Por Pedro Cardoso de Almeida Andrade Costa – Advogado Coordenador do Núcleo de Seguros, Mestre em Direito Securitário pela Queen Mary University of London.
Foi sancionado pela Presidência da República, na data de 14 de agosto de 2018, a Lei nº 13.709/2018, nominada de Lei Geral de Proteção de Dados (LGPD), a qual tem por objetivo regulamentar e dispor quanto a proteção de dados pessoais, complementando e alterando os dispositivos da Lei nº 12.965/2014 (Marco Civil da Internet), visando incluir o Brasil no rol de Estados¹ e Blocos Econômicos² os quais possuem standards mínimos no tocante à coleta, uso, arquivamento e demais ações relacionadas à dados pessoais, fomentando assim o desenvolvimento econômico e a proteção aos direitos fundamentais das pessoas naturais.
Em linhas gerais, o regramento instituído pela LGPD aplica-se a agentes que gerenciam (“controlador”³) ou operacionalizam (“operador”⁴) ações de coleta, produção, recepção, classificação, utilização, acesso, reprodução, dentre outros 20 “tratamentos”⁵, relacionados a informações (“dado pessoal”⁶ e “dado pessoal sensível”⁷) adquiridas de forma digital ou física, de pessoas naturais localizadas, ou as quais tenham seus dados adquiridos em território nacional, tenham seus dados tratados no Brasil, ou ainda se refiram a dados que tenham por objetivo promover a oferta de bens ou serviços no país.
Assim, nota-se que a legislação aprovada possui aplicação transnacional, possuindo relevância à pessoas naturais e jurídicas, nacionais ou estrangeiras sem distinção, desde que se enquadrem nas condições definidas em seu artigo terceiro⁸ e não excepcionadas pelo artigo quarto – como em casos de ausência de intenção econômica no tratamento de dados, ou no uso para fins jornalísticos, por exemplo.
Em vista o seu espírito protetivo, a LGPD traz ainda condições quanto a forma de arrecadação de dados, trazendo a figura do consentimento específico do titular⁹ (o qual, em teoria, acabaria com os grandes e genéricos textos de “termos e condições de uso”, invariavelmente aceitos sem prévia leitura pelo usuário) e demais regramentos no tocante ao acesso, correção, atualização ou eliminação de dados pessoais em poder de pessoas de direito público ou privado¹⁰, os quais deverão possuir agentes específicos e individualizados responsáveis pelo tratamento de dados e atendimento aos pleitos recepcionados, similares ao conceito de um departamento de ouvidoria em junção ao departamento de compliance.
São ainda estipulados mecanismos diferenciados no tocante ao tratamento de dados pessoais sensíveis (dados intimamente ligados a moral e preferências pessoais) e dados adquiridos de crianças e adolescentes – em que pese o consentimento no tocante a este último item seja de difícil aferição, em especial no que se refere a necessidade de consentimento “específico e em destaque dado por pelo menos um dos pais ou responsáveis legal”, quando ocorrido por meio digital.
Dentre diversas provisões apresentadas pela LGPD, provavelmente os mais relevantes regramentos digam respeito àqueles insertos em seu Capítulo VII – Da Segurança e das Boas Práticas e Capítulo VIII – Da Fiscalização, aonde constam obrigações à pessoas físicas ou jurídicas que coletam e operam dados e informações no tocante à padrões mínimos de segurança, procedimento em caso de incidentes que possam gerar risco ou danos aos titulares dos dados, assim como sanções aplicáveis aos agentes de tratamento de dados.
Em linha com as disposições constantes no regramento Europeu – GDPR – a legislação nacional estipula a obrigação dos agentes de gerenciamento e operação de dados em noticiar o órgão regulador e o indivíduo afetado quanto a ocorrência de incidentes de segurança que possam gerar danos.
Neste sentido, muito embora a legislação europeia determine a apresentação de informações à autoridade e indivíduos no prazo máximo de 72h, enquanto a disposição do artigo 48 da LGPD indique que a notificação deverá ocorrer “em prazo razoável”, espera-se que a nova regra evite casos nos quais empresas se abstém de informar a ocorrência de falhas de segurança, visando resguardar seus interesses comerciais em detrimento dos direitos individuais daqueles que lhes confiaram suas informações pessoais¹¹.
Ademais, em harmonia com o dever de informação, provavelmente a principal introdução da LGPD diz respeito à estipulação de sanções pecuniárias aos agentes faltosos, as quais poderão equivaler a até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, limitada ao total de R$ 50.000.000,00 (cinquenta milhões de reais), por infração – infelizmente a realidade demonstra que a delimitação de penalidades pecuniárias é a principal força motriz no que diz respeito à modificação de padrões comportamentais reprováveis.
Muito embora a Lei nº 13.709/2018 passe a ter vigência somente dezoito meses após sua publicação oficial, as ações de alteração e adaptação aos regramentos indicados na LGPD por empresas iniciarão de imediato, trazendo oportunidades à diversos setores, dentre eles o mercado securitário.
Isto porque a necessária implementação de procedimentos e políticas de boas práticas e governança dos dados gerenciados ou operados – a qual deverá conter planos de respostas de incidentes e remediação de danos – são uma grande oportunidade à prestação de serviços especializados por Seguradoras quando da aferição e subscrição de riscos, assim como em cenários pós sinistro, com o oferecimento de serviços de RP, investigação técnica, contenção de danos, dentre outros.
De mesmo modo, as pesadas sanções às quais pessoas físicas ou jurídicas estarão sujeitas representaram um cenário positivo para a comercialização de demais produtos ligados à responsabilidade civil de indivíduos ou empresas, seus diretores e funcionários.
A indicação de que as disposições da Lei 13.709/2018 são solo fértil ao desenvolvimento do mercado securitário, especialmente em linhas de riscos cibernéticos e responsabilidade civil, pode ser apurada em comparativo ao cenário europeu¹², qual viu um crescimento relevante nas subscrições de risco e prêmios auferidos¹³.
Assim, não obstante as múltiplas críticas e elogios possíveis ao texto da legislação sob análise, é importante ressaltar a relevante adição, inédita, ao conjunto legislativo nacional no que diz respeito à segurança e proteção de dados pessoais, cabendo aos membros do mercado observar suas oportunidades e moldar soluções aqueles que serão impactados por suas mudanças.
Neste sentido, ao longo dos próximos dezoito meses, será extremamente relevante por parte de Seguradoras e Resseguradoras atuantes no cenário nacional, trabalhos voltados à pesquisas de mercado e consultoria técnica, visando a revisão de clausulados, desenvolvimento e adequação de seus produtos aos novos elementos trazidos pela LGPD, assim como demais definições relacionadas à regulação dos futuros sinistros e os seus reflexos no poder judiciário brasileiro.
[1]Dentre países como Suíça (Data Protection Act e Data Procetion Ordinance), Estônia (Data Protection Act), Canadá (Personal Information Protection and Electronic Documents Act e demais legislações específicas das províncias) e Estados Unidos (em que pese a ausência de legislação federal que abarque o tema de proteção de dados, legislações esparsas possuem relevância ao tema, assim como demais programas de proteção de dados, como o “Privacy Shield Framework” instituído para fomentar relações comerciais entre os Estados Unidos, Suíça e União Européia) por exemplo;
[2]No âmbito da União Europeia, vê-se a aplicação do General Data Protection Regulation, qual entrou em vigor na data de 25 de maio de 2018. (ver também: https://bit.ly/2nhGvFh);
[3]Lei 13.709/2018, artigo 5º, VI – Controlador: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
[4]Lei 13.709/2018, artigo 5º, VII – Operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
[5]Lei 13.709/2018, artigo 5º, X – Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
[6]Lei 13.709/2018, artigo 5º, I – Dado Pessoal: informação relacionada à pessoa natural identificada ou identificável;
[7]Lei 13.709/2018, artigo 5º, II – Dado Pessoal Sensível: dado pessoal sobre a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
[8]Lei 13.709/2018, artigo 3º – Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III – os dados pessoais objeto do tratamento tenham
sido coletados no território nacional.
§ 1º. Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
§ 2º Excetua-se, do disposto no inciso I, deste artigo, o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.
[9]Lei 13.709/2018, artigo 8º e s.s.
[10]Lei 13.709/2018, artigos 9º, 17 e s.s.
[11]“Uber admite que omitiu ataque hacker que roubou dados de 57 milhões de usuários em 2016”
https://g1.globo.com/economia/tecnologia/noticia/uber-admite-ter-sido-alvo-de-ataque-hacker-que-roubou-dados-de-57-milhoes-de-usuarios-em-2016.ghtml
[12]https://www.xprimm.com/The-EU-cyber-insurance-market-in-the-run-up-to-GDPR-implementation-articol-117,149-11121.htm
[13]https://www.reuters.com/article/insurance-cyber-gdpr/insurers-cash-in-on-new-european-data-privacy-rules-idUSL5N1SN6QY