Regulamento geral de proteção de dados
No 25th de maio, o Regulamento Geral de Proteção de Dados (GDPR) entrará em vigor. Com a instalação do GDPR, a proteção de dados pessoais se torna cada vez mais importante. As empresas precisam levar em consideração regras mais rígidas em relação à proteção de dados. No entanto, várias questões surgem como resultado da parcela do RGPD. Para as empresas, pode não estar claro quais dados são considerados dados pessoais e se enquadram no escopo do RGPD. É o caso dos endereços de email: um endereço de email é considerado dados pessoais? As empresas que usam endereços de e-mail estão sujeitas ao GDPR? Essas perguntas serão respondidas neste artigo.
Dados pessoais
Para responder à pergunta sobre se um endereço de e-mail é ou não considerado dados pessoais, é necessário definir o termo dados pessoais. Este termo é explicado no RGPD. Com base no artigo 4 sub a GDPR, dados pessoais significam qualquer informação relativa a uma pessoa física identificada ou identificável. Uma pessoa singular identificável é uma pessoa que pode ser identificada, direta ou indiretamente, principalmente em referência a um identificador, como nome, número de identificação, dados de localização ou identificador on-line. Dados pessoais se referem a pessoas físicas. Portanto, informações sobre pessoas falecidas ou pessoas jurídicas não são consideradas dados pessoais.
Agora que a definição de dados pessoais é determinada, é necessário avaliar se um endereço de email é considerado dados pessoais. A jurisprudência holandesa indica que os endereços de email podem ser dados pessoais, mas que nem sempre é esse o caso. Depende da identificação ou identificação de uma pessoa física com base no endereço de e-mail. [1] A maneira como as pessoas estruturaram seus endereços de email deve ser levada em consideração para determinar se o endereço de email pode ser visto como dados pessoais ou não. Muitas pessoas singulares estruturam seu endereço de e-mail de forma que o endereço deva ser considerado dados pessoais. É o caso, por exemplo, de um endereço de email estruturado da seguinte maneira: firstname.lastname@gmail.com. Este endereço de email expõe o nome e o sobrenome da pessoa natural que usa o endereço. Portanto, essa pessoa pode ser identificada com base nesse endereço de email. Os endereços de email usados para atividades de negócios também podem conter dados pessoais. É o caso de um endereço de email ser estruturado da seguinte maneira: initials.lastname@nameofcompany.com. Desse endereço de email, podem ser derivadas quais são as iniciais da pessoa que usa o endereço de email, qual é o sobrenome e onde essa pessoa trabalha. Portanto, a pessoa que usa este endereço de email é identificável com base no endereço de email.
Um endereço de email não é considerado um dado pessoal quando nenhuma pessoa natural pode ser identificada a partir dele. É o caso quando, por exemplo, o seguinte endereço de email é usado: puppy12@hotmail.com. Este endereço de email não contém nenhum dado a partir do qual uma pessoa natural possa ser identificada. Os endereços de email gerais usados pelas empresas, como info@nameofcompany.com, também não são considerados dados pessoais. Este endereço de email não contém nenhuma informação pessoal a partir da qual uma pessoa natural possa ser identificada. Além disso, o endereço de email não é usado por uma pessoa singular, mas por uma entidade legal. Portanto, não são considerados dados pessoais. Da jurisprudência holandesa, pode-se concluir que os endereços de email podem ser dados pessoais, mas esse nem sempre é o caso; isso depende da estrutura do endereço de email.
Há uma grande chance de que pessoas físicas possam ser identificadas pelo endereço de email que estão usando, o que torna os dados pessoais dos endereços de email. Para classificar endereços de email como dados pessoais, não importa se a empresa realmente usa os endereços de email para identificar os usuários. Mesmo que uma empresa não use os endereços de email com a finalidade de identificação de pessoas físicas, os endereços de email dos quais as pessoas físicas podem ser identificadas ainda serão considerados dados pessoais. Nem toda conexão técnica ou coincidente entre uma pessoa e dados é suficiente para designar os dados como dados pessoais. No entanto, se existe a possibilidade de os endereços de email poderem ser usados para identificar os usuários, por exemplo, para detectar casos de fraude, os endereços de email são considerados dados pessoais. Nisso, não importa se a empresa pretendia ou não usar os endereços de email para esse fim. A lei fala de dados pessoais quando existe a possibilidade de que os dados possam ser usados para uma finalidade que identifique uma pessoa natural. [2]
Dados pessoais especiais
Embora os endereços de email sejam considerados dados pessoais na maioria das vezes, eles não são dados pessoais especiais. Dados pessoais especiais são dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação comercial e dados genéticos ou biométricos. Isso deriva do artigo 9 do RGPD. Além disso, um endereço de email contém menos informações públicas do que, por exemplo, um endereço residencial. É mais difícil obter conhecimento do endereço de e-mail de alguém do que o endereço residencial e depende em grande parte do usuário do endereço de e-mail, quer o endereço de e-mail seja tornado público ou não. Além disso, a descoberta de um endereço de email que deveria ter ficado oculto tem consequências menos graves do que a descoberta de um endereço residencial que deveria ter ficado oculto. É mais fácil alterar um endereço de email do que um endereço residencial e a descoberta de um endereço de email pode levar ao contato digital, enquanto a descoberta de um endereço residencial pode levar ao contato pessoal. [3]
Processamento de dados pessoais
Estabelecemos que os endereços de email são considerados dados pessoais na maioria das vezes. No entanto, o GDPR se aplica apenas a empresas que estão processando dados pessoais. O processamento de dados pessoais existe para todas as ações relacionadas a dados pessoais. Isso é definido mais detalhadamente no GDPR. De acordo com o artigo 4.º, n.º 2, do RGPD, o processamento de dados pessoais significa qualquer operação realizada em dados pessoais, seja por meios automáticos ou não. Exemplos são coleta, gravação, organização, estruturação, armazenamento e uso de dados pessoais. Quando as empresas realizam as atividades mencionadas acima em relação aos endereços de email, elas estão processando dados pessoais. Nesse caso, eles estão sujeitos ao RGPD.
Conclusão
Nem todos os endereços de email são considerados dados pessoais. No entanto, endereços de email são considerados dados pessoais quando fornecem informações identificáveis sobre uma pessoa natural. Muitos endereços de email são estruturados de maneira que a pessoa natural que usa o endereço de email possa ser identificada. É o caso quando o endereço de email contém o nome ou local de trabalho de uma pessoa natural. Portanto, muitos endereços de email serão considerados dados pessoais. É difícil para as empresas fazer uma distinção entre endereços de email considerados dados pessoais e endereços de email que não são, pois isso depende inteiramente da estrutura do endereço de email. Portanto, é seguro dizer que as empresas que processam dados pessoais encontrarão endereços de e-mail considerados dados pessoais. Isso significa que essas empresas estão sujeitas ao GDPR e devem implementar uma política de privacidade compatível com o GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.