Requisitos atuais para a segurança no envio de faturas por e-mail
Com decisão de 10 de fevereiro de 2025 (proc. 12 U 9/24), o Tribunal Regional Superior de Schleswig-Holstein concretizou de forma significativa os requisitos de segurança da informação para o envio eletrônico de faturas por empresários. Elemento central desta decisão é a obrigatoriedade explícita de garantir um nível de proteção adequado da confidencialidade de dados pessoais no envio de documentos fiscais por e-mail. O acórdão deixa claro que o envio de documentos sensíveis, como faturas, exige, como regra, a utilização de criptografia de ponta a ponta, a fim de cumprir as exigências legais de proteção de dados segundo o Regulamento Geral de Proteção de Dados (RGPD) e a Lei Federal de Proteção de Dados (BDSG).
Base legal: Proteção de dados pessoais na comunicação por e-mail
No caso em análise, o OLG Schleswig-Holstein discutiu se um empresário é obrigado, ao enviar faturas por e-mail, a adotar medidas técnicas e organizacionais que impeçam o acesso de pessoas não autorizadas aos dados pessoais ali contidos. A situação concreta envolvia o envio de uma fatura que, além dos dados de faturamento habituais, continha também informações pessoais do destinatário. O destinatário reclamou pela ausência de criptografia de transporte ou até mesmo de ponta a ponta, já que, teoricamente, terceiros poderiam ter tido acesso a informações confidenciais durante o processo de transmissão.
Nos termos do Art. 5º, nº 1, alínea f do RGPD, bem como do Art. 32 do RGPD, os responsáveis são obrigados a proteger dados pessoais por meio de medidas técnicas e organizacionais. A criptografia das comunicações eletrônicas constitui, neste contexto, um método prático para garantir integridade e confidencialidade dos dados.
Requisitos para a comunicação por e-mail: a decisão do tribunal
Os juízes de Schleswig-Holstein destacaram que, já no envio de faturas – mesmo que, à primeira vista, pareçam menos sensíveis que outros dados pessoais – existe uma necessidade elevada de proteção. Faturas podem conter, além de nome e endereço, informações sobre comportamento do consumidor, dados bancários, objetos contratuais ou outras informações sensíveis. O acesso não autorizado a tais informações pode causar prejuízos relevantes à pessoa afetada.
O tribunal esclareceu que a não utilização de criptografia de ponta a ponta no envio de faturas não atende aos requisitos do RGPD, exceto quando houver acordo expresso com o destinatário para abrir mão de tais medidas de proteção, e quando este tenha sido devidamente informado. Essa renúncia deve ser documentada de forma compreensível e ocorrer de maneira voluntária.
Alcance prático para empresas e significado da decisão
A decisão motiva a revisão crítica dos processos internos de envio eletrônico de documentos. Sob a ótica da proteção de dados, a segurança da informação não se limita à proteção do sistema próprio, abrangendo também a transferência externa segura de dados. Empresas que enviam faturas por e-mail a clientes ou parceiros comerciais de forma frequente ou automatizada enfrentam o desafio de garantir uma transmissão segura. Dependendo da infraestrutura técnica e do modelo de negócios, pode ser necessário implementar sistemas de comunicação baseados em criptografia ou firmar acordos individuais de comunicação com os destinatários.
No que se refere à responsabilidade civil, o OLG enfatiza que violações das obrigações legais de proteção de dados podem resultar em pedidos de indenização, conforme o Art. 82 do RGPD. Assim, comprovar que todas as medidas técnicas e organizacionais exigidas foram implementadas permanece uma tarefa permanente para os operadores de dados.
Implicações adicionais e questões em aberto selecionadas
Interação com outras normas jurídicas
Além do RGPD, é necessário observar outras normas. Por exemplo, o Código Fiscal (AO) e o Código Comercial (HGB) podem estabelecer requisitos quanto à conservação e à integridade de documentos fiscais eletrônicos, enquanto o sigilo fiscal previsto no § 30 AO impõe exigências de proteção próprias.
Evoluções contínuas no direito de segurança da informação
Diante do rápido avanço dos padrões técnicos e da reavaliação frequente do estado da técnica conforme o Art. 32 do RGPD, a adequação das medidas de segurança sempre deve ser ajustada aos requisitos atuais. O Tribunal Regional Superior de Schleswig-Holstein destaca, expressamente, que a tecnologia está em constante evolução e que as empresas possuem obrigação permanente de revisar e adaptar suas medidas.
Proteção da confiança e riscos de responsabilidade
A decisão destaca que pode haver necessidade de ação significativa por parte das empresas para assegurar proteção da confiança junto a clientes e parceiros comerciais. Em caso de disputa, pode ser decisivo agir de forma clara e transparente na documentação das medidas adotadas, a fim de reagir de maneira eficaz a eventuais reivindicações de regresso ou indenização.
Perspectivas
A decisão de Schleswig-Holstein pode servir como diretriz para o envio de documentos sensíveis por e-mail, estabelecendo um padrão elevado para a proteção de dados na rotina empresarial. Isso impõe às empresas altas expectativas em relação à tecnologia de criptografia e à avaliação específica dos riscos.
Para esclarecimentos adicionais sobre questões jurídicas concretas ou em caso de dúvidas quanto aos requisitos para a comunicação eletrônica segura, os advogados da MTR Legal Rechtsanwalt estão à disposição.
