O TLS é suficiente para criptografar e-mails com segurança e em conformidade com o GDPR? Muitos dizem que sim, os advogados preferem que dependa. Mas para quê? Stephan Heimel, do SEPPmail, esclarece esta questão.
Tanto os clientes finais como as empresas de consultoria e implementação ouvem cada vez mais a afirmação: “TLS (Transport Layer Security) é suficiente para comunicar de uma forma compatível com o GDPR”. e-mails com outros parceiros de comunicação. Infelizmente, esta é uma conclusão falaciosa.
Isto é o que diz o GDPR
Para analisar esta avaliação através de uma perspectiva jurídica, recomenda-se uma análise mais atenta do artigo 32.º do RGPD “Segurança do tratamento” e do considerando 83 do RGPD.
O artigo 32.º do RGPD estabelece que as pessoas responsáveis pelo tratamento de dados pessoais devem garantir que esses dados estão protegidos contra acesso não autorizado. As partes obrigadas devem tomar medidas técnicas e organizacionais adequadas. A pseudonimização e a criptografia dos dados são possíveis aqui. A encriptação deve garantir que os dados pessoais sejam tornados inacessíveis a todas as pessoas que não estão autorizadas a aceder aos dados pessoais (ver Art. 34, Parágrafo 3, alínea a) do RGPD). Aqui você pode decidir por si mesmo se o TLS é a tecnologia apropriada em todos os casos.
Cuidado com respostas genéricas
Do ponto de vista jurídico, as declarações gerais raramente são uma boa abordagem. É por isso que a primeira resposta de um advogado costuma ser: “Depende…”.
Em caso de litígio, os factos em questão deverão ser examinados caso a caso. O teste pode mostrar que nenhuma criptografia foi necessária, que a criptografia TLS foi suficiente ou que a criptografia de conteúdo de ponta a ponta deveria ter sido usada além da criptografia de linha pura.
Uma declaração geral como “TLS é suficiente para comunicação em conformidade com o GDPR” deve ser abordada com cautela. Para cumprir os regulamentos de proteção de dados, a pessoa responsável (de acordo com o Artigo 4, Número 7, EUGDPR) permanece responsável. Porque não só o risco recai sobre ele, mas as consequências também o afetam - se necessário, pessoalmente. As possíveis sanções incluem, entre outras coisas, pedidos de recurso contra a administração ou representantes especiais para conformidade, proteção de dados e segurança da informação. A compensação por danos é geralmente exigida pelo direito civil. Isto também inclui perdas financeiras sem limite de responsabilidade. As sanções de direito público incluem multas, prisão ou sanções administrativas. Medidas regulatórias podem até levar ao fechamento do negócio.
A arte da comunicação segura por e-mail
Dados estes perigos potenciais, é crucial tomar todas as medidas práticas possíveis para minimizar os riscos e maximizar a segurança do email. Além da criptografia TLS usada com frequência, vários outros métodos de criptografia estão disponíveis para proteger e-mails confidenciais. Isto inclui tecnologias como S/MIME e PGP, que fornecem criptografia de ponta a ponta e garantem que apenas o destinatário autorizado possa descriptografar o conteúdo.
Da mesma forma, usar criptografia espontânea é uma opção viável para criptografar e-mails ou mensagens específicas conforme necessário, criando uma camada adicional de segurança. Todas estas tecnologias foram desenvolvidas para que não tenham que ser construídas na infra-estrutura subjacente, mas sim funcionar de forma independente entre o transmissor e o receptor.
Idealmente, estas tecnologias são combinadas para que a confidencialidade e a integridade da comunicação por e-mail não sejam, em nenhuma circunstância, motivo para violações do GDPR.
Mais em SEPPmail.de
Sobre SEPPmail
A SEPPmail, empresa internacionalmente ativa e gerenciada pelo proprietário, com sede na Suíça e na Alemanha, é fabricante na área de "Mensagens seguras". Sua tecnologia patenteada e premiada para tráfego de e-mail espontâneo e seguro criptografa mensagens eletrônicas e, se desejado, fornece a elas uma assinatura digital. As soluções de e-mail seguro estão disponíveis em todo o mundo e fazem uma contribuição duradoura para a comunicação segura usando correio eletrônico.