RGPD e Arquivamento de E-mail: De Pólvora e Granadas de Fumaça [Atualização]
A ignorância e o medo são maus conselheiros. Geralmente, eles obscurecem a visão do essencial. Nas últimas semanas, o RGPD (ou seja, o novo regulamento geral de proteção de dados da União Europeia, que entra em vigor em 25 de maio de 2018) levantou uma grande quantidade de poeira.
Certamente, com a DSGVO, algumas coisas mudarão no direito de proteção de dados. Infelizmente, porém, também há muita confusão sobre o que a DSGVO significa concretamente para o arquivo de e-mails. E, infelizmente, os participantes do mercado (como naquela época, quando se tratou da introdução da GoBD no final de 2016) aproveitam a ignorância de muitos para fazer marketing com meias-verdades para produtos e serviços.
Fumaça de pólvora e granadas de fumaça
Fala-se de RGPD ou mesmo de produtos conformes ao RGPD, isto também coloca soluções para a arquivação de e-mails como o Benno MailArchiv em foco para o observador. Se acreditarmos nas declarações que surgem em toda parte, a partir de 25 de maio de 2018, deve ser possível excluir e-mails do arquivo de e-mail. Afinal, o RGPD define o chamado "direito ao esquecimento". E depois disso, é absolutamente necessário que os e-mails possam ser excluídos. Afinal, isso é legalmente previsto.
Na verdade, o artigo 17 do RGPD define o "direito à exclusão", também conhecido como "direito ao esquecimento". Assim, está escrito lá
„A pessoa em causa tem o direito de solicitar ao responsável que os dados pessoais em causa sejam eliminados imediatamente, e o responsável é obrigado a eliminar os dados pessoais imediatamente, se um dos seguintes motivos se aplicar: […]“
Seguem-se várias razões pelas quais uma eliminação deve ser realizada.
Com isso, tudo parece claro! O RGPD define o direito ao esquecimento. E com isso, os dados (no caso do arquivo de e-mails, os e-mails de pessoas afetadas) devem ser eliminados. Ponto.
Assim, pelo menos, a maioria das pessoas contemporâneas parecem ver. Mas é realmente tão simples?
Clareza em vez de informações nebulosas
Recebemos repetidamente perguntas de clientes e interessados preocupados se o Benno MailArchiv é conforme ao RGPD. Como excluir e-mails no Benno MailArchiv, etc.
A situação toda tem uma relevância não insignificante. Para obter clareza aqui, abordamos o assunto junto com os especialistas em proteção de dados e os encarregados de proteção de dados certificados pela TÜV da DSO Datenschutz Osnabrück GmbH. Com isso, surgiram coisas interessantes:
RGPD versus GoBD
Se alguém excluísse e-mails do arquivo de e-mail, poderia ser correto e necessário em relação ao RGPD. No entanto, isso inevitavelmente representaria uma violação da GoBD. O arquivo seria danificado em sua consistência geral pela exclusão.
Arquivamento de e-mail de acordo com a antiga lei de proteção de dados (BDSG, válida até 24.05.2018)
No caso de pedidos de exclusão, é suficiente, de acordo com a antiga (e ainda válida) lei de proteção de dados, definir um filtro no Benno MailArchiv com o qual os e-mails com conteúdo afetado são excluídos da pesquisa. Nenhum usuário pode encontrar e-mails bloqueados correspondentes por meio de um filtro configurado no Benno MailArchiv e válido em todo o sistema. O acesso é permanentemente bloqueado, embora os e-mails afetados continuem arquivados. A consistência geral do arquivo permanece inalterada.
Arquivamento de e-mail de acordo com a nova lei de proteção de dados (DSGVO, válida a partir de 25.05.2018)
Se a possibilidade acima mencionada de bloquear e-mails será suficiente no futuro (ou seja, após o RGPD), atualmente não está claro. Assim, os especialistas da DSO Datenschutz Osnabrück GmbH, por exemplo, nos disseram que mesmo as autoridades de proteção de dados estaduais alemãs, devido à falta de clareza da situação, atualmente não fornecem informações vinculativas sobre isso. Todas as declarações que podem ser obtidas dessas agências são, até hoje, opiniões privadas dos funcionários das agências, mas não declarações oficiais.
Portanto, atualmente é pelo menos concebível que uma função de exclusão no Benno MailArchiv possa se tornar necessária. Até o momento, a necessidade é, no entanto, incerta.
Também pode ser que o X-sen (ou seja, substituir dados relevantes por XXX ou ***) seja suficiente para atender aos requisitos do RGPD. No entanto, também pode ser que apenas a exclusão real seja suficiente. As autoridades de proteção de dados estaduais aparentemente ainda não sabem exatamente disso e, portanto, não fornecem informações vinculativas a esse respeito até hoje.
Impacto do GoBD no arquivo de e-mail
Se você intervir (conforme descrito acima) de forma deletéria ou manipuladora no arquivo de e-mail, isso pode ser necessário de acordo com o RGPD. No entanto, a administração financeira pode ver isso como uma violação do GoBD. Assim, o arquivo de e-mail (do ponto de vista do GoBD) seria comprometido.
Se e como o RGPD e o GoBD estão em conformidade aqui, respectivamente, como a situação jurídica relativa a isso é vista, é obviamente obscuro até hoje. Informações vinculativas não estão disponíveis no momento, de acordo com nossas informações.
Excluir ou não excluir? Essa é a questão aqui.
Caso você seja afetado pela questão de uma exclusão concreta de e-mail, decida por si mesmo como você deseja proceder nesse assunto. A LWsystems, como fabricante do Benno MailArchiv, não emite nenhuma recomendação a esse respeito, por enquanto.
Relativamente ao Benno MailArchiv, isso significa que, naturalmente, ofereceremos uma função de eliminação compatível com o RGPD, caso o RGPD realmente force a eliminação de e-mails e isso seja compatível com o GoBD. Independentemente disso, a possibilidade de bloquear determinados e-mails através de blacklisting permanecerá, naturalmente, assim como as opções de eliminação anteriores, que podem ser aplicadas em casos especiais individuais.
O problema de bases legais contraditórias ou não conciliáveis não se coloca, na nossa opinião, apenas com o RGPD. Nesse sentido, com o RGPD e possíveis consequências, mais uma vez uma "vaca atual" é levada pela aldeia, levantando uma quantidade indizível de poeira, enquanto a prática de implementação ainda não está suficientemente esclarecida.
[Atualização 22.11.2018]
A questão de como GoBD e DSGVO, ou seja, o tema "obrigação de arquivamento" (GoBD) e "exclusão de e-mails" (DSGVO) podem ser conciliados, leva a discussões frequentes com clientes e interessados.
Mesmo os responsáveis pela proteção de dados de grandes empresas e grupos têm opiniões divergentes sobre isso, como pudemos constatar em conversas com clientes e interessados: enquanto alguns defendem a ideia de que o arquivamento permanente (ou "não exclusão") de e-mails com conteúdo pessoal é coberto pela GoBD, ou seja, a GoBD tem prioridade sobre a DSGVO, outros partem da posição de que não há base legal para o arquivamento permanente de e-mails com conteúdo pessoal, portanto, a exclusão deve ser possível e realizada.
De acordo com as informações disponíveis para nós, ainda não está claro se as GoBD podem ou devem ser interpretadas no sentido de um "interesse legítimo na retenção" de forma que não seja excluído, ou se o oposto é o caso, e se os e-mails com conteúdo pessoal podem ou devem ser excluídos.
Continuaremos a acompanhar este tema e informar sobre ele aqui. Naturalmente, adaptaremos o Benno MailArchiv às condições legais correspondentes, na medida em que isso seja ou venha a ser necessário. Por enquanto, parece que a questão da exclusão de e-mails ainda não foi definitivamente esclarecida.
Impacto do RGPD no Benno MailArchiv
Na medida em que a situação jurídica exija alterações ou inovações no Benno MailArchiv para garantir a conformidade com o GoBD e/ou o RGPD, implementaremos essas adaptações de forma adequada. Clientes com uma subscrição de manutenção de software válida estão do lado seguro, pois têm a possibilidade de atualizar a sua instalação para a versão mais recente do Benno MailArchiv a qualquer momento. Assim, todas as adaptações e ampliações estarão imediatamente disponíveis para eles.
Todas as declarações aqui feitas não constituem aconselhamento jurídico, uma vez que não estamos autorizados a prestar aconselhamento jurídico nem temos capacidade técnica para tal.