*Por Leandro Augusto e Erika Ramos

Falta pouco mais de um ano para a entrada em vigor da lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD) e já é possível constatar uma repercussão significativa da implantação dela em diversos setores da economia e no comportamento da sociedade. O segmento de seguros, conhecido por tratar um número colossal de dados pessoais e dados pessoais sensíveis (aqueles tipificados no artigo 5º da referida lei, como por exemplo, dados referentes à saúde), será um dos primeiros a sentir tal impacto. Além das adequações básicas, as seguradoras terão desafios mais específicos.

A transparência, princípio basilar da LGPD, será motivo para que as seguradoras passem a ter relações com titulares que não sejam clientes diretos. Um dos exemplos é o dos motoristas nomeados em apólices e beneficiários de planos de saúde que deverão ter resguardados os mesmos direitos dos titulares dos seguros, uma vez que são igualmente titulares de dados pessoais, sendo-lhes conferido acesso e outros direitos baseados em transparência.

Mas há desafios maiores para as seguradoras, visto que a adequação à LGPD mudará o jeito dessas empresas fazerem negócios. Um deles será como fazer valer o conceito de portabilidade de dados, introduzido pelo artigo 18 da lei, que permite os titulares solicitarem a migração das informações dadas cadastradas de uma empresa para outra. Esse direito ainda deverá ser devidamente regulado pela Agência Nacional de Proteção de Dados (ANPD), mas tudo levar a crer que o Brasil seguirá o padrão europeu que exige que a portabilidade de dados seja disponibilizada em formato inteligível por máquinas. Isso significa que as seguradoras deverão desenvolver os seguintes processos: disponibilizar os dados para portabilidade de maneira inteligível e preparar-se para recebê-los provavelmente em canais ou templates distintos, que vierem dos concorrentes.

O processo de exportação de dados, portanto, deverá ser feito de forma estruturada (como arquivos texto ou xml), criptografada e com a disponibilização de mapeamento identificando a estrutura dos dados e o esquema (schema). Este último requisito, por fim, deve soar como alerta às seguradoras que ainda não possuem esquemas mapeados para que já comecem a fazê-lo, de modo a ter documentado o descritivo de todos os dados que poderão ser transmitidos.

Outro grande desafio inerente ao direito de portabilidade será como atendê-lo em caso de dados não estruturados, uma vez que nem sempre há um schema para exportá-los. Nesse caso, estruturar os dados para se tornarem inteligíveis de acordo com o requisito da LGPD pode requerer grandes esforços e investimentos.

Além do requisito técnico para o cumprimento da portabilidade, devem ser observados também os princípios jurídicos. Sobre o tema, em relação ao GDPR (General Data Protection Regulation), ensina o Grupo de Trabalho do artigo 29 que, além da necessidade de adequação de sistemas para recebimento de dados transferidos, haverá, pela seguradora receptora, o ônus de garantir que os dados pessoais recebidos sejam necessários para o propósito de processamento e não sejam excessivos. Quaisquer dados pessoais recebidos sem que haja conexão com o propósito do novo processamento não devem ser mantidos ou processados.

Além disso, um ponto em comum entre todas as seguradoras, além dos produtos oferecidos, obviamente, é a relação que todas mantêm com inúmeros terceiros, como fornecedores e corretores.

Serão necessários um redesenho e uma reestruturação contratual com terceiros para determinar as funções de cada um enquanto agentes de tratamento, uma vez que, de acordo com o artigo 39 da LGPD, o operador deverá realizar o tratamento segundo as funções fornecidas pelo controlador, e tais funções devem ser delimitadas e específicas, de modo que dados não sejam utilizados por agentes com finalidades distintas da original.

Baseado no termo “Know Your Client (KYC)” (conheça seus clientes),a Europa já faz referência ao “Know Your Data (KYD)” (conheça seus dados). Ou seja, saber como tais terceiros relacionam-se com dados será determinante para o cumprimento da LGPD. Além de ter conhecimento como tais tratamentos são feitos, será importante estruturar processos de admissão de terceiros e avaliações iniciais sobre o nível de maturidade desses para desempenhar o relacionamento.

Faz-se também pertinente considerar a construção de canais de comunicação seguros entre seguradoras e terceiros em situações em que o envio de documentos e a verificação de logs de utilização dos dados possa se dar em tempo real.

Assim, revisar e atualizar contratos e acordos com terceiros, documentar claramente a divisão de responsabilidades, e, por fim, realizar due diligences(diligências) em Agentes de Tratamentos parceiros (ora controladores, ora operadores) para relacionar-se apenas com quem esteja adequado à LGPD – e em canais seguros e restritos – poderão mitigar riscos e evitar disputas no caso de uma violação de dados.

* Leandro Augusto e Erika Ramos são sócios da KPMG.

Deixe uma resposta

Please enter your comment!
Please enter your name here

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.