A função ''CCO'' ou ''BBC'' é insuficiente para proteger informações pessoais ao enviar e-mail
O envio de uma mensagem por e-mail pode implicar em violação de dados pessoais de várias formas, desde a exposição do endereço eletrônico dos destinatários até à criação de uma situação de exposição incidental de informação pessoal de maior vulnerabilidade, ainda que a mensagem em si não seja confidencial.
A ICO alerta que a função “Cco”, embora útil, não é suficiente para proteger informações pessoais, de modo que alguns fatores podem indicar a necessidade de considerar meios alternativos para o envio das mensagens.
Mesmo que o conteúdo da mensagem não contenha nada confidencial, revelar que uma pessoa recebeu a mensagem pode expor informação confidencial sobre ela. Por exemplo, um provedor do sistema nacional de saúde do Reino Unido enviou e-mail aos seus pacientes sobre um concurso de arte. Os endereços eletrônicos foram extraídos do sistema de registro de pacientes e manualmente copiados para o campo “Para” no lugar do campo “Cco”, o que divulgou os endereços de todos os destinatários entre si. Embora o conteúdo da mensagem não fosse confidencial, o fato do e-mail ter sido enviado aos pacientes revelou informação sensível sobre os destinatários (serem pacientes daquele serviço de saúde), tendo sido a entidade multada.
A função “Cco” (ou “BCC”) oculta os endereços e é utilizada para enviar e-mails em massa, com uma grande lista de destinatários. Contudo, o esquecimento em utilizar o “Cco” ou o uso equivocado da função “Cc” no seu lugar, conduz, com elevada frequência, à exposição de todos os endereços eletrônicos.
Assim, a função “Cco” deve ser usada se o conteúdo da mensagem não for confidencial e o risco for baixo, devendo-se considerar a natureza da organização e da própria mensagem. Deve-se avaliar se o uso de serviços de e-mail marketing não seria mais seguro e recomendável.
Ao optar pelo serviço de e-mail marketing, deve-se certificar de que a contratada segue os parâmetros de segurança dos dados e identificar a posição jurídica dela no tratamento destes dados, se controladora conjunta ou operadora.
O controlador tem o dever de implementar medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados e situações de uso ilícito ou indevido, ainda que acidentais.
A definição das medidas a serem implementadas deve considerar também os custos envolvidos, de modo que deve-se usar uma abordagem baseada no risco para garantir a adequada proteção dos dados pessoais, tendo em conta as melhores práticas.
A não-implementação de medidas adequadas leva a riscos operacionais e de reputação, mas principalmente, pode pôr os titulares dos dados em sérios riscos. A ICO lembra que a função “Cco”, embora útil, não é suficiente para, por si só, proteger adequadamente as informações das pessoas. Se acidentalmente for usada a função “Cc”, serão divulgados os endereços destinatários. Mas mesmo na função “Cco”, o conteúdo do e-mail permanece visível e e-mail não criptografado funciona como um cartão-postal, podendo ser lido em qualquer um dos servidores pelos quais ele passa. A função “CCo” oculta apenas os endereços contra a visualização, não oferecendo proteção para o conteúdo do e-mail.
A ICO sugere que, na avaliação das medidas a implementar, que se considere a definição de regras no sistema de e-mail para fornecer alertas e avisar os remetentes quando usarem o campo “CC”; a definição de um atraso no envio, que permita a correção dos erros antes que o e-mail saia do sistema da organização; a desativação da função de preenchimento automático de e-mail, evitando que o sistema sugira endereços na caixa de destinatário; o treinamento dos colaboradores sobre quando o envio de e-mails em massa é apropriado, sobre melhores práticas e alternativas seguras, além de como recuperar e-mails enviados por engano.
Os e-mails têm se tornado a opção padrão para o compartilhamento eficiente de informações, mas isso não os torna a melhor escolha sempre.
É responsabilidade do controlador determinar as medidas apropriadas para cada situação, considerando a natureza da informação pessoal que será compartilhada e os riscos envolvidos.
Uma exposição indevida de dados pessoais deve ser reportada pelos colaboradores ao responsável pela proteção de dados na organização. Lidar com o incidente de forma eficaz pode reduzir os riscos de ferir as pessoas titulares dos dados.