Coluna | Seu Direito
Dra. Christiane Reyder
Advogada, Consultora e Mentora em proteção de dados. Mestre e Doutoranda em Direito pela Univ. Lisboa.
Perfil no Instagram: @chrisreyder_protecaodedados
A função ''CCO'' ou ''BBC'' é insuficiente para proteger informações pessoais ao enviar e-mail
15/09/2023

O envio de uma mensagem por e-mail pode implicar em violação de dados pessoais de várias formas, desde a exposição do endereço eletrônico dos destinatários até à criação de uma situação de exposição incidental de informação pessoal de maior vulnerabilidade, ainda que a mensagem em si não seja confidencial.

Ante centenas de incidentes de segurança de dados pessoais reportados, envolvendo o uso do campo “ “Cco” no envio de e-mail, a Autoridade de Proteção de Dados do Reino Unido (ICO – Information Commissioner’s Office) editou uma orientação para o uso desta função quando do envio de mensagens em massa.

A ICO alerta que a função “Cco”, embora útil, não é suficiente para proteger informações pessoais, de modo que alguns fatores podem indicar a necessidade de considerar meios alternativos para o envio das mensagens. 

Mesmo que o conteúdo da mensagem não contenha nada confidencial, revelar que uma pessoa recebeu a mensagem pode expor informação confidencial sobre ela. Por exemplo, um provedor do sistema nacional de saúde do Reino Unido enviou e-mail aos seus pacientes sobre um concurso de arte. Os endereços eletrônicos foram extraídos do sistema de registro de pacientes e manualmente copiados para o campo “Para” no lugar do campo “Cco”, o que divulgou os endereços de todos os destinatários entre si. Embora o conteúdo da mensagem não fosse confidencial, o fato do e-mail ter sido enviado aos pacientes revelou informação sensível sobre os destinatários (serem pacientes daquele serviço de saúde), tendo sido a entidade multada.

A função “Cco” (ou “BCC”) oculta os endereços e é utilizada para enviar e-mails em massa, com uma grande lista de destinatários. Contudo, o esquecimento em utilizar o “Cco” ou o uso equivocado da função “Cc” no seu lugar, conduz, com elevada frequência, à exposição de todos os endereços eletrônicos.

Assim, a função “Cco” deve ser usada se o conteúdo da mensagem não for confidencial e o risco for baixo, devendo-se considerar a natureza da organização e da própria mensagem. Deve-se avaliar se o uso de serviços de e-mail marketing não seria mais seguro e recomendável.

Ao optar pelo serviço de e-mail marketing, deve-se certificar de que a contratada segue os parâmetros de segurança dos dados e identificar a posição jurídica dela no tratamento destes dados, se controladora conjunta ou operadora.

O controlador tem o dever de implementar medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados e situações de uso ilícito ou indevido, ainda que acidentais.

A definição das medidas a serem implementadas deve considerar também os custos envolvidos, de modo que deve-se usar uma abordagem baseada no risco para garantir a adequada proteção dos dados pessoais, tendo em conta as melhores práticas.

A não-implementação de medidas adequadas leva a riscos operacionais e de reputação, mas principalmente, pode pôr os titulares dos dados em sérios riscos. A ICO lembra que a função “Cco”, embora útil, não é suficiente para, por si só, proteger adequadamente as informações das pessoas. Se acidentalmente for usada a função “Cc”, serão divulgados os endereços destinatários. Mas mesmo na função “Cco”, o conteúdo do e-mail permanece visível e e-mail não criptografado funciona como um cartão-postal, podendo ser lido em qualquer um dos servidores pelos quais ele passa. A função “CCo” oculta apenas os endereços contra a visualização, não oferecendo proteção para o conteúdo do e-mail.

A ICO sugere que, na avaliação das medidas a implementar, que se considere a definição de regras no sistema de e-mail para fornecer alertas e avisar os remetentes quando usarem o campo “CC”; a definição de um atraso no envio, que permita a correção dos erros antes que o e-mail saia do sistema da organização; a desativação da função de preenchimento automático de e-mail, evitando que o sistema sugira endereços na caixa de destinatário; o treinamento dos colaboradores sobre quando o envio de e-mails em massa é apropriado, sobre melhores práticas e alternativas seguras, além de como recuperar e-mails enviados por engano.

Os e-mails têm se tornado a opção padrão para o compartilhamento eficiente de informações, mas isso não os torna a melhor escolha sempre.

É responsabilidade do controlador determinar as medidas apropriadas para cada situação, considerando a natureza da informação pessoal que será compartilhada e os riscos envolvidos. 

Uma exposição indevida de dados pessoais deve ser reportada pelos colaboradores ao responsável pela proteção de dados na organização. Lidar com o incidente de forma eficaz pode reduzir os riscos de ferir as pessoas titulares dos dados.

Comente!

 
Últimos artigos deste colunista
« ver todos
 
PUBLICIDADE
PUBLICIDADE
Colunistas

SIGA O VARGINHA ONLINE Curta a Página do VOL no Facebook Siga o VOL no Twitter Fale conosco
Página Principal | Expediente | Privacidade | Entre em Contato | Anuncie no Varginha Online
Site associado ao Sindijori

Todos os direitos reservados 2000 - 2023 - Varginha Online - IPHosting- Hospedagem de Sites (Parceiro Varginha Online)