A necessária reformulação do compliance das seguradoras
As seguradoras lidam diariamente com os dados pessoais de seus clientes, que contribuem ao êxito nos negócios na medida em que permitem uma melhor avaliação dos riscos a serem garantidos e na consequente precificação dos contratos de seguro. Os dados pessoais compõem um conjunto de informações que vão desde os dados de identificação do cliente, como filiação, inscrições em registros públicos, domicílio, estado civil, até os chamados dados sensíveis, que tratam das origens raciais ou étnicas, da convicção religiosa ou sobre o seu estado de saúde.
Tamanha é a importância econômica dos dados pessoais para as empresas de maneira geral, que eles se tornaram paulatinamente ativos. O acesso às informações, preferências e aos riscos dos clientes e potenciais clientes permite às seguradoras ampliar as suas bases de dados e, com isso, melhorar a aferição de risco e precificação. O interesse em transacionar os dados pessoais de clientes e sinistros não é menor, e incita uma série de preocupações, que vão desde o compartilhamento de informações concorrencialmente sensíveis até o uso e o tratamento de dados de clientes.
Sob o ponto de vista da regulação estatal sobre o uso e o tratamento dos dados pessoais de clientes pelas seguradoras, até o advento da Lei Geral de Proteção de Dados (LGPD), a Lei n.º 13.709/2018, existia uma espécie de permissividade no tratamento desses dados pelos seguradores, o que reproduzia o mesmo padrão de leniência observado em outros nichos que igualmente recorriam constantemente aos dados pessoais, tais como no dos órgãos de avaliação de crédito e no de empresas de telemarketing.
A lacuna regulatória em matéria de dados pessoais, a despeito da tradicional tutela jurídica aos direitos de personalidade, à privacidade e à intimidade, foi suprida em parte pela LGPD, que passou a disciplinar o uso dos dados, assim como as possibilidades do seu compartilhamento e transferência, de maneira gratuita ou onerosa. A LGPD, deixa claro, já no seu primeiro artigo, o propósito tutelar os direitos fundamentais de liberdade e de privacidade, de modo a assim permitir o livre desenvolvimento da personalidade da pessoa natural.
Em relação à segurança e ao sigilo de dados, por exemplo, a LGPD é categórica quanto ao dever dos chamados “agentes de tratamento” de adotar medidas de segurança técnicas e administrativas que protejam os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Para alcançar o seu propósito, a LGPD não apenas dispõe sobre o tratamento dos dados como também prevê a existência de uma Autoridade Nacional de Proteção de Dados (ANPD), um órgão regulador da Administração Pública que exercerá governança e o controle sobre as ações dos chamados “agentes de tratamento”. A LGPD trata dos direitos dos titulares dos dados, elenca os princípios a serem observados pelos agentes de tratamento, e disciplina o tratamento dos dados, inclusive pelo Poder Público. A norma é também elucidativa sob o ponto de vista da conduta corporativa, pois aborda temas ínsitos à segurança dos dados e apresenta parâmetros e incentivos às boas práticas das empresas.
Na perspectiva dos instrumentos de incentivo ao cumprimento das suas decisões, ao menos teoricamente a ANPD iniciará a sua existência fortalecida, dispondo de poderes de fiscalização e sancionamento para os casos em que se verifiquem violações aos preceitos legais sob sua competência. Todavia, independente da atuação da ANPD, os demais órgãos competentes para regular o setor de seguros, especialmente a Superintendência de Seguros Privados (SUSEP) devem, nos limites das competências legais, fazer a sua parte.
Na definição de “agente de tratamento controlador” que se encontra na LGPD, como sendo uma “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” reconhece-se facilmente a figura das seguradoras, as quais, em seu âmbito interno, possuem competência para regrar o tratamento de dados necessários à sua própria atividade, oriundos das relações contratuais que estabelece com seus clientes.
Se por um lado a discussão e a consciência sobre o potencial econômico e a vantagem da utilização dos dados pessoais no âmbito interno das seguradoras é uma realidade, ele não se verifica, ao menos em igual intensidade, em relação ao compliance dessas empresas com o novo paradigma normativo de proteção dos dados pessoais. É latente a necessidade de atualização dos programas de compliance adotados pelas companhias seguradoras para que passem a se adequar às disposições das normas e regulamentações de proteção de dados.
A competência do Conselho Nacional de Seguros Privados (CNSP) (art. 32, incisos I e II, DL 73/66), e da Susep, (art. 36, alínea h, DL 73/66), permitiram, ao tempo da Lei 9.613/98 (combate aos crimes de lavagem de dinheiro e ocultação de bens), a regulamentação de procedimentos administrativos (Resolução 97/02 CNSP), bem como a instituição de controles internos pelas seguradoras (Circular 445/2012 Susep), resultando em bem-vindos programas de compliance.
Na seara reguladora, esse exemplo não é o único: a Susep também estabeleceu a obrigatoriedade e regulamentou controle interno a ser observado pelas seguradoras para fins de combate às fraudes (Circular 344/2007), e, ainda, vinculou a chamada Estrutura de Gestão de Riscos aos controles internos até então instituídos (Circular 517/2015). O mesmo deveria acontecer em relação à conformidade dos seguradores com as disposições da LGPD.
Em todas as normativas relativas a controles internos, nos quais se alocam os programas de compliance, o tratamento dos dados tem finalidade específica: apuração e gestão de riscos, combate a fraudes, lavagem de dinheiro ou crimes. Dificilmente se observa, no entanto, uma convergência entre tais disposições existentes sobre o uso de dados por seguradores a as disposições da LGPD. Notória, assim, a possibilidade de o CNSP e a Susep, nos limites de suas respectivas competências legais, dedicarem-se à produção de normas técnicas com o objetivo de assistir os supervisionados no atendimento da LGPD.
No mais, é pertinente lembrar que já está em curso o prazo de vacância da LGPD. Se votada e convertida em lei a Medida Provisória 869, de 27 de dezembro de 2018 que a alterou, seus preceitos entram em vigor 24 (vinte e quatro) meses após sua publicação oficial, isto é, em agosto de 2020. Do contrário, sua redação original prevê vigência a partir de 18 meses após sua publicação, seus efeitos, assim, se verificarão em fevereiro de 2020. A janela de oportunidade para instituir e fomentar a efetivação de medidas técnicas e administrativas de segurança e proteção de dados pessoais dos segurados nos seguros massificados é pequena, e muito há para se fazer.
*Ana Maria Blanco é advogada, mestre em direito pela UFRGS, associada de Ernesto Tzirulnik Advocacia em Brasília e Vitor Boaventura é advogado, mestre em Regulação pela London School of Economics and Political Science (Reino Unido), sócio de ETAD – Ernesto Tzirulnik Advocacia
