Prepare-se para a Lei Geral de Proteção de Dados

Legislação entra em vigor ano que vem e obriga empresas, de todos os portes e setores, a garantirem direitos e deveres em relação ao tratamento de dados pessoais.

Preocupados com as ameaças do mercado de seguros, como as associações de proteção veicular e a venda de seguro por bancos e outras plataformas, os corretores de seguros talvez não estejam dando a devida atenção para a Lei Geral de Proteção de Dados (LGPD). A Lei de nº 13.709/2018, que é a junção de três Projetos de Lei (4.060/2012, 330/2013 e 5.276/2016), além de ser uma inspiração do Regulamento Geral de Proteção de Dados da União Europeia (GDPR), regula as atividades de tratamento de dados pessoais de clientes e usuários e entrará em vigor a partir de agosto de 2020. Até lá, as empresas têm pouco menos de um ano para se organizarem, já que o descumprimento pode render multa de até 2% do faturamento, com valor máximo de R$ 50 milhões.

Apesar de ter sido sancionada no ano passado e contar com um prazo de 18 meses para a adaptação, uma pesquisa da Serasa Experian aponta que 85% das empresas brasileiras afirmam que não estão preparadas para cumprir com os requisitos propostos pela legislação. O estudo também destaca que 32% dos bancos e seguradoras garantem que os clientes já têm acesso às suas informações e podem fazer alterações em seus dados.

Segundo a coordenadora jurídica e DPO (Data Protection Officer) da Delphos, Amanda Moreira, a LGPD promoverá verdadeiras transformações nas empresas. “É preciso compreender os riscos que a nova legislação traz e o potencial dano que pode decorrer da não adequação. Quem pensa o negócio precisa compreender as necessidades, além de fomentar e priorizar todo desenvolvimento da empresa para promover a proteção dos dados pessoais”, explica.

Primeiramente, é preciso entender o que é o tratamento de dados. A LGPD compreende como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência e difusão ou extração de dados pessoais.

“Toda empresa trata dados pessoais. Desde os seus colaboradores, fornecedores ou prestadores de serviços, até os que são tratados em processos de negócios. Portanto, é fundamental revisar todos os processos de trabalho, contratos, documentos e políticas da empresa para avaliar a dimensão de alcance da lei”, esclarece a executiva da Delphos.

Tipos de dados

Dados pessoais: qualquer informação (direta ou indireta) relacionada à pessoa física.

Indireta: localização de dispositivo móvel, cookies, endereços IP e demais identificadores eletrônicos

Direta: nome, RG, CPF e endereço Indireta: localização de dispositivo móvel, cookies, endereços IP e demais identificadores eletrônicos

Dados sensíveis: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, além de dados referentes à saúde ou à vida sexual, genéticos ou biométricos.

Dados anonimizados: estão fora da LGPD, exceto se o processo for revertido e um indivíduo for identificado.

Fonte: Daniel Advogados

Adequação à Lei Ao contratar uma apólice, o segurado fornece inúmeros dados ao corretor de seguros, tanto pessoais quanto sensíveis. Portanto, o profissional deve se atentar à proteção dessas informações e, consequentemente, à legislação. O especialista em Privacidade e Proteção de Dados no escritório Daniel Advogados, Fábio Áspis, orienta que o primeiro passo é conhecer a Lei. “Apesar de entrar em vigor somente no ano que vem, a LGPD exige um processo de adequação complexo. Por isso, é necessário estudá-la”, completa. Segundo especialistas, entender a razão da coleta de dados e para qual finalidade serão usadas tais informações ajuda a compreender os propósitos e princípios da LGPD.

Para dar início à adequação, também será preciso um diagnóstico da área de Tecnologia da Informação (TI), interna ou terceirizada, com relatórios e análises. Por isso, as empresas serão obrigadas a fazer investimentos para a implementação de uma estrutura de compliance digital. “Nem todas as empresas terão recursos para promover grandes mudanças. Mas, é possível revisar os processos de trabalho e as políticas de contrato, unir pessoas em um comitê e implementar as adaptações necessárias”, esclarece Amanda.

De acordo com o diretor associado de Segurança Cibernética e Privacidade de Dados na ICTS Protiviti, André Cilurzo, nesses casos, a priorização das ações deve ser tomada para atacar os riscos mais críticos relacionados ao mercado que atua. “Em relação a empresas de seguro, o tratamento de dados sensíveis pode representar um alto risco, sendo que a avaliação do impacto das atividades que envolvem tais tipos de dados é fundamental, assim como criptografia e mascaramento para reduzir o risco de vazamento e tratamento inadequado de dados dos clientes”, explica.

A presença de um profissional encarregado pelo gerenciamento e tratamento dos dados da empresa é uma das exigências da legislação. Este profissional será a ponte entre a empresa, a pessoa dona dos dados e a Agência Nacional de Proteção de Dados (ANPD), autarquia responsável pela fiscalização da Lei.

No caso dos corretores de seguros, a adequação parece ser mais complexa, já que lidam com diferentes dados dos clientes. “Os dados coletados pelos corretores são diferentes para cada ramo de seguro. As informações para um plano de saúde são totalmente diferentes para um seguro automóvel, por exemplo”, reforça a gerente de Financial Lines, Cyber e Liability da Generali, Mariana Ortiz.

Por essa razão, os corretores de seguros devem considerar a contratação de empresas especializadas em segurança da informação para ajudar na adequação à LGPD o quanto antes. “As empresas que não começarem esse processo neste segundo semestre não terão tempo hábil para estarem em conformidade”, alerta Fabio Áspis.

Segundo o executivo da Protiviti, para reduzir riscos relacionados a segurança de informação, é preciso focar em quatro pilares. “Pessoas: investir em treinamentos de segurança e conscientização sobre a LGPD; Processos: identificar gaps e gerenciar riscos, por meio de avaliação de controles de TI e processos de manutenção do programa de privacidade, em linha com as exigências da LGPD; Ferramentas: identificar e implementar soluções em linha com seu modelo de negócios, indústria que está inserida e seus objetivos de mitigação de riscos; e Auditoria: verificar os controles implementados para mensurar a efetividade”, explica.

Passo a passo para adequação

Descobrir: identificar e realizar o inventário de dados pessoais;

Gerenciar: avaliar o nível de proteção de dados dos envolvidos, como terceiros e colaboradores;

Proteger: definir e implantar soluções, políticas e governança de dados em toda a organização;

Monitorar: controlar e auditar o nível de proteção, bem como avaliar possíveis vazamentos, internos ou externos.

Seguro de riscos cibernéticos

O Brasil figura em segundo lugar em termos de perdas financeiras provocadas por ataques cibernéticos (R$ 80 bilhões), atrás apenas da China. De acordo com a pesquisa Norton Cyber Security Insights Report 2017, 62 milhões de brasileiros foram vítimas de cibercrime naquele ano. Já o estudo realizado pela JLT CyberView aponta que 30% das empresas brasileiras já foram alvos de algum tipo de incidente cibernético no ano passado.

Outra pesquisa, feita pela Federação das Indústrias do Estado de São Paulo (Fiesp), revela que 65,2% dos ciberataques tiveram como alvo as pequenas empresas, como as corretoras de seguros. “Elas são os principais alvos, pois não investem na infraestrutura e porque prestam serviços para empresas maiores, por isso são grandes portas de entrada para o ataque em multinacionais, por exemplo”, declara Mariana.

Além das ameaças cibernéticas, as empresas também ficarão mais atentas devido ao risco de multas e sanções administrativas da LGPD. Esta pode ser uma grande oportunidade para o corretor de seguros oferecer uma apólice de riscos cibernéticos aos clientes. “A legislação fomenta o mercado e é uma grande impulsionadora para a conscientização de proteção cibernética”, acredita o head de linhas financeiras da Zurich, Fernando Saccon.

Os especialistas alertam para a contratação de um seguro de riscos cibernéticos também por parte dos corretores de seguros. “Os corretores buscam conhecimento para levar uma solução para os seus clientes, e devem aproveitar a oportunidade e buscar para si próprios”, Fernando Saccon.

Outros destaques da LGPD

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.

Art. 18º O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; IX – revogação do consentimento.

Art. 20º O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Art. 31º Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.

Art. 48º O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

 

Matéria publicada no Jornal dos Corretores de Seguros.

Voltar


Telefones

Rio de Janeiro
(55 21) 2102 4212

São Paulo
(55 11) 2103 9107

Escreva para nós