Artigos e Cases

Seguro cibernético: é uma medida necessária

 

 

Luis Henrique Favret (*)

 

Recente reportagem publicada em conhecido website  apontava preocupações com o advento da Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/2018 – que em síntese regulamenta a forma como se deve dar o tratamento de dados pessoais disponibilizados por clientes e usuários nos meios digitais, e a responsabilidade diante do vazamento de dados e informações de redes empresarias, de forma que houve um crescimento pela demanda dos seguros cibernéticos.

 

A pandemia sanitária da Covid-19 sedimentou uma realidade que a cada dia era mais presente, de forma que instituído em larga escala o home office, imposto por conta da necessidade de isolamento social determinada por conta da conhecida pandemia, houve uma explosão do volume de danos e inovações das mais diversas, como aplicativos de reuniões online, inteligência artificial, armazenamento de dados na nuvem e internet das coisas.

 

Por conta do novo regramento, a Lei Geral de Proteção de Dados Pessoais (LGPD) provocará uma revisão dos contratos de seguros em todos os níveis, e novos soluções securitárias surgirão, mesmo para aquelas empresas que já têm uma integração de dados constituída, com áreas de compliance e segurança de TI. Também, como impacto do advento no novo regramento, restará ao mercado segurador a necessidade de mapear o fluxo de dados; levantar quais dados são coletados e com qual finalidade e como, por que e por quem a coleta de dados é feita.

 

Mas, ainda que esse movimento na busca de soluções para uma nova realidade, a demanda pela contratação de risco cibernético ainda está em formação. A Superintendência de Seguros Privados (Susep) – autarquia federal responsável pela autorização, controle e fiscalização do mercado de seguros – ainda não tem uma categoria que regulamente esse tipo de serviço, já que essa modalidade é nova, e iniciou sua comercialização no Brasil em 2012.

 

Por isso, riscos cibernéticos são enquadrados em ramos distintos – de acordo com os riscos cobertos, como responsabilidade civil, riscos diversos e lucros cessantes, por sua vez, seguros compreensivos, que conjugam diversas modalidades numa mesma apólice. Segundo a Susep, esse ramo securitário tem como característica as taxas reduzidas em relação aos chamados seguros convencionais, cláusulas menos restritivas e uma estrutura modular, com ampla gama de coberturas e garantias acessórias, permitindo ao segurado a escolha das mais adequadas às suas necessidades, o que resulta na montagem de um seguro “personalizado”.

 

A falta de regramento específico, entretanto, tem o potencial de gerar dúvidas e discussões jurídicas, porque produtos securitários convencionais seguem normativas gerais de seguros de danos, com regras para cláusulas de aceitação de proposta, de forma de contração, de pagamento de prêmios, de atualização de valores, de concorrência de apólices, de liquidação de sinistros, de perda de direitos e outras, situação que pode agravar a contratação mais específica de um seguro cibernético voltado para as características da Lei Geral de Proteção de Dados (LGPD), valendo destacar que a Susep oficializou a inclusão do seguro de riscos cibernéticos no segmento de “responsabilidades”, conforme circular 579/18.

 

A estipulação dos riscos e o valor das apólices são calculados com base no perfil das empresas, de modo que ao ser procurada para a contratação de um seguro, a corretora avalia os riscos e potenciais perdas da empresas interessada. A visão fundamental da Lei Geral de Proteção de Dados (LGPD), em síntese, é a transparência para o uso dos dados pessoais e a respectiva responsabilização, vale dizer, o que se visa é a compatibilização do uso correto e adequado de danos pessoais com a finalidade informada quando da coleta, e fatalmente as empresas que ainda não se atentaram às obrigações previstas na lei de dados. Nesse sentido, a principal obrigação aos Agentes de Tratamento, como prevê a LGPD, é a manutenção de todas as operações de tratamento, em decorrência do princípio de prestação de contas incorporado pela LGPD. No cumprimento desta regra, as empresas deverão, através de seus agentes de tratamento, elaborar Relatório de Impacto à Proteção de Dados Pessoais, contendo, no mínimo, a descrição dos tipos de dados coletados, o fundamento da coleta e a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.

 

Vale dizer, a forma como a empresa lida com a própria segurança de seus dados e de seus clientes impactará no detalhamento da proposta de seguro, cujos valores podem se tornar maiores em junção do tamanho da empresa, dos valores da apólice assegurada, de fatores como a existência de treinamentos internos e adaptação ás normas da lei de dados, uso de softwares atualizados e o volume de informações sensíveis, além da adoção de medidas de segurança, visando a proteção de dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. E, ainda, a seguradora é livre para recusar riscos considerados muito elevados.

 

De toda maneira, o seguro cibernético é uma realidade cada vez mais presente. O seguro não livra as empresas das responsabilidades quanto à proteção de dados, mas a apólice poderá cobrar multas e indenizações, além de outros custos, que poderão ser impactantes especialmente nesse momento de incertezas e de processos de adaptação ás necessidades da nova lei de proteção de dados.

 

Na nova realidade que há de se vivenciar após a pandemia da Covid-19, as empresas devem ter consciência de que negócios estão virando tecnologia e, os dados das empresas valem muito, de modo que a tendência é o aumento de ataques cibernéticos. Essa é uma preocupação que deve ser recorrente, porque ela pode gerar danos à imagem das empresas, além de multas e indenizações elevadas, aumento de concorrência e constantes alterações regulatórias e legislativas, de modo que o gerenciamento de riscos cibernéticos será uma constante.

Entender estes riscos e adotar medidas de resposta e controle para atenuar os efeitos de ataques cibernéticos são medidas necessárias para avaliar os riscos e contratar uma cobertura adequada, inclusive para entender e avaliar medidas que deverão ser tomadas de forma que o seguro, fatalmente será uma ferramenta essencial de proteção das empresas.

_________________________________________

(*) O autor é advogado, sócio da Oliveira-Favret Sociedade de Advogados.

Mostrar mais

Artigos relacionados

Botão Voltar ao topo