Interessante resolução da AEPD (Agência Espanhola de Protecção de Dados) que evidencia o alcance da Lei Orgânica de Protecção de Dados na vida quotidiana. O processo tem como partes dois particulares (pessoas físicas).
Em resumo, entende-se que a denunciada infringiu o dever de segredo que estabelece o artigo 10º da LOPD (Lei Orgânica da Protecção de Dados) ao enviar um email a 42 destinatários diferentes e incluir as direcções de email no campo "Com Conhecimento ou Carbon Copy (CC)" deixando, portanto, visíveis a todos os destinatários as direcções de email dos receptores.
No entendimento da AEPD, há uma violação do dever de sigilo, pois não deveria ter dado conhecimento dos endereços de email aos restantes destinatários; isto é, deveria ter utilizado a opção "Com Conhecimento Oculto" (CCO) ou "Blind Carbon Copy" (BCC).
No entanto, a demandada alega que o endereço de email da denunciante pode ser encontrado na Internet em diferentes páginas e que, portanto, não violou nenhum segredo pois ela mesma publica o seu endereço electrónico na Internet.
Como resolve a AEPD esta questão? E além disso, o endereço de email é um dado pessoal? E se os dados foram obtidos da Internet não são de acesso público e não podemos tratá-los como quisermos?
A primeira questão que se deve analisar é se o endereço de email é um dado pessoal; o artigo 3º da LOPD define este conceito (Dados de carácter pessoal: qualquer informação referente a pessoas físicas identificadas ou identificáveis).
Com base nessa definição, a AEPD emitiu em 1999 um parecer jurídico onde se pronunciava sobre se o endereço de email encaixava ou não dentro dessa definição do artigo 3.1, diferenciando entre dois tipos de direcções: as de tipo nome@empresa.com e as de tipo nome@hotmail.com, deixando claro, que em qualquer dos dois casos nos encontramos perante um dado pessoal, pois é possível identificar a pessoa que se encontraria por trás de uma direcção de email.
Portanto, o endereço de email é um dado pessoal; fica agora por resolver a questão relativa ao endereço da demandante se encontrar em várias páginas da Internet.
Em princípio poderíamos pensar que pelo facto do endereço estar na Internet podemos fazer o que quisermos com ele: mais nada longe da realidade.
A AEPD afirma que "a inclusão voluntária do endereço de email por aquele […] não legitima a utilização do mesmo por terceiros para fins diferentes dos expressamente assinalados pelo denunciante em qualquer das páginas nas quais este tivesse colocado o seu endereço de e-mail, pois só o denunciante, como titular dos seus dados pessoais, mais concretamente, neste caso, do seu endereço de email, está legitimado, nos termos e com as excepções estabelecidas na LOPD, para decidir sobre o destino e uso dos seus dados pessoais."
Isto deixa claro que, mesmo que o endereço apareça na Internet, se não temos o consentimento do interessado, não poderemos utilizá-lo em nenhum tipo de comunicação.
Conclui, afirmando que "no caso em apreço, efectivamente o endereço de email do denunciante constava em várias páginas da Internet, mas, como já se assinalou, com os fins expressamente indicados nas mesmas.
A publicação na Internet de um endereço de email pelo seu titular não o transforma em num dado que possa ser utilizado sem limite algum por parte do responsável do arquivo no qual se encontre incluído."
Chegados a este ponto, convém analisar o alcance desse dever de segredo mencionado no início; a própria decisão explica-o, comentando que "O dever de segredo profissional que incumbe aos responsáveis dos arquivos e a todos aqueles que intervenham em qualquer fase do tratamento dos dados de carácter pessoal, nos termos do artigo 10º da LOPD (Dever de segredo), obriga a não revelar nem informar o seu conteúdo, bem como ao “dever de guardá-los”.
Continua tal artigo acrescentando: “obrigações que subsistirão ainda depois de finalizar as suas relações com o titular do arquivo ou, no seu caso, com o responsável do mesmo”. […], e por isso, obriga a que os dados tratados não possam ser conhecidos por nenhuma pessoa ou entidade alheia fora dos casos autorizados pela Lei, pois nisso consiste, precisamente, o segredo."
Fica suficientemente provado que a demandada não cumpriu com as exigências que a LOPD prevê para protecção dos nossos dados pessoais no que se refere ao dever de segredo.
A decisão na íntegra (PDF)