Lei de Proteção de Dados para o mercado de seguros

Daniel Farias*

A Lei de Proteção de Dados Pessoais,  no 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGDP), sancionada em agosto de 2018 não é mais novidade, mas continua sendo uma grande incógnita para todos os segmentos empresariais, que têm até agosto de 2020 para se adequar a ela, inclusive o segmento de seguros que inclui a seguradora, o agente, o corretor pessoa jurídica ou física e qualquer outro ente envolvido na comercialização e na prestação de serviços.

É esperado que a LGDP cause impacto no dia a dia das empresas em suas relações com dados e com consumidores, pois os requisitos da Lei, exigem adequação, criação e exclusão de processos e por mais que pareça longínquo o prazo, ele ainda é curto, à medida que alguns destes requisitos são complexos e exigem revisão geral de todos os processos da empresa, que usam dados pessoais.

A princípio, por se tratar de uma legislação moderna, propendemos a associar a Lei ao mundo digital, mas para LGPD independe a forma que o dado é tratado, ela considera tanto o dado anotado em um caderno na recepção de um prédio, quanto o dado que está armazenado em um serviço de nuvem de qualquer local do planeta, por mais inóspito que seja.

Mas afinal o que é dado? É todo dado, sensível ou não, sobre uma pessoa natural identificada ou identificável (Art. 5 - I da LGPD), exemplificando: Nome, CPF, data de nascimento, endereço, salário, hábitos, notas acadêmicas, comportamentos, orientação sexual, convicção religiosa, dados biométricos, entre outros.

Portanto, dado pessoal é todo aquele inerente, derivado ou atribuído a uma pessoa natural como de sua propriedade ou como parte da sua personalidade desde a concepção até a pós-morte. E combinado com o Art. 11 § 1º da LGPD, estendo a definição que um dado sensível é todo aquele que sua exposição possa limitar direitos ou causar dano material ou moral ao titular.

De acordo com a Lei, quem cometer infrações, como o uso inadequado desses dados, estará sujeito a multa por incidente de 2% do faturamento do último exercício até R$ 50 milhões, além de outras sanções administrativas, civis e penais.  Deve se adequar à Lei todas as pessoas jurídicas, públicas ou privadas que realizem tratamento de dados pessoais, e pessoas físicas que utilizam os dados para fins econômicos, direta ou indiretamente.

Vale ressaltar que para as pessoas físicas a finalidade econômica não necessariamente está ligada à comercialização direta ou indireta dos dados, mas simplesmente à posse e/ou uso dele associado a um fim econômico. Neste caso, um corretor de seguros autônomo que decide criar um cadastro para enviar mensagens de parabéns no aniversário dos seus contatos deverá se adequar às normas da LGPD, pela simples ideia deste cadastro ser uma Gestão de Relacionamento com o Cliente (CRM em inglês).

Com o criação da Lei, também foi instituída criação da Autoridade Nacional de Proteção de Dados (ANPD), que será responsável por garantir o cumprimento da lei, editar normas e procedimentos complementares, aplicar sanções, dentre outras competências que ajudam a sociedade a manter a ética e o compromisso com a segurança de dados.

Outro ponto importante da LGPD são que suas características e necessidades técnicas de implantação exigirão que as empresas contratem um Encarregado, que é um profissional ou empresa responsável por implantar os processos, manter adequação da lei, e para atender quaisquer solicitações de clientes, da ANPD e outras autoridades quando o assunto for a proteção de dados pessoais. Esta função poderá ser ocupada, inclusive, por um especialista da área de seguros. As exigências da lei requerem este profissional e sua necessidade se assemelha muito à necessidade de um contador, essencial para os cumprimentos das obrigações legais da empresa.

Não existe na norma a classificação temporal do dado, ela abrange todos os dados que serão coletados pós-lei e todos aqueles coletados antes dela, garantindo à pessoa natural a titularidade inclusive de dados legados. Desta forma a empresa, se questionada pelo titular ou por uma autoridade, deverá informar quais dados possui e a finalidade de tratamento, e considerar a possibilidade do titular pedir a eliminação, retificação em até 15 dias, bem como a revisão dos processos automatizados que envolvem análise desses dados.

É bem possível que quanto mais próximo for o prazo de adequação, maior seja o alvoroço para adequação à LGPD e a regra do mercado é, quanto maior a necessidade e menor o prazo, maior o custo. Por isso não deixe para última hora, mantenha-se atualizado e procure um advogado ou um profissional da área de proteção de dados para orientações de como adequar seu negócio para melhor cumprimento da lei.

*Daniel Farias é Chief Compliance Officer do Instituto Nacional de Gestão de Dados. Advogado especialista em Tecnologia da Informação, o executivo é pós-graduando em Direito Digital e Compliance e possui especialização em Big Data pela Universidade de São Paulo (USP).