Regulamento geral de proteção de dados (GDPR)
No 25th de maio, o Regulamento Geral de Proteção de Dados (GDPR) entrará em vigor. Com a instalação do GDPR, a proteção de dados pessoais se torna cada vez mais importante. As empresas precisam levar em consideração regras mais rígidas em relação à proteção de dados. No entanto, várias questões surgem como resultado da parcela do RGPD. Para as empresas, pode não estar claro quais dados são considerados dados pessoais e se enquadram no escopo do RGPD. É o caso dos endereços de email: um endereço de email é considerado dados pessoais? As empresas que usam endereços de e-mail estão sujeitas ao GDPR? Essas perguntas serão respondidas neste artigo.
Dados pessoais
Para responder à pergunta sobre se um endereço de e-mail é ou não considerado dados pessoais, é necessário definir o termo dados pessoais. Este termo é explicado no RGPD. Com base no artigo 4 sub a GDPR, dados pessoais significam qualquer informação relativa a uma pessoa física identificada ou identificável. Uma pessoa singular identificável é uma pessoa que pode ser identificada, direta ou indiretamente, principalmente em referência a um identificador, como nome, número de identificação, dados de localização ou identificador on-line. Dados pessoais se referem a pessoas físicas. Portanto, informações sobre pessoas falecidas ou pessoas jurídicas não são consideradas dados pessoais.
Agora que a definição de dados pessoais está determinada, é preciso avaliar se um endereço de e-mail é considerado um dado pessoal. Caso holandês lei indica que endereços de e-mail podem ser dados pessoais, mas que nem sempre é esse o caso. Depende se uma pessoa física é identificada ou identificável com base no endereço de e-mail.[1] A maneira como as pessoas estruturaram seus endereços de e-mail deve ser levada em consideração para determinar se o endereço de e-mail pode ser visto como dado pessoal ou não.
Muitas pessoas físicas estruturam seus endereços de e-mail de tal forma que eles devem ser considerados dados pessoais. Este é, por exemplo, o caso quando um endereço de e-mail é estruturado da seguinte maneira: conveyors.au@prok.com. Este endereço de e-mail expõe o primeiro e o último nome da pessoa física que usa o endereço.
Portanto, essa pessoa pode ser identificada com base neste endereço de e-mail. Endereços de e-mail usados para atividades comerciais também podem conter dados pessoais. Este é o caso quando um endereço de e-mail é estruturado da seguinte maneira: conveyors.au@prok.com. A partir deste endereço de e-mail, é possível deduzir quais são as iniciais da pessoa que o utiliza, qual é o seu sobrenome e onde trabalha. Portanto, a pessoa que utiliza este endereço de e-mail é identificável com base no endereço de e-mail.
Um endereço de e-mail não é considerado dado pessoal quando nenhuma pessoa física pode ser identificada a partir dele. Este é o caso quando, por exemplo, o seguinte endereço de e-mail é utilizado: conveyors.au@prok.comEste endereço de e-mail não contém nenhum dado que permita a identificação de uma pessoa física. Endereços de e-mail gerais usados por empresas, como conveyors.au@prok.com, também não são considerados dados pessoais.
Este endereço de e-mail não contém nenhuma informação pessoal a partir da qual uma pessoa física possa ser identificada. Além disso, o endereço de e-mail não é usado por uma pessoa física, mas por uma entidade legal. Portanto, não é considerado um dado pessoal. Da jurisprudência holandesa pode-se concluir que endereços de e-mail podem ser dados pessoais, mas nem sempre é esse o caso; depende da estrutura do endereço de e-mail.
Há uma grande chance de que pessoas físicas possam ser identificadas pelo endereço de e-mail que estão usando, o que torna os endereços de e-mail dados pessoais. Para classificar endereços de e-mail como dados pessoais, não importa se a empresa realmente usa os endereços de e-mail para identificar os usuários. Mesmo que uma empresa não use os endereços de e-mail com o propósito de identificação de pessoas físicas, os endereços de e-mail dos quais as pessoas físicas podem ser identificadas ainda são considerados dados pessoais.
Nem toda conexão técnica ou coincidente entre uma pessoa e dados é suficiente para nomear os dados como dados pessoais. No entanto, se existir a possibilidade de que os endereços de e-mail possam ser usados para identificar os usuários, por exemplo, para detectar casos de fraude, os endereços de e-mail são considerados dados pessoais. Nisso, não importa se a empresa pretendia ou não usar os endereços de e-mail para essa finalidade. A lei fala de dados pessoais quando existe a possibilidade de que os dados possam ser usados para uma finalidade que identifique uma pessoa física.[2]
Dados pessoais especiais
Embora endereços de e-mail sejam considerados dados pessoais na maioria das vezes, eles não são dados pessoais especiais. Dados pessoais especiais são dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação comercial, e dados genéticos ou biométricos. Isso decorre do artigo 9 do RGPD. Além disso, um endereço de e-mail contém menos informações públicas do que, por exemplo, um Início endereço.
É mais difícil obter conhecimento do endereço de e-mail de alguém do que do seu endereço residencial e depende em grande parte do usuário do endereço de e-mail se o endereço de e-mail é tornado público ou não. Além disso, a descoberta de um endereço de e-mail que deveria ter permanecido oculto tem consequências menos sérias do que a descoberta de um endereço residencial que deveria ter permanecido oculto. É mais fácil alterar um endereço de e-mail do que um endereço residencial e a descoberta de um endereço de e-mail pode levar ao contato digital, enquanto a descoberta de um endereço residencial pode levar ao contato pessoal.[3]
Processamento de dados pessoais
Estabelecemos que os endereços de email são considerados dados pessoais na maioria das vezes. No entanto, o GDPR se aplica apenas a empresas que estão processando dados pessoais. O processamento de dados pessoais existe para todas as ações relacionadas a dados pessoais. Isso é definido mais detalhadamente no GDPR. De acordo com o artigo 4.º, n.º 2, do RGPD, o processamento de dados pessoais significa qualquer operação realizada em dados pessoais, seja por meios automáticos ou não. Exemplos são coleta, gravação, organização, estruturação, armazenamento e uso de dados pessoais. Quando as empresas realizam as atividades mencionadas acima em relação aos endereços de email, elas estão processando dados pessoais. Nesse caso, eles estão sujeitos ao RGPD.
Conclusão
Nem todo endereço de e-mail é considerado um dado pessoal. No entanto, endereços de e-mail são considerados dados pessoais quando fornecem informações identificáveis sobre uma pessoa física. Muitos endereços de e-mail são estruturados de forma que a pessoa física que usa o endereço de e-mail possa ser identificada. Esse é o caso quando o endereço de e-mail contém o nome ou local de trabalho de uma pessoa física. Portanto, muitos endereços de e-mail serão considerados dados pessoais.
É difícil para as empresas fazerem uma distinção entre endereços de e-mail que são considerados dados pessoais e endereços de e-mail que não são, uma vez que isso depende inteiramente da estrutura do endereço de e-mail. Portanto, é seguro dizer que as empresas que processam dados pessoais encontrarão endereços de e-mail que são considerados dados pessoais. Isso significa que essas empresas estão sujeitas ao GDPR e devem implementar uma política de privacidade que seja compatível com o RGPD.
[1] ECLI: NL: GHAMS: 2002: AE5514.
Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.
