Alguns Comentários Acerca da Regulação Geral de Proteção de Dados (General Data Protection Regulation – GDPR) e seus Impactos no Mercado de Seguros e Resseguros

O General Data Protection Regulation – GDPR^[1] entrará em vigor em 25/05/2018 e, certamente, poderá ter impactos no mercado de seguros e resseguros

GDPR

Entre os principais aspectos da regra, destaca-se o âmbito de sua aplicação, referente ao processamento de dados pessoais que ocorra dentro ou fora do território da União Europeia, desde que os dados pertençam a pessoas que estejam em território europeu, independentemente da sua nacionalidade. Portanto, uma empresa brasileira que esteja fazendo negócios no Brasil poderá estar sujeita ao GDPR no tocante aos dados de pessoas que estejam na União Europeia, na medida em que esteja monitorando dados ou oferecendo serviços ou produtos para pessoas em território europeu, mesmo que gratuitamente.

Desta feita, o âmbito de aplicação extraterritorial imposto no GDPR já é polêmico por si, seja em relação à identificação do local em que ocorre o processamento dos dados, seja em relação ao fato de não definir critérios de acordo com a nacionalidade ou residência, mas apenas pessoas que estejam localizadas na União Europeia.

Vale notar que o GDPR define dado pessoal como qualquer informação relacionada a uma pessoa natural identificada ou identificável, sendo que uma pessoa natural identificável é alguém que pode ser identificado, direta ou indiretamente, principalmente por meio de referência a um identificador único como nome, número de identificação, dado locacional, identificador eletrônico ou um ou mais fatores específicos à identidade física, psicológica, genética, mental, econômica, cultural ou social da pessoa natural. Processamento, por sua vez, está definido como qualquer operação ou conjunto de operações as quais são realizadas em um dado pessoal ou em conjuntos de dados pessoais, por meios automatizados ou não, tais como catalogação, gravação, organização, estruturação, adaptação ou alteração, coleta, consulta, uso, revelação por meio de transmissão, disseminação ou qualquer forma que torne disponível, alinhamento, combinação, restrição, apagamento ou destruição.

Com relação aos princípios, destacam-se o processo de coleta transparente, leal e lícita, a limitação de finalidade (ou seja, os dados devem ser coletados para finalidades específicas, legítimas e explícitas), minimização dos dados e limitação do armazenamento.

Quanto aos direitos individuais, além daqueles comumente já conhecidos como transparência e informação, embora não da forma como colocada na GDPR, restou consagrado o direito ao esquecimento, tema tão polêmico quando relacionado à provedores de internet, por exemplo.

A regulamentação traz, ainda, a figura do Data Protection Officer (DPO). Trata-se de um responsável pela proteção de dados na empresa, mas somente se a atividade principal da empresa for relacionada diretamente ao monitoramento e processamento de dados em larga escala. Na Europa, a obrigatoriedade dessa figura está sendo bastante discutida em razão da dificuldade em se definir a atividade principal da empresa relacionada ao monitoramento de dados e, também, do que seriam os dados em larga escala.

Um dos pontos ainda mais polêmicos está na necessidade de, em havendo um vazamento de dados, ser realizada a comunicação para a autoridade reguladora e para os usuários cujos dados foram violados, em até 72 (setenta e duas horas) do conhecimento do incidente. Nos termos do GDPR, a referida notificação deverá, pelo menos, conter a descrição da natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de titulares de dados em causa e as categorias e número aproximado de registos de dados pessoais em causa, bem como a descrição das consequências prováveis da violação de dados pessoais.

Finalmente, a norma prevê a aplicação de multas equivalentes a vinte milhões de euros ou até 4% do volume de negócios global da empresa.

Impactos no Mercado de Seguros e Resseguros

As entidades supervisionadas do mercado securitário estão sujeitas a todo o regramento existente no âmbito federal, especialmente, aqueles previstos (i) na Constituição Federal, com relação à inviolabilidade da vida privada e da intimidade e ao sigilo da correspondência eletrônica; (ii) no Código Civil, com relação à necessidade de consentimento expresso para a utilização de dados e ao regime de reparação de danos; (iii) no Código de Defesa do Consumidor, no âmbito de uma relação de consumo; (iv) na Lei nº 12.965/2014, conhecida como Marco Civil da Internet e do Decreto Lei nº 8.771/2016, que a regulamentou, dispondo acerca da inviolabilidade e sigilo do fluxo de informações e das comunicações armazenadas, bem como da necessidade de informações claras sobre a coleta, uso, armazenamento e proteção dos dados, no que for cabível.

As seguradoras são detentoras de bases de dados de inúmeros segurados, assim como muitos corretores de seguros.

Imagine-se, por exemplo, as seguintes situações:

– o segurado, residente no Brasil, contrata o seguro e encaminha dados à seguradora / ao corretor de seguros. Posteriormente, esse mesmo segurado passa a residir na Europa e encaminha dados para atualização de seus dados, emissão de endosso da apólice, etc.;

– emissão de apólices integrantes de programas globais de seguros, quando relacionados a dados que envolvam pessoas físicas por alguma razão;

– contratação de seguro / resseguro no Brasil para cobrir riscos no exterior.

Nessas hipóteses, entre tantas outras, poderá surgir o questionamento se há ou não incidência do GDPR, já que o processamento de dados pessoais poderá ocorrer dentro do território da União Europeia ou mesmo no Brasil e poderá haver a discussão sobre se os dados pertencem a pessoas que estão no território europeu e, havendo uma violação de tais dados, até que ponto as supervisionadas brasileiras estariam sujeitas às penalidades no âmbito da regulamentação europeia.

As seguradoras, resseguradores e corretores devem estar preparados para avaliar os efeitos do GDPR em suas atividades e, se for o caso, adaptar as suas políticas de privacidade e compliance, sendo necessário compreender os limites de aplicação do GDPR, bem como sua influência e exequibilidade na legislação brasileira.

Embora, atualmente, ainda não exista uma regra específica do órgão regulador de seguros, Superintendência de Seguros Privados (SUSEP), com relação à proteção de dados, no Plano de Regulação da SUSEP para o ano de 2018^[2], constam como temas que serão objeto de estudo e possíveis novas regras, tanto a revisão e consolidação das normas de gestão de riscos^[3], controles internos e governança corporativa, como a revisão das regras que tratam da guarda de documentos^[4].

Aliás, o tema de proteção de dados é de extrema relevância por impactar o mercado securitário não apenas sob o prisma de aspectos de compliance, como também com relação ao aumento dos riscos cibernéticos e a crescente demanda para o seguro que cubra tais riscos, propiciando o fomento ao seguro de riscos cibernéticos.

Em outras palavras, o GDPR desperta, ainda mais, a atenção para o tema de proteção de dados e isso traz vantagens para o mercado de seguros e resseguros, na medida em que propicia o interesse das empresas seguradas na contratação de produtos, como é o caso do seguro para riscos cibernéticos, que tem diversas coberturas relacionadas à divulgação de dados privados e corporativos, gestão de crise, custos de defesa, violação na segurança de dados, etc.

Apesar disso, o mercado brasileiro ainda se revela bastante incipiente neste ramo, parte em razão do próprio desconhecimento das empresas com relação ao produto ou à falta de cultura para proteção contra riscos cibernéticos, e parte em relação às dificuldades impostas no regime de aprovação de produtos perante o regulador, que, por vezes, desestimula a criatividade e o oferecimento de seguros que acompanhem o mercado estrangeiro ante os frequentes “descasamentos” com o resseguro, inclusive.

É preciso discutir a ampliação de coberturas, como a inclusão de multas relacionadas à divulgação de dados, decorrentes de ataques cibernéticos ou mesmo daquelas previstas no GDPR, a sua relação com o seguro de responsabilidade civil de diretores e administradores (D&O) na responsabilização dos ocupantes de cargo de gestão decorrentes de tais riscos, e até que ponto a negligência na atualização da política de segurança da informação da empresa pode ser vista como excludente de cobertura, entre tantos outros aspectos.

Por tudo isso, espera-se que o GDPR contribua não apenas para despertar a atenção do mercado de seguros e resseguros para a necessidade de adoção de políticas de compliance eficazes relacionadas à proteção de dados, mas, principalmente, que sirva de inspiração para buscar novos caminhos que permitam uma maior penetração do seguro para riscos cibernéticos, propiciando o seu desenvolvimento.

____________________________
[1] Regulação (EU) 2016/6791, que substituiu a Diretiva 95/46/EC – Diretiva Europeia de Proteção de Dados Pessoais.

[2] Conforme a Deliberação SUSEP nº 206, publicada em 13/04/2018, que revogou as Deliberações SUSEP nº 184, de 22/12/2016, e nº 199, de 08/11/2017.

[3] A figura do gestor de riscos, recentemente implementada pela legislação securitária, é bastante ampla e deve englobar, por óbvio, riscos reputacionais a que a supervisionada está sujeita, decorrentes da violação de dados, por exemplo, entre tantos outros pontos.

[4] Atualmente em vigor, a Circular SUSEP nº 74/1999 estipula prazos para guarda de documentos e armazenamento de dados pelas sociedades seguradoras, de capitalização, entidades abertas de previdência privada e corretoras de seguros, previdência privada aberta e capitalização, relativos a contratos firmados. Em 20/04/2018, foi publicada a Portaria nº 7.108, pela qual foi constituído Grupo de Trabalho para estudar e propor a revisão da atual regulamentação que dispõe sobre os prazos para guarda de documentos e armazenamento de dados dos mercados supervisionados pela SUSEP, ficando estabelecido o prazo de 180 (cento e oitenta) dias, prorrogáveis por igual período, para a conclusão dos trabalhos.

(*) Marcela Waksman Ejnisman é sócia da área de Telecomunicações, Propriedade Intelectual e Tecnologia da Informação de TozziniFreire Advogados com ampla dedicação em assessorar empresas de tecnologia em assuntos corporativos e transações diversas, assim como na preparação e revisão de termos de uso e políticas de privacidade. Mestre pela Cornell University, EUA. Especializada em Comércio Internacional e Direito Comercial pela University of California, EUA. Graduada pela Faculdade de Direito da Pontifícia Universidade Católica de São Paulo (PUC-SP). É recomendada em relevantes guias jurídicos, tais como Chambers Global, Chambers Latin America, The Legal 500, Euromoney Expert Guides, Latin Lawyer 250, Who’s Who Legal e WTR 1000 – World Trademark Review. Prêmio de melhor advogada em Propriedade Intelectual na América Latina pelo Americas Women in Business Law Awards 2016, promovido pelo Euromoney Legal Media Group.

(**) Carla do Couto Hellu Battilana é advogada sênior da área de Telecomunicações, Propriedade Intelectual e Tecnologia da Informação de TozziniFreire Advogados com ampla dedicação em assessorar empresas de tecnologia em assuntos corporativos e transações diversas, assim como na preparação e revisão de termos de uso e políticas de privacidade. Mestre pela University of Chicago, EUA. Especializada em Direito Empresarial pelo Instituto Internacional de Ciências Sociais. Cursou extensão universitária em Contratos Empresariais pela Fundação Getúlio Vargas. Graduada pela Faculdade de Direito da Pontifícia Universidade Católica de São Paulo.

(***) Bárbara Bassani é advogada sênior da área de seguros e resseguros de TozziniFreire Advogados, com atuação em consultoria, regulatório-SUSEP e contencioso estratégico (administrativo e judicial). Mestre em Direito Civil pela Universidade de São Paulo – USP, universidade na qual atualmente cursa o Doutorado, também em Direito Civil. Graduada pela Universidade Presbiteriana Mackenzie. Professora do MBA de Gestão Jurídica do Seguro e Resseguro da Escola Nacional de Seguros (Funenseg) e de diversos cursos de Seguros em outras instituições. Autora de diversos artigos e livros, com destaque para Seguros: Beneficiários e suas Implicações, publicado pela Editora Roncarati. Presidente da Comissão do Jovem Advogado da AIDA Brasil, Secretária do GNT de Processo Civil e Seguro da AIDA Brasil e membro da Comissão de Direito Securitário da OAB/SP.