+55 21 3550-4400 contato@mottaefaria.com.br

Lei nº 13.709.2018 – É melhor prevenir

  1. Introdução

A Lei Geral de Proteção de Dados – LGPD -, Lei 13.709 de 14 de agosto de 2018, entrará em vigor em agosto de 2020.  A partir de então, todas as pessoas físicas ou jurídicas, no Brasil, que coletam e tratam dados pessoais, deverão passar a fazê-lo em conformidade com a referida norma.  A LGPD veio estabelecer regras sobre a coleta de dados pessoais, a transparência no seu tratamento e ainda o direito de esquecimento pressuposto para as situações previstas com a eliminação das informações. 

Ainda que o deadline para a aplicação da lei pareça distante, não se pode perder de vista que é grande o número de medidas a serem implementadas para a conformidade necessária ao pleno atendimento da norma.  

  1. Adaptação e conformidade

A elaboração de um programa de conformidade, com previsão de políticas corporativas adequadas, contratação ou expansão de recursos de tecnologia da informação, treinamento do profissional que preencherá função até então inexistente – o encarregado – e dos colaboradores, para adoção das novas práticas, demandará esforço financeiro e lapso temporal significantes.

O comprometimento da cúpula das empresas bem como o envolvimento de todas as áreas do negócio será indispensável, restando claro não estarem circunscritos às áreas de TI e de compliance os novos processos e práticas a serem agregadas. 

A preocupação com a privacidade, a proteção, e a segurança no adequado tratamento dos dados pessoais, em todos os momentos de seu trânsito, nos programas e sistemas internos e externos, não se limitará aos dados digitais, mas deverá, também, estender-se às informações que se encontrarem em documentos físicos. Boa parte das mudanças e do aperfeiçoamento a serem implementados diz respeito à segurança da informação, uma das áreas mais afetadas.  

  1. Dados como insumo da atividade seguradora

A atividade seguradora depende, absolutamente e sem exagero, de informação. São as informações fornecidas pelo segurado, sobre o objeto, pessoa ou atividade a serem objeto e cobertura, que permitem a elaboração dos seguros e outros produtos comercializados pelo setor. Com base nos dados sobre o risco a ser coberto, as circunstâncias que o cercam e todas as suas interligações, é que se torna possível a aplicação do cálculo atuarial para a avaliação da possibilidade de cobertura, a aferição do custo total e a determinação do preço final do prêmio.  

Dados são o insumo básico do seguro, a matéria prima que viabiliza a atividade, a subscrição dos produtos de proteção que o setor oferece.  Para que se possa melhor avaliar a importância dos dados e sua aplicação estatística para a atividade, vale ressaltar que riscos novos ainda não mensurados em sua incidência e espectro de dano, dificilmente poderão ser segurados. Uma forma de contornar as dificuldades locais é, o que muitas vezes ocorre, a utilização da experiência internacional, sempre guardadas similaridades concretas.

Entretanto, já há algum tempo vem se agravando, entre nós, a preocupação com a captação e o tratamento de dados. Tornou-se usual sermos instados a fornecer informações pessoais detalhadas em situações corriqueiras, como no check-in em hotéis, compras de vestuário, inscrições em congressos e eventos, e outros. 

Na União Europeia, as medidas regulatórias para conter e responsabilizar a exigibilidade do fornecimento de dados pessoais são bem anteriores a nossa lei nº 13.709/2018. A primeira diretiva europeia é de 1995 e seu aperfeiçoamento veio com a promulgação do Regulamento Geral sobre Proteção de Dados – RGPD – em 15 de abril de 2016 e que entrou em vigor em maio de 2018.

  1. Dados sensíveis

A LGPD conceitua dado pessoal sensível no inciso II do artigo 5º, como aquele sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Os dados pessoais sensíveis mereceram uma sessão específica na referida que se estende do artigo 11 ao 13, tendo ainda o artigo 14 dedicado aos dados pessoais de crianças e adolescentes, que só poderão ser coletados e tratados com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

  1. Seguro Saúde e o Seguro de Vida 

A assimetria de informação, no seguro, foi sempre terreno fértil para discussões do ponto de vista técnico, econômico e jurídico, principalmente após o advento do Código de Defesa do Consumidor.  Essa característica manifestava-se então, relativamente ao segurado, no pouco que este percebia dos cálculos aplicados à elaboração dos valores cobrados pelo seu seguro de automóvel, residência ou assistência à saúde. De parte da seguradora, esta dependia, quase exclusivamente, do animus do contratante para obter dados concretos e verídicos sobre o risco a ser coberto.  O conhecimento das condições em que se encontra o bem, sua localização exata, os riscos que o ameaçam são, na maioria das vezes, de conhecimento exclusivo do segurado. No caso do seguro de vida e do seguro saúde, também é o proponente que detém as informações sobre as patologias que, eventualmente, possui e as circunstâncias de sua saúde, que deve declará-las quando da contratação. 

O tempo e os avanços da tecnologia tiveram uma ação positiva sobre a assimetria de informação, vindo a diminuir a distância que separa a seguradora do seu segurado. Para tanto, muito veio a contribuir uma coleta de dados mais assertiva e uma transparência maior das práticas e princípios técnicos do seguro saúde, previamente e quando da contratação, como hoje ocorre. O resultado é uma avaliação mais justa e uma composição mais técnica do preço a ser cobrado (prêmio). 

Os dados fornecidos pelo proponente diretamente ou por meio do corretor para a contratação de um seguro saúde, ou de um seguro de vida, são essenciais para a correta avaliação de custos de agravamento como na questão de doenças genéticas ou pré-existentes, e o consequentemente afastamento de fraudes.  

A partir de agosto de 2020, novos cuidados se farão necessários para a captação e tratamento de dados sensíveis nos ramos vida e de assistência saúde, ainda que o inciso II, do §4º, do artigo 11, excepcionalize a comunicação e compartilhamento de dados no caso de necessidade de comunicação para a adequada prestação de serviços de saúde complementar.

Vale lembrar que a necessidade das operadoras de assistência à saúde não as exime do respeito ao princípio da finalidade que determina que o uso de dados pessoais deve-se destinar única e exclusivamente para os fins para os quais foram coletados.

  1. Adequação e mudanças

Dependendo do porte, objeto social e atual nível de internação de tecnologia, a empresa deverá submeter-se a maiores ou menores níveis de adaptação que irão desde a criação de políticas adequadas e regras mais rígidas para a segurança da informação e compliance, até o aperfeiçoamento e redirecionamento de práticas e regulamentos já existentes. 

Várias empresas de grande porte já iniciaram seus projetos de mapeamento dos processos existentes, das políticas e das tecnologias que sofrerão os impactos da lei para delinear as novas regras e práticas em conformidade com a LGPD.

A lei definiu que as empresas deverão contar com três funcionários especificamente alocados para o atendimento da norma: o Controlador, o Operador e o Encarregado. Os dois primeiros deverão manter registro das operações de tratamento de dados pessoais que efetuarem podendo inclusive vir a ser exigido relatório de impacto à proteção de dados pessoais pela autoridade nacional (ainda a ser criada). Mais especificamente o controlador será responsável por decidir o que será feito com os dados, enquanto a responsabilidade do operador será a do tratamento desses dados. Por sua vez, o Encarregado pelos dados pessoais tem, dentre as suas atribuições, a recepção e a prestação de esclarecimento quanto a reclamações, a recepção de comunicações da autoridade fiscalizadora e a orientação aos colaboradores sobre as práticas e rotinas para o tratamento de dados. 

  1. Conclusão 

A conformidade com as disposições da lei já vem sendo considerada como condição de sobrevivência frente à possibilidade de aplicação de multas vultosas.  A sistematização da informação e a classificação dos dados, repete-se, serão indispensáveis, visto que pela primeira vez entre nós uma norma vem dispor especificamente sobre captação e coleta de dados sensíveis com obrigatoriedade, agora, de tratamento especial.

Certamente os impactos nas práticas e processos internos tendem a ser maiores em pequenas e médias empresas, algumas das quais ainda possuem pouca ou nenhuma política auto-regulatória de dados pessoais.   

Com amplo espectro de aplicação a LGPD alcança não só os novos modelos de negócios estruturados no ambiente da tecnologia, startups, inshurtechs, e outras, mas, também, os tradicionais com práticas consolidadas, e já regulados.  A norma privilegia as ações e medidas preventivas o que, indiretamente, propiciará um maior controle na gestão do negócio e uma mais acurada e também constante avaliação de riscos.

Quem avaliar como ainda longínqua a data da aplicação da lei poderá se surpreender.  O tempo disponível antes da entrada em vigor da LGPD poderá, dependendo das características da empresa, mostrar-se exíguo para que ocorram e se solidifiquem as mudanças em todas as áreas impactadas. Vale ressaltar que a mudança de cultura é lenta, e é nesse espaço da empresa onde se entrincheiram as resistências mais difíceis de serem ultrapassadas. 

Mais que nunca vale o velho ditado: é melhor prevenir; e a hora é agora.