

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

Parte III

DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

· Do Controlador e do Operador

· Do Encarregado pelo Tratamento de Dados Pessoais

· Da Responsabilidade e do Ressarcimento de Danos

Parte IV

DA SEGURANÇA E DAS BOAS PRÁTICAS

· Da Segurança e do Sigilo de Dados

· Das Boas Práticas e da Governança

Parte V

DA FISCALIZAÇÃO

· Das Sanções Administrativas

DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

· Da Autoridade Nacional de Proteção de Dados (ANPD)

· Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

Comecemos então falando sobre a LGPD e as Disposições Preliminares.

O QUE É A LGPD?

Uma lei que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Não vamos detalhar a lei e recomendamos que faça isto com sua área jurídica, contudo resumiremos abaixo as preocupações diretas que sua empresa deve ter quando falamos de e-mails.

Basicamente são três pilares importantes:

- Do que se trata a lei (dados)

- De quem são estes dados (cidadão)

- Quem trata estes dados (sua empresa)

Em primeiro lugar, a preocupação principal deve ser com os dados dos cidadãos. Então vamos definir o que é isto:

1. Dado pessoal

Informação relacionada a pessoa natural identificada ou identificável;

2. Dado pessoal sensível

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

3. Dado anonimizado

Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

4. Banco de dados

Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

Em segundo lugar, é importante saber que estes dados terão sempre um proprietário, que terá pleno direito sobre eles, estejam onde estiverem:

1. Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Em terceiro, temos a sua empresa, ou seja, quem deterá os dados do titular. E aqui temos algumas “personas” com que deve se preocupar a partir de agora, pois serão extremamente fundamentais sobre sua segurança em estar em conformidade com a lei:

1. Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

2. Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

3. Encarregado

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

4. Agentes de tratamento

O controlador e o operador;

Como pôde observar, logo de entrada a sua empresa precisará se preocupar com alguns fatores importantes, que vão desde uma categorização básica, ou seja, saber qual dado está retendo do cidadão, seja cliente ou não, até os profissionais responsáveis pelo tratamento dos dados, que precisam ser especializados e entendedores de políticas de segurança e de base de dados.

DO TRATAMENTO DE DADOS PESSOAIS

· Dos Requisitos para o Tratamento de Dados Pessoais

· Do Tratamento de Dados Pessoais Sensíveis

· Do Tratamento de Dados Pessoais de Crianças e de Adolescentes

· Do Término do Tratamento de Dados

Consultando o Capítulo II da LGPD, é possível encontrar diversas variáveis que remeterão preocupações diretas com o uso do e-mail corporativo. São elas:

- Coleta de dados com o devido consentimento do titular

Sabe aquele formulário que sua empresa coloca no web site para que pessoas entrem em contato com ela? Pois é! Ele agora precisa ter claramente uma solicitação de autorização do titular do dado para que aquilo que for inserido possa ser retido e utilizado pela empresa. E esta autorização não poderá ser genérica, tem que ser bastante específica e determinando a finalidade, ou será completamente anulada em qualquer processo por parte do titular.

Vale lembrar que, certamente, lá terá um campo para coletar o endereço eletrônico do titular, que poderá somente ser utilizado com o consentimento do respectivo titular, de acordo com a finalidade proposta.

Você não poderá coletar um endereço eletrônico com a finalidade de retornar o contato que ele fez e depois utilizar este e-mail para fazer marketing digital. Será necessário especificar as duas condições e ainda assim pedir o consentimento formal e legal do titular.

- Armazenamento seguro

Falaremos mais adiante sobre segurança, contudo será fundamental como e onde armazenar os dados coletados, uma vez que ali poderão ter dados sensíveis, como raça, preferência religiosa, sexual e outras.

Contudo, quando falamos de e-mail, existe sempre a possibilidade de digitação de texto livre, seja no assunto ou no corpo do e-mail, ainda que utilizando formulário.

Sua preocupação será em trafegar estas informações de forma segura, com ambientes protegidos por criptografia, preferencialmente, e páginas armazenadas em ambientes seguros (SSL/TLS, firewalls, monitoramento 24x7, etc).

- Menores de idade

Agora não será possível coletar dados sem a preocupação com a idade do titular, pois existem regras específicas para crianças e adolescentes.

Desta forma, cuidar para que este tipo de persona não participe de seus processos de coletas de informações é fundamental, reduzindo assim os riscos. E, caso seja necessária a participação deste público, atentar aos fatos de consentimentos dos responsáveis, o que gerará trabalho dobrado para ter de fato um controle adequado para isto.

- Dados expirados

Sua empresa não poderá simplesmente coletar dados. Deverá dar tempo de validade para eles dentro do negócio e inclusive avisar o titular sobre isto.

E caso precise revalidar o prazo de uso do dado, o titular também precisará ser informado. E também deve entregar meios para que ele valide isto.

DOS DIREITOS DO TITULAR

Aqui sua empresa precisa se preocupar bastante. Não basta ter o controle do banco de dados dos contatos em local seguro, devidamente gerenciado. Precisará ter ferramentas que evidenciem diversas variáveis inclusas na lei, dentre elas:

- Confirmar que de fato faz o tratamento devido ao dado;

- Permitir acesso ao dado pelo titular;

- Permitir que ele corrija e altere o que for necessário;

- Que omita e/ou elimine o que ele desejar que não fique no seu negócio;

Veja que, ao falarmos de e-mail, o titular pode simplesmente ter enviado dados sensíveis no corpo de uma mensagem e exigir, posteriormente, todos os processos seguros adotados para proteger as informações enviadas.

Outra situação, dentro das plataformas de e-mails, normalmente temos a área de dados dos contatos. A agenda de contatos, propriamente dita. Como impedir que um colaborador da sua empresa, por exemplo, não cadastre dados sensíveis no contato, lá dentro da agenda?

São preocupações que vão além das práticas de segurança de dados. Envolvem inclusive um Acordo de Confidencialidade dos colaboradores, compromissos em não armazenar dados sensíveis e principalmente ter meios de controle de tudo isto, inclusive eliminando a função “agenda” das plataformas de e-mails, se necessário.

Observe que a utilização do e-mail corporativo é abrangente e traz vários pontos de preocupação que precisam ser tratados previamente para que as pesadas multas ditadas pela LGPD não surpreendam o seu negócio.

A Inova Tecnologias é especializada em soluções de e-mail corporativo e pode auxiliar a sua empresa a adotar uma solução totalmente compliance com a LGPD.

- Plataformas seguras, utilizando duplo fator de autenticação, SSL e criptografia fim a fim;

- Ferramenta própria de auditoria, gestão e controle de e-mails, inclusive impedindo envios com determinados conteúdos, definição de horários de operação e muito mais;

- Soluções antifraude, antivírus e antispam de alto nível tecnológico;

- Ambientes de Disaster Recovery para os dados de e-mail, permitindo rápido e-discovery e entregando ao titular todas as informações pertinentes aos seus envios.

Saiba mais em www.inova.com.br

Parte I

Parte II

Parte III

Parte IV

Parte V

#email #emailcorporativo #lgpd #zimbra #openxchange #oxmail

Contate-nos

arrow&v
arrow&v
arrow&v

INOVA TECNOLOGIAS DE INFORMACAO E REPRESENTACOES LTDA.

CNPJ 01.427.728/0001-67

Endereço. Rua Gomes de Carvalho, 1629 São Paulo SP - CEP 04547-006

Copyright © 2020 por INOVA | São Paulo | Brasil

Empresa associada: