LGPD Compliance Jurídico

LGPD e e-mail corporativo: o que toda empresa precisa saber

A Lei Geral de Proteção de Dados impõe obrigações diretas sobre como as empresas gerenciam seus e-mails. Entenda os riscos, as exigências e como se adequar.

E
Equipe localmail

Desde a entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), as empresas brasileiras precisam olhar para o e-mail corporativo com novos olhos. O que antes era tratado apenas como ferramenta de comunicação passou a ser também um ponto crítico de conformidade legal.

Neste artigo, explicamos as principais obrigações da LGPD que afetam diretamente o gerenciamento de e-mail nas organizações.

O e-mail como dado pessoal

O primeiro ponto a entender: o endereço de e-mail é um dado pessoal. Seja o e-mail corporativo de um colaborador (joao.silva@empresa.com.br) ou o e-mail de um cliente em sua lista de contatos, ambos são dados pessoais protegidos pela LGPD.

Isso significa que toda vez que sua empresa coleta, armazena, processa ou compartilha endereços de e-mail, está realizando tratamento de dados pessoais — e precisa de uma base legal para isso.

As bases legais para o uso de e-mail

A LGPD lista dez bases legais que autorizam o tratamento de dados. Para o contexto de e-mail corporativo, as mais relevantes são:

  • Consentimento (art. 7º, I): o titular autorizou expressamente o envio
  • Execução de contrato (art. 7º, V): o e-mail é necessário para cumprir um contrato com o titular
  • Legítimo interesse (art. 7º, IX): o envio atende a um interesse legítimo, desde que não sobreponha os direitos do titular
  • Obrigação legal (art. 7º, II): o tratamento é exigido por lei

Na prática: se você envia e-mails de marketing, precisa de consentimento. Se envia e-mails transacionais (confirmações de pedido, faturas), pode se basear na execução do contrato.

Principais obrigações para empresas

1. Política de retenção de e-mails

Sua empresa precisa definir por quanto tempo armazena os e-mails dos colaboradores e por quê. A retenção indefinida sem justificativa legal pode ser questionada pela ANPD.

Defina claramente:

  • Qual é o prazo de retenção de cada categoria de e-mail
  • Quem tem acesso ao histórico de mensagens
  • Qual é o procedimento de descarte seguro

2. Acesso ao e-mail do colaborador

Um tema sensível: a empresa pode acessar os e-mails corporativos dos funcionários? A LGPD não proíbe explicitamente, mas exige que o colaborador seja informado sobre essa possibilidade — idealmente no contrato de trabalho ou em política interna documentada.

O acesso deve ser proporcional e ter uma finalidade legítima (investigação de incidente, auditoria, cumprimento de determinação judicial).

3. Listas de e-mail para marketing

Se sua empresa mantém listas de contatos para envio de newsletters ou campanhas, precisa:

  • Ter o consentimento documentado de cada destinatário
  • Oferecer mecanismo de descadastramento em todas as mensagens
  • Atender solicitações de exclusão em prazo razoável
  • Não compartilhar a lista com terceiros sem consentimento específico

4. E-mails com dados pessoais de clientes

Quando colaboradores trocam e-mails com dados de clientes (CPF, dados bancários, prontuários médicos, etc.), esses e-mails se tornam registros de tratamento de dados. Sua empresa precisa garantir que:

  • Esses e-mails são armazenados em servidores seguros
  • O acesso é restrito a quem tem necessidade
  • Há política clara para o caso de vazamento

5. Notificação de incidentes

Se sua conta de e-mail for comprometida e dados pessoais de terceiros forem expostos, a LGPD exige a notificação à ANPD e aos titulares afetados em prazo que pode ser de até 72 horas, dependendo do risco.

Por que o provedor de e-mail importa para a LGPD

A escolha do provedor de e-mail não é apenas uma decisão técnica — é uma decisão de compliance. Ao contratar um serviço de e-mail, você está firmando um contrato de operação de dados pessoais com aquele fornecedor.

Pontos a verificar no seu provedor:

  • Localização dos servidores: dados armazenados fora do Brasil podem estar sujeitos a legislações estrangeiras
  • Contrato de Processamento de Dados (DPA): o provedor deve assinar um DPA conforme a LGPD
  • Medidas de segurança: criptografia, controles de acesso, política de incidentes
  • Transparência: você sabe o que acontece com seus dados?

O localmail armazena todos os dados exclusivamente no Brasil e disponibiliza DPA para todos os clientes que o solicitarem.

O que fazer agora

Se sua empresa ainda não se adequou à LGPD no contexto de e-mail, comece por:

  1. Mapeie seus fluxos de e-mail: quais dados pessoais sua empresa envia e recebe por e-mail?
  2. Revise suas listas de marketing: todos os contatos consentiram explicitamente?
  3. Documente a política de acesso ao e-mail dos colaboradores
  4. Verifique o contrato com seu provedor de e-mail: existe um DPA?
  5. Defina prazos de retenção para cada categoria de e-mail

A adequação à LGPD é um processo contínuo, não um projeto pontual. Mas o e-mail corporativo é um ótimo ponto de partida.

Voltar ao blog