Proteção de dados de segurados: reformulação do compliance é urgente
Interesse em transacionar dados pessoais de clientes e sinistros não é menor, e incita uma série de preocupações.
As seguradoras lidam diariamente com os dados pessoais de seus clientes. Isso contribui no êxito dos negócios ao permitir uma melhor avaliação dos riscos e, na consequente, precificação dos contratos de seguro. Os dados pessoais compõem um conjunto de informações que vão desde os dados de identificação do cliente, como filiação, inscrições em registros públicos, domicílio, estado civil, até os chamados dados sensíveis, que tratam das origens raciais ou étnicas, da convicção religiosa ou sobre o seu estado de saúde.
Tamanha é a importância econômica dos dados pessoais para as empresas de maneira geral. O acesso às informações, preferências e aos riscos dos clientes e potenciais clientes permite às seguradoras ampliar as suas bases de dados e, com isso, melhorar a aferição de risco e precificação. O interesse em transacionar os dados pessoais de clientes e sinistros não é menor, e incita uma série de preocupações, que vão desde o compartilhamento de informações concorrencialmente sensíveis até o uso e o tratamento de dados de clientes.
Sob o ponto de vista da regulação estatal sobre o uso e o tratamento dos dados pessoais de clientes pelas seguradoras, até o advento da Lei Geral de Proteção de Dados (LGPD) – Lei n.º 13.709/2018, havia uma espécie de permissividade no tratamento desses dados pelos seguradores, o que reproduzia o mesmo padrão de leniência observado em outros nichos que igualmente recorriam constantemente aos dados pessoais, tais como no dos órgãos de avaliação de crédito e no de empresas de telemarketing.
A lacuna regulatória em matéria de dados pessoais, a despeito da tradicional tutela jurídica aos direitos de personalidade, à privacidade e à intimidade, foi suprida em parte pela LGPD, que passou a disciplinar o uso dos dados, assim como as possibilidades do seu compartilhamento e transferência, de maneira gratuita ou onerosa. A LGPD, deixa claro, já no seu primeiro artigo, o propósito tutelar os direitos fundamentais de liberdade e de privacidade, de modo a assim permitir o livre desenvolvimento da personalidade da pessoa natural. Em relação à segurança e ao sigilo de dados, por exemplo, a LGPD é categórica quanto ao dever dos chamados “agentes de tratamento” de adotar medidas de segurança técnicas e administrativas que protejam os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Na perspectiva dos instrumentos de incentivo ao cumprimento das suas decisões, ao menos teoricamente a ANPD iniciará a sua existência fortalecida, dispondo de poderes de fiscalização e sancionamento para os casos em que se verifiquem violações aos preceitos legais sob sua competência. Todavia, independente da atuação da ANPD, os demais órgãos competentes para regular o setor de seguros, especialmente a Superintendência de Seguros Privados (SUSEP) devem, nos limites das competências legais, fazer a sua parte.
Na definição de “agente de tratamento controlador” que se encontra na LGPD, como sendo uma “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” reconhece-se facilmente a figura das seguradoras, as quais, em seu âmbito interno, possuem competência para regrar o tratamento de dados necessários à sua própria atividade, oriundos das relações contratuais que estabelece com seus clientes.
Se por um lado a discussão e a consciência sobre o potencial econômico e a vantagem da utilização dos dados pessoais no âmbito interno das seguradoras é uma realidade, o mesmo não se verifica, ao menos em igual intensidade, em relação ao compliance dessas empresas com o novo paradigma normativo de proteção dos dados pessoais. É latente a necessidade de atualização dos programas de compliance adotados pelas companhias seguradoras para que passem a se adequar às disposições das normas e regulamentações de proteção de dados.
A competência do Conselho Nacional de Seguros Privados (CNSP) (art. 32, incisos I e II, DL 73/66), e da Susep, (art. 36, alínea h, DL 73/66), permitiram, ao tempo da Lei 9.613/98 (combate aos crimes de lavagem de dinheiro e ocultação de bens), a regulamentação de procedimentos administrativos (Resolução 97/02 CNSP), bem como a instituição de controles internos pelas seguradoras (Circular 445/2012 Susep), resultando em bem-vindos programas de compliance. Na seara reguladora, esse exemplo não é o único: a Susep também estabeleceu a obrigatoriedade e regulamentou controle interno a ser observado pelas seguradoras para fins de combate às fraudes (Circular 344/2007), e, ainda, vinculou a chamada Estrutura de Gestão de Riscos aos controles internos até então instituídos (Circular 517/2015). O mesmo deveria acontecer em relação à conformidade dos seguradores com as disposições da LGPD.
Em todas as normativas relativas a controles internos, nos quais se alocam os programas de compliance, o tratamento dos dados tem finalidade específica: apuração e gestão de riscos, combate a fraudes, lavagem de dinheiro ou crimes. Dificilmente se observa, no entanto, uma convergência entre tais disposições existentes sobre o uso de dados por seguradores a as disposições da LGPD. Notória, assim, a possibilidade de o CNSP e a Susep, nos limites de suas respectivas competências legais, dedicarem-se à produção de normas técnicas com o objetivo de assistir os supervisionados no atendimento da LGPD.
No mais, é pertinente lembrar que já está em curso o prazo de vacância da LGPD. Se votada e convertida em lei a Medida Provisória 869, de 27 de dezembro de 2018 que a alterou, seus preceitos entram em vigor 24 meses após sua publicação oficial, isto é, em agosto de 2020. Do contrário, sua redação original prevê vigência a partir de 18 meses após sua publicação, seus efeitos, assim, se verificarão em fevereiro de 2020. A janela de oportunidade para instituir e fomentar a efetivação de medidas técnicas e administrativas de segurança e proteção de dados pessoais dos segurados nos seguros massificados é pequena, e muito há para se fazer.
* Ana Maria Blanco é advogada, mestre em direito pela UFRGS, doutora em Direito pela USP, associada de Ernesto Tzirulnik Advocacia em Brasília.
*Vitor Boaventura é advogado, mestre em Regulação pela London School of Economics and Political Science (Reino Unido), membro do Instituto Brasileiro de Direito do Seguro (IBDS) e sócio de ETAD – Ernesto Tzirulnik Advocacia.
Fonte: Portal CIO