(Res)seguradoras e risco cibernético

O fato de a Susep dispor de regra específica acerca dos requisitos de segurança cibernética não interfere nas disposições da LGPD/Pixabay
O fato de a Susep dispor de regra específica acerca dos requisitos de segurança cibernética não interfere nas disposições da LGPD/Pixabay
Evolução da tecnologia torna necessário debate sobre segurança de dados. 
Fecha de publicación: 09/06/2021

A preocupação com os riscos cibernéticos e responsabilidades a eles atrelados já está no radar das (res)seguradoras há algum tempo, mas ganhou ainda mais evidência com a publicação do Edital nº 15, de 3 de maio, pelo qual a Superintendência de Seguros Privados (Susep) realizou uma consulta pública sobre a adoção de parâmetros mínimos acerca de boas práticas de segurança cibernética a serem observadas por seguradoras, entidades abertas de previdência complementar (EAPC), sociedades de capitalização e resseguradores locais (supervisionadas).

Resseguradores admitidos e eventuais não estão abrangidos na norma proposta, o que faz sentido, pois são empresas estrangeiras. A minuta também não abrange corretores, o que, por um lado, traz alívio a esses profissionais que teriam um aprendizado e custo de adaptação, mas, por outro lado, preocupa, considerando a imensa base de dados pessoais tratada diretamente por esses players.


Leia também: Como fica o Código de Defesa do Consumidor a partir da vigência da LGPD?


Contudo, isso não afeta de forma alguma o necessário cumprimento da Lei Geral de Proteção de Dados (LGPD) por parte de todos aqueles que tratem dados pessoais, tanto (res)seguradoras como corretores. Em outras palavras, o fato de a Susep dispor de regra específica acerca dos requisitos de segurança cibernética não interfere nas disposições da LGPD, tampouco a regulamenta ou limita seu âmbito de aplicação apenas para aquelas entidades sujeitas à Circular.

Têm-se então: a LGPD, no âmbito federal, regulando especificamente o tratamento de dados pessoais nos âmbitos online e offline, bem como as futuras regras que venham a ser editadas pela Autoridade Nacional de Proteção de Dados (ANPD); e as regras da Susep, que, aliás, considera dados relevantes, não apenas dados pessoais, como também aqueles dados relacionados a processos críticos de negócio ou informações sensíveis de acordo com as diretrizes estabelecidas pela supervisionada que impactem a perda operacional e que, portanto, não estão sujeitos à LGPD.

A norma infralegal propõe diversas obrigações por parte das supervisionadas, mediante a criação de uma política de segurança cibernética, que deverá ser aprovada pelo conselho de administração ou pela diretoria da supervisionada, a elaboração de relatório anual, dentro do contexto do sistema de controles internos e da estrutura de gestão de risco, cujo regramento também passa por mudanças no âmbito regulatório Susep.

A Circular estabelece diretrizes relacionadas aos procedimentos para prevenção e resposta a incidentes com sistemática de comunicação à Susep. Assim, na prática, na ausência de regulamentação em sentido contrário, se houver um incidente relacionado a dados pessoais, deverá haver comunicação tanto à Susep como à ANPD. Essa sistemática de dupla comunicação já é prevista para instituições financeiras, sujeitas ao regramento do Banco Central e do Conselho Monetário Nacional, conforme regramento que serviu de inspiração para a Susep, inclusive. 

Nos termos da Circular proposta pela Susep, as (res)seguradoras deverão designar um diretor responsável pela implementação da gestão cibernética, que, aliás, segundo consta, não poderá ser o mesmo designado como responsável pelos controles internos. Essa determinação reforça um ponto que vimos alertando no sentido da responsabilização da pessoa física. Note que não há disposição determinando que esse diretor deve ser aquele que ocupar o cargo de encarregado (DPO) nas supervisionadas.

Também desperta a atenção a dinâmica com relação à terceirização de serviços de processamento e armazenamento de dados, mediante a propositura de diretrizes que devem ser observadas e comunicadas à própria Susep quanto a quem está sendo contratado e para qual finalidade. O objetivo aqui, segundo consta na exposição de motivos da norma, é fortalecer a supervisão da autarquia para mapear o acúmulo de exposição e evitar graves impactos operacionais em caso de descontinuidade na sua prestação, estabelecendo que esses terceirizados adotem procedimentos e controles de segurança cibernética não inferiores aos da própria supervisionada, com exigência de certificação.


Veja também: Não é só CPF: CNPJ pode ser titular de dados pessoais à luz da LGPD


Por fim, o texto proposto prevê início da vigência, a partir de 3 de janeiro de 2022, observados determinados prazos de adaptação, os quais poderão ser alterados a depender da minuta final que for publicada. Sendo aprovada, a despeito dos desafios iniciais de implementação, essa norma certamente significará mais uma importante mudança de paradigma para o setor (res)seguros, beneficiando toda a cadeia de envolvidos, tendo em vista a relevância do tema atrelado à segurança cibernética, que é um dos riscos emergentes que mais causam preocupação atualmente e que está, devido ao avanço da tecnologia, em constante evolução.

*Bárbara Bassani é sócia na área de seguros e resseguros e Carla do Couto Hellu Battilana sócia na área de cybersecurity & data privacy do TozziniFreire Advogados.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.