Skip to main content
Contato

    Como aplicar a LGPD no mercado de seguros? 

    Como aplicar a LGPD no mercado de seguros? 

    by Admin
    07/04/2023 00:00:00

    Nos holofotes jurídicos desde sua vigência, em 2020, a Lei Geral de Proteção de Dados Pessoais, mais conhecida pela sua sigla LGPD, traz a legislação sobre como devem ser tratados os dados de indivíduos em meio físico ou digital. Em meio a ciberataques, vazamento e uso inadequado de informações, pessoas físicas e jurídicas vêm sofrendo prejuízos incalculáveis, tanto financeiros quanto relacionados à privacidade, o que tornou imprescindível a criação de mecanismos legais de proteção a esses dados. O assunto repercutiu tão intensamente, que foi até designado um Dia Internacional da Proteção de Dados, celebrado em 28 de janeiro. 

    A LGPD brasileira foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018, na União Europeia. O dispositivo legal busca garantir a segurança dos dados pessoais e, assim, evitar cenários abusivos, como roubo ou venda de informações. No mercado de seguros, especialmente, é muito importante atentar-se para a nova legislação, haja vista que o ramo lida diretamente com informações pessoais. 

    De acordo com pesquisa da Superintendência de Seguros Privados (Susep), em 2020, mais de 40 milhões de reais foram pagos por operadoras de seguros em decorrência de roubos e vazamentos de informações na internet. Os dados apontam a urgência do setor em adequar-se à nova legislação, tanto para proteger melhor as informações de seus usuários quanto para evitar multas milionárias. Quer entender melhor sobre a LGPD, seu impacto no mundo e no mercado de Seguros? Então confira o texto a seguir!

    Mas primeiro: o que é LGPD? 

    A Lei Geral de Proteção de Dados Pessoais, nº 13.709/2018, estabelece regras para empresas públicas ou privadas sobre a coleta, uso, armazenamento e compartilhamento de dados pessoais. Seu principal objetivo é proteger a intimidade das pessoas, assim como dar a elas um maior controle de suas próprias informações. A LGPD foi sancionada em 14 de agosto de 2018, e entrou em vigor no dia 18 de setembro de 2020. 

    Como dados pessoais, entende-se o nome, RG, CPF, data de nascimento, endereço, voz, imagem, dados de geolocalização, endereço IP e dados bancários. Também estão inclusos os chamados “dados pessoais sensíveis”, ou seja, aqueles que são passíveis de discriminação, caso sejam expostos: etnia; religião; posicionamento político; filiação a sindicato ou organização de caráter religioso, filosófico ou político; e dados sobre saúde ou vida íntima.

    Segundo o Sebrae, a legislação tem como principais objetivos:

    • Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.
    • Estabelecer regras claras sobre o tratamento de dados pessoais.
    • Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
    • Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.

    E por que é tão importante poder contar com esse dispositivo legal? Porque a LGPD responsabiliza as empresas, fazendo com que elas se esmerem mais para proteger os dados dos usuários. É importante entender o seguinte: se uma pessoa não autorizada obtiver acesso a informações pessoais, ela poderá apagá-las, alterá-las ou impedir o acesso do proprietário. Ou seja, o roubo de dados pode ocasionar em roubo de cartões de crédito, de documentos de identidade, de contas bancárias, entre outros. E essa é uma realidade cada vez mais frequente. 

    Segundo estudo da NordVPN, empresa fornecedora de serviços VPN, publicado no ano passado, foram encontrados mais de 22 mil anúncios de comercialização de dados privados na dark web. O número de informações vendidas, por sua vez, passa de 720 mil. Além disso, os criminosos já lucraram cerca de 17,3 milhões de dólares neste mercado (o que equivale a, aproximadamente 88 milhões de reais). O estudo aponta que há quatro principais categorias de informações à venda:

    Retirado do NordVPN

    Alguns casos de vazamento de dados

    Para ilustrar as informações do tópico anterior, confira, a seguir, alguns casos famosos em que houve vazamento de dados: 

    1) Em 2014, a Cambridge Analytica, empresa de consultoria política britânica, comprou  informações, como nome, profissão, cidade, hábitos e preferências políticas de 50 milhões de usuários do Facebook. O objetivo foi a realização não autorizada de testes comportamentais, que, futuramente, foram utilizados na campanha presidencial do ex-presidente dos EUA, Donald Trump, e na votação do Brexit (saída do Reino Unido da União Europeia). 

    2) Também em 2014, um vazamento de dados expôs as contas de 145 milhões de usuários (nomes, endereços, datas de nascimento e senhas criptografadas) da eBay, uma das maiores empresas de comércio eletrônico do mundo. Segundo a empresa, hackers usaram as credenciais de três funcionários para acessar sua rede e tiveram livre acesso ao banco de dados dos usuários por 229 dias.

    3) Em 2019, a Netshoes concordou em pagar 500 mil reais de indenização por danos morais, conforme acordo celebrado com o Ministério Público do Distrito Federal, após informações de cerca de 2 milhões de clientes terem sido expostas na internet. O caso veio a público no início de 2018 quando dados como nome completo, CPF, email e histórico de compras vazaram, devido à falhas em sistemas da empresa.

    4) Em 2020, dados de 243 milhões de brasileiros cadastrados no Sistema Único de Saúde (SUS) ou como beneficiários de planos de saúde ficaram expostos na internet por falhas de segurança do Ministério da Saúde. As informações que ficaram expostas na internet, como nome completo, CPF, endereço e telefone, deveriam estar protegidas por login e senha, mas havia uma vulnerabilidade no código que permitia que qualquer usuário consultasse o banco de dados. 

    5) Em 2021, os dados de 160.147 chaves PIX foram potencialmente expostos. Segundo comunicado do Banco Central, as informações estavam sob a guarda e responsabilidade da empresa Acesso Soluções de Pagamento. Foram informações como nome completo, CPF, instituição, número da agência e conta. De acordo com nota do Banco Central, não foram expostos dados financeiros, como senhas, extratos ou outras informações sob sigilo bancário.

    6) Também em 2021, noticiou-se um vazamento de 223 milhões de CPF’s brasileiros, que trazia nome completo, data de nascimento e gênero. O arquivo foi compartilhado em um fórum gratuitamente. No mesmo fórum, um hacker colocou à venda uma base com mais informações sobre esses 223 milhões de pessoas, com RG, estado civil, lista de parentes, nível de escolaridade, poder aquisitivo, status no INSS, entre vários outros – eram 37 categorias no total. No entanto, esses dados mais detalhados não eram gratuitos. Os preços variavam entre 0,075 a 1 dólar por CPF, dependendo da quantidade de informações. Como o número de CPF’s é maior do que o da população brasileira, acredita-se que, entre as informações, haja dados de pessoas já falecidas. 

    Principais tópicos trazidos pela LGPD 

    Para evitar o cenário exposto no último tópico, a Lei Geral de Proteção de Dados Pessoais autoriza as organizações públicas e privadas  a coletarem dados pessoais apenas se obtiverem o consentimento do titular, sendo que a solicitação deverá ser realizada de maneira transparente, para que o cidadão saiba exatamente qual informação estará sendo coletada, para quais fins e se haverá algum tipo de compartilhamento dela. 

    Ainda, em caso menores de idade, os dados poderão ser tratados apenas com o consentimento dos responsáveis legais. Caso haja mudança de finalidade ou repasse de dados a terceiros, a empresa deverá solicitar um novo consentimento. E, sempre que desejar, o usuário poderá revogar sua autorização, bem como pedir a exclusão, portabilidade ou modificações dos dados. Outro ponto abordado são os dados sensíveis – aqueles que trazem informações mais particulares. Com a LGPD, o uso desses dados passou a ser mais restritivo, ocasionando em punições caso tais dados sejam utilizados  para fins discriminatórios.

    Além disso, sempre que quaisquer dados não mais forem necessários, a organização será obrigada a apagá-los, exceto se houver obrigação legal ou outra razão justificável para a preservação dos mesmos. Apesar desses tópicos, vale saber que tais regras não valem para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolverem segurança pública, defesa nacional, proteção da vida e políticas governamentais. 

    E em caso de descumprimento? 

    Sempre que ocorrer o comprometimento na segurança do dados pessoais, é obrigação das organizações reportar, em tempo hábil, às autoridades competentes, que vão analisar cada caso e determinar o que deve ser feito. Se tratar-se de um atentado ou de um vazamento que comprometa a segurança das pessoas, o ocorrido deverá ser comunicado à imprensa. 

    Já a punição para o descumprimento da lei, seja proposital ou acidental, dependerá da gravidade da situação. Se comprovada a infração, a empresa responsável poderá receber desde advertências até uma multa equivalente a 2% de seu faturamento (porém, limitada ao valor máximo de 50 milhões da UFIR – Unidade Fiscal de Referência). Ainda, a organização poderá ter todas as suas atividades ligadas ao tratamento de dados suspensa, total ou parcialmente, além de responder judicialmente a outras violações previstas em lei. 

    É importante atentar-se para o seguinte fato: a LGPD abrange a coleta de dados realizada no Brasil, mesmo que se trate de empresas internacionais. Por exemplo: se o Facebook coletar dados de um usuário em território brasileiro, terá de seguir a legislação brasileira – mesmo que os dados sejam processados nos EUA. A empresa pode até transferir os dados para uma filial ou sede estrangeira, com a condição de que o país de destino também tenha leis abrangentes de proteção de dados ou que possa garantir mecanismos de tratamento equivalentes àqueles exigidos no Brasil.

    LGPD e o mercado de seguros

    Um dos setores mais impactados pela LGPD foi o de seguros. Isso porque os dados pessoais são cruciais para os cálculos das propostas, pagamentos de comissões, entre outras rotinas vivenciadas nesse mercado. Por isso, tal legislação afetou significativamente a forma de fazer negócios das corretoras, pois ela altera a forma de se tratar os dados e estabelece punições tanto para a empresa que coletou o dado, nesse caso, a corretora, quanto para aquela que descumpriu a lei. Ou seja, o corretor também terá responsabilidade legal em caso de descumprimento da medida por parte da seguradora.

    Assim, para lidar com essa realidade, as empresas do mercado de seguros devem se reestruturar e promover uma mudança de cultura, de modo a cumprir a nova legislação. Em primeiro lugar, é importante que ofereçam treinamento aos colaboradores sobre as novas regras; em segundo, é prudente elaborarem um planejamento de riscos, para o caso de ocorrer algum vazamento. Além disso, as seguradoras devem lidar apenas com os dados necessários, evitando ao máximo coletar os que não condizem com a sua finalidade e, assim, ter mais chances de infringir a LGPD.

    Ainda, uma boa dica para as empresas é modernizar as tecnologias utilizadas, de modo a proteger seus sistemas contra ciberataques. Recursos como criptografia, softwares de gerenciamento de senhas, firewalls, antivírus, VPN’s, ferramentas de controles de acesso, sistemas de backups e outros meios, quando articulados de maneira correta, auxiliam bastante na segurança das informações, desde a sua coleta até a sua destruição. 

    Independentemente das medidas empregadas para adequação à LGPD, os profissionais da área devem estar conscientes que um vazamento de dados, além de colocar a segurança dos usuários em risco e acarretar multas caríssimas, ainda compromete a reputação da organização. Por isso, várias empresas vêm criando formas de utilizar a legislação em seu favor. Um desdobramento interessante disso foi, diante das crescentes invasões por hackers, o oferecimento de seguro contra ataques cibernéticos. De acordo com o levantamento da Confederação Nacional das Seguradoras (CNseg), a procura por tais seguros cresceu 41,5% nos primeiros três meses de 2022, quando comparado com o mesmo período do ano anterior. Ainda, entre as coberturas previstas para essa modalidade, está uma eventual multa da LGPD.

    LGPD no Brasil e no mundo 

    A Lei Geral de Proteção de Dados Pessoais nasce em um momento de fragilidade no armazenamento de dados, principalmente, em meio digital. Muitas vezes, as empresas solicitam várias informações pessoais a seus clientes, como nome completo, CPF e endereço residencial, e, depois, acabam por não proteger adequadamente essas informações. O resultado disso são dados vulneráveis, principalmente, a ataques cibernéticos, causando graves prejuízos aos usuários e às empresas.  

    Segundo relatório “Fast Facts”, da Trend Micro, multinacional de cibersegurança, o Brasil é o quinto país com mais ataques de ransomware (software malicioso) no mundo. Ainda, de acordo com a Fortinet, multinacional de softwares e cibersegurança, o Brasil também ocupa a segunda colocação no índice de países que mais sofreram com o cibercrime na América Latina, tendo totalizado 103,1 bilhões de ataques cibernéticos apenas em 2022. Os dados apontam que a LGPD veio em um momento crítico, finalmente obrigando as empresas a tratarem os dados de seus usuários com mais responsabilidade. 

    Contudo, a LGPD ainda não é uma unanimidade mundial. Segundo informações da United Nations Conference on Trade and Development (UNCTAD), organização intergovernamental ligada à ONU, 71% dos países possuem legislação sobre o tema; 9% possuem apenas um projeto de lei; 15% não possuem legislação nenhuma; e 5% não informou. O mapa abaixo mostra a situação de cada país no ano de 2021:  

    Imagem retirada do UNCTAD

    A  Lei Geral de Proteção de Dados Pessoais impacta no seu trabalho? De que modo? Conte para a gente nos comentários! 

    Comments

    Assine Nossa Newsletter!

    Quer receber as últimas atualizações, dicas e informações úteis sobre seguros?

    Inscreva-se em nossa newsletter e participe de uma comunidade que valoriza o seu bem-estar e segurança.