Na era digital, a LGPD (Lei Geral de Proteção de Dados) trouxe grandes mudanças para o uso de e-mails corporativos e o armazenamento internacional de dados. Com a crescente troca de informações sensíveis através de e-mails corporativos, as empresas precisam estar atentas às regras de proteção de dados pessoais, garantindo segurança e conformidade legal. Neste artigo, vamos explorar como a LGPD regula o armazenamento de e-mails, especialmente em servidores internacionais, e quais práticas são essenciais para evitar riscos e proteger sua empresa.
Na era digital, o e-mail se consolidou como uma das principais formas de comunicação entre as empresas e seus clientes, além de ser uma das mais baratas das ferramentas para formalizar decisões e tarefas entre os colaboradores.
Neste cenário, a quantidade de informações trafegadas por e-mails profissionais sempre chamou a atenção de cibercriminosos, que desde o início enxergaram oportunidades para aplicar golpes dos mais variados tipos.
Eis que surge a Lei Geral de Proteção de Dados, a LGPD (Lei nº 13.709/18), lei brasileira aprovada em 2018, que controla a privacidade e o uso/tratamento de dados pessoais, e altera também os artigos 7º e 16º do Marco Civil da Internet.
O Papel da LGPD no Tratamento de Dados Pessoais
A Lei trata do tratamento de dados pessoais, dispostos em meio físico ou digital, realizados por pessoa física ou jurídica de direito público ou privado, englobando um amplo conjunto de operações que podem ocorrer em meios manuais ou digitais.
O tratamento de dados diz respeito a qualquer atividade que utiliza um dado pessoal na execução de sua operação, como, por exemplo, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Antes de iniciar qualquer tipo de tratamento de dados pessoais, o agente deve se certificar de que a finalidade da operação está registrada de forma clara e explícita, e que os propósitos foram especificados e informados ao titular dos dados (proprietário do dado).
O que a LGPD diz sobre o Armazenamento de E-mails
Os e-mails profissionais permeiam as mais diversas atividades de uma empresa, seja no setor administrativo ou operacional. Portanto, são inúmeras as ocasiões em que a troca de dados pessoais ocorre entre colaboradores e clientes/prospects, colaboradores e fornecedores, ou mesmo entre os próprios colaboradores.
A LGPD traz de forma muito transparente a responsabilidade das empresas em proteger os dados pessoais em trânsito e em repouso, incluindo, portanto, o armazenamento de dados pessoais em e-mails.
Dois pontos se destacam nessa questão: a segurança dos dados e o armazenamento propriamente dito.
Transferência Internacional de Dados: Regras e Exigências
No Artigo 6º da LGPD, a lei explica que as empresas devem garantir a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
É imprescindível, portanto, o investimento na segurança dos e-mails, considerando o volume de dados trocados e o fato de serem um vetor de ataques por parte de hackers.
Principais Ameaças: Spoofing, Phishing e Malware
Alguns dos principais golpes realizados por cibercriminosos são:
- Spoofing: nesse golpe, o cibercriminoso finge ser uma pessoa ou empresa conhecida para roubar dados pessoais ou corporativos.
- Malware: é um termo genérico para qualquer software malicioso que pode prejudicar um dispositivo, serviço ou rede programável. O termo é usado para descrever programas intencionalmente criados para causar danos, como roubo de informações pessoais ou danos ao dispositivo. Normalmente, esses ataques são disparados por e-mails contendo links maliciosos.
- Phishing: é um ataque que tenta roubar dinheiro ou identidade, levando a vítima a revelar informações pessoais, como números de cartão de crédito, dados bancários ou senhas, em sites que fingem ser legítimos.
As empresas têm a obrigação de proteger seus sistemas e e-mails profissionais contra problemas de segurança. Em especial, possuem uma obrigação legal (LGPD) de proteger os dados pessoais contidos nos e-mails que tratam.
Empresas de todos os portes vêm buscando nos serviços de e-mails em nuvem uma maneira mais econômica e simplificada de gerenciar a segurança e o armazenamento de e-mails.
E é nesse ponto que devemos ter ainda mais atenção ao segundo aspecto, que abordaremos a seguir.
Armazenamento de Dados em Nuvem e Localização Internacional
No artigo 6º da LGPD, encontramos os princípios da lei, e um deles é o princípio da finalidade, que determina que as empresas devem tratar os dados considerando “propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Aqui, devemos tratar de três temas: a temporalidade, a localidade e a transparência.
- Temporalidade
É essencial que as empresas criem políticas de segurança de dados pessoais, nas quais estejam previstos aspectos como o tempo de armazenamento de e-mails.
Esses documentos também devem definir os procedimentos de eliminação dos dados quando o prazo de armazenamento for alcançado, além de estipular os procedimentos para a análise e atendimento aos direitos dos titulares (quando cabível), como o acesso e a eliminação dos dados pessoais.
- Localidade
É importante ressaltar que todo armazenamento de e-mails envolve uma localidade física, mesmo que o termo “nuvem” seja utilizado. Precisamos entender se a infraestrutura física de armazenamento está localizada no Brasil ou em outros países.
Isso porque há regras específicas para o armazenamento de dados pessoais em países estrangeiros.
Novas Regras da ANPD sobre Transferência Internacional (Resolução CD/ANPD nº 19/2024)
Para aprofundar o tema, foi publicada no Diário Oficial da União, no dia 23/08/2024, a Resolução CD/ANPD nº 19/2024, que aprova o Regulamento de Transferência Internacional de Dados. O texto regulamenta os artigos 33 a 36 da LGPD, estabelecendo procedimentos e regras para o reconhecimento de adequação de outros países ou organismos internacionais, além de disciplinar mecanismos contratuais para a realização de transferências internacionais de dados pessoais.
Os e-mails podem estar armazenados em países reconhecidos pela ANPD como adequados à LGPD, onde a Autoridade atesta a equivalência do nível de proteção de dados pessoais em relação ao regime brasileiro.
A decisão sobre a proposta de equivalência levará em consideração, entre outras circunstâncias relevantes:
- Se as cláusulas-padrão contratuais são compatíveis com as disposições da LGPD e do regulamento, bem como se asseguram um nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão nacionais.
- Os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos sobre o fluxo internacional de dados, as relações diplomáticas, comércio internacional e a cooperação do Brasil com outros países e organismos internacionais.
A transferência internacional de dados para países ou organismos internacionais reconhecidos como adequados pode ocorrer de forma célere e descomplicada. Entretanto, é importante ressaltar que países como os EUA e os da Europa, focos de armazenamento de e-mails, ainda terão que passar por esse procedimento.
Uma inovação da LGPD é que a ANPD pode reconhecer como equivalentes as cláusulas-padrão contratuais de outros países ou organismos internacionais, desde que sejam compatíveis com as disposições da LGPD.
Tendo em vista as semelhanças entre a LGPD do Brasil e a GDPR (Regulamento Geral de Proteção de Dados) da União Europeia, existe a possibilidade de o Brasil não reconhecer os EUA como um país com equivalência do nível de proteção de dados. Nesse caso, a solução para legitimar a transferência de e-mails contendo dados pessoais para os EUA passa pelas cláusulas-padrão contratuais.
Essas cláusulas-padrão estabelecem garantias mínimas e condições válidas para a realização da transferência. No prazo de até 12 meses, as cláusulas-padrão contratuais aprovadas pela ANPD deverão ser adicionadas aos contratos dos agentes de tratamento que utilizam tais cláusulas para realizar transferências internacionais de dados. Isso inclui, por exemplo, o contrato entre a empresa e o provedor do serviço de e-mail.
Transparência e Direito dos Titulares
O controlador deve garantir transparência ao titular, incluindo:
- Publicar no seu site, em uma página específica ou integrada à Política de Privacidade, informações claras e acessíveis sobre a transferência internacional de dados, como detalhes sobre a finalidade, duração, país de destino e os direitos do titular.
- Fornecer, se solicitado, a íntegra das cláusulas contratuais utilizadas, observados os segredos comercial e industrial.
Boas Práticas de Transparência em E-mails Corporativos
Uma prática de transparência que adoto com meus clientes é a inclusão de informações na assinatura dos e-mails. Após a identificação do remetente, informo em qual país os dados contidos nos e-mails são armazenados, além de disponibilizar um link que direciona à Política de Privacidade, onde apresento mais detalhes sobre o possível tratamento internacional de dados.
A Lei Geral de Proteção de Dados (LGPD) estabelece que o armazenamento de dados pessoais, incluindo aqueles contidos em e-mails corporativos, deve seguir princípios como transparência, segurança e finalidade específica. Empresas precisam garantir que dados pessoais coletados ou armazenados em e-mails sejam protegidos de acesso não autorizado e armazenados apenas pelo tempo necessário para a finalidade informada ao titular. Além disso, é necessário que a empresa utilize medidas técnicas e administrativas adequadas para proteger esses dados.
Os e-mails corporativos são alvos comuns de cibercriminosos. Entre os principais riscos estão:Spoofing: Quando um cibercriminoso finge ser um remetente confiável para enganar o destinatário e obter informações sensíveis.Phishing: Golpes que tentam roubar dados confidenciais, como senhas e informações financeiras, por meio de e-mails fraudulentos.Malware: Softwares maliciosos que podem ser enviados como anexos de e-mails ou por meio de links. Eles são projetados para roubar dados, corromper sistemas ou causar outros tipos de danos.Empresas devem implementar soluções de segurança como filtros de spam, verificação de anexos e criptografia para mitigar esses riscos.
A LGPD regula a transferência internacional de dados pessoais, incluindo aqueles armazenados em e-mails, para garantir que eles sejam protegidos de acordo com os padrões da lei brasileira. Para que a transferência internacional de dados seja permitida, o país de destino deve oferecer um nível de proteção de dados adequado ou devem ser utilizadas cláusulas contratuais padrão aprovadas pela ANPD (Autoridade Nacional de Proteção de Dados).Empresas que utilizam provedores de e-mail em nuvem com servidores localizados fora do Brasil precisam assegurar que esses provedores cumpram os requisitos da LGPD para garantir a proteção e a legalidade do tratamento desses dados.
Para proteger os dados pessoais em e-mails profissionais, as empresas devem adotar uma série de medidas de segurança, como:Criptografia de e-mails: Garantir que os e-mails enviados e recebidos sejam criptografados para proteger os dados contra acessos não autorizados.Autenticação multifator (MFA): Exigir múltiplos fatores de autenticação para acessar contas de e-mail, dificultando o acesso indevido.Política de segurança: Implementar políticas de segurança claras que definam como os e-mails devem ser usados, armazenados e excluídos.Treinamento de colaboradores: Realizar treinamentos regulares para conscientizar os colaboradores sobre práticas de segurança de e-mails, como evitar abrir anexos suspeitos ou clicar em links desconhecidos.Estas medidas são essenciais para proteger dados pessoais e garantir a conformidade com a LGPD.
A LGPD exige que as empresas que utilizam serviços de e-mail em nuvem garantam que esses serviços estejam em conformidade com as normas de proteção de dados. Isso significa que as empresas precisam verificar onde os dados são armazenados (servidores locais ou internacionais) e se os provedores de serviços de nuvem adotam medidas de segurança adequadas. Além disso, a empresa deve garantir que a transferência internacional de dados esteja de acordo com a Resolução CD/ANPD nº 19/2024, que estabelece regras específicas para a transferência de dados para outros países.Se os dados forem armazenados em servidores fora do Brasil, é importante que o país de destino tenha um nível de proteção de dados equivalente ao da LGPD, ou que a transferência seja legitimada por meio de cláusulas contratuais padrão aprovadas pela ANPD.
Sim, é possível armazenar e-mails em servidores fora do Brasil, desde que sejam cumpridas as exigências da LGPD. A transferência de dados pessoais para servidores internacionais pode ocorrer se o país de destino for reconhecido pela ANPD como tendo uma proteção de dados adequada ou se a empresa adotar cláusulas contratuais padrão que garantam a segurança dos dados. A Resolução CD/ANPD nº 19/2024 regulamenta essas transferências e define os critérios para o reconhecimento de países adequados ou o uso de cláusulas contratuais específicas para garantir a conformidade com a LGPD.
