A Lei Geral de Proteção de Dados (LGPD) entra em vigor em maio de 2021. Com isso, o mercado de seguros, assim como os demais setores da economia, ganharam mais nove meses para se adequar ao que determina a lei.

De todas as empresas, as que atuam no mercado securitário são as que mais lidam com dados pessoais. Sendo assim, recai sobre elas uma maior responsabilidade em protegê-los.

Mas, além de atualizar as políticas de governança corporativa para elevar os padrões de segurança e de proteção das informações dos segurados, as seguradoras terão de lidar com questões com as quais antes não se deparavam.

Por exemplo, uma prática comum sempre foi colocar um segundo motorista, que não detém necessariamente a propriedade do veículo, para ser coberto pelo seguro. Agora, essa prática terá de ser repensada.

A lei exige transparência. Dessa maneira, usar os dados de pessoas secundárias, ou seja, que não são proprietárias dos veículos, é uma conduta que pode estar em desacordo com a LGPD, em teoria.

Isso coloca as seguradoras que cometem esse tipo de ato – sem se fundamentar em qualquer base legal – no patamar das empresas que podem ser multadas pelo uso inadequado de dados. Portanto, entre aquelas que terão de retirar 2% do faturamento do último ano ou no máximo R$ 50 milhões para arcar com o descumprimento da lei. Somado a esse montante, há ainda as sanções administrativas, civis e penais. Essas podem ser sentenciadas pela atuação em desacordo com a Lei de Proteção de Dados.

No entanto, há uma forma de evitar essas penalidades. É as empresas que atuam no mercado de seguros já iniciarem o mapeamento das suas atividades e de como é feito o tratamento dos dados.

Para tanto, necessitarão de algumas ferramentas, como profissionais especializados em segurança da informação, Direito e no mercado securitário para o efetivo cumprimento da lei.

Assim, enfrentarão menos dificuldades para se ajustar à Lei Geral de Proteção de Dados dentro do novo prazo estabelecido – que passou de agosto de 2020 para maio de 2021.

Esse ganho de tempo permite às empresas de seguros organizarem todo o necessário para atender a LGPD. Realizar essa organização fica ainda mais fácil a partir de um checklist.

Mercado de seguros: checklist para empresas adequarem-se à LGPD

A adoção das melhores práticas, por parte das seguradoras, permitirão a elas atuar sem receios no âmbito da Lei de Proteção de Dados. Principalmente quando a implementação dos dispositivos das novas normas estiver completa e integrada à rotina diária.

Mas, para tal, há fundamentos, princípios e normas gerais a cumprir. O checklist ajuda a identificar onde deve se concentrar a maior parte dos esforços para instituir a LGPD apropriadamente nas empresas ativas no mercado de seguros.

1. Dados nada além do necessário

As seguradoras, assim como empresas de outros segmentos econômicos, não poderão tratar dados além dos necessários. Nem dados que não estejam diretamente relacionados à finalidade do negócio. Caso contrário, correm o risco de atuar em desacordo com a LGPD.

Por essa razão, as empresas do mercado de seguros precisam ter como objetivo evitar ao máximo exercer a coleta de dados que não condizem com sua finalidade. Isso pode ser feito a partir da revisão das informações que costuma coletar. Por exemplo, o quão é necessário saber o estado civil do segurado ou se está empregado ou desempregado?

Por isso, coloque isso no checklist:

  • Identificar quais informações do segurado são imprescindíveis para o cálculo de risco e de probabilidades de ocorrência de um sinistro.

2. Registros e justificativas

As seguradoras têm a obrigação de manter os registros e justificar as operações de tratamento de dados que realizar. Essa determinação está no Art. 37 da Lei nº 13.709/2018:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Portanto, frente a possibilidade de ser necessário as seguradoras justificar a razão de terem coletado e arquivado os dados, não pode faltar no checklist:

  • Definir modelo para registrar e justificar a coleta e tratamento dos dados, bem como para arquivar essas informações.

3. Garantia do direito dos titulares

A Lei Geral de Proteção de Dados garante aos titulares das informações o acesso aos seus dados pessoais cadastrados nas seguradoras a qualquer momento, mediante a simples solicitação.

Nessa consulta, o proprietário dos dados pode questionar sobre a forma e a duração do tratamento, e sobre a integralidade dos dados gratuitamente. Sendo assim, torna-se mais um item do checklist da LGPD para empresas do mercado de seguros o seguinte:

  • Determinar a forma de acesso do titular aos seus dados pessoais quando esse os requisitar, assim como a forma de apresentar o registro e as justificativas para o proprietário dos dados.

4. Gestão de banco de dados

O banco de dados é onde são armazenadas as informações dos titulares que estão na base de contatos da seguradora. Geralmente, quando se fala em banco de dados, tanto no caso do mercado de seguros quanto em outros segmentos econômicos, a primeira imagem formada é de grandes servidores e muitos fios interligando-os a redes de computadores.

O fato dessa ser a primeira referência que se tem de banco de dados se deve ao advento da era digital, que transmitiu e fortaleceu a ideia de que a partir do uso de computadores, nada mais precisaria ser feito em papel.

Com isso, é comum haver um esquecimento momentâneo de que os registros dos dados feitos em meio físicos, como fichas, livros de registros e documentos impressos, também compõem um banco de dados.

Sendo assim, as seguradoras precisam ter claro que para estar em conformidade com a LGPD, é necessário que mantenham ambos os bancos de dados – digital e físico – criteriosamente organizados.

Portanto, não pode faltar ao checklist das empresas do mercado de seguros que querem estar em conformidade com a Lei Geral de Proteção de Dados o seguinte item:

  • Estruturação do banco de dados digital e físico.

5. Funções de controlador, operador e encarregado

A LGPD institui duas funções necessárias às empresas do mercado de seguros. São elas a de controlador e de operador, assim definidas pelo Guia de Boas Práticas do Mercado Segurador Brasileiro sobre a Proteção de Dados Pessoais, elaborado pela Confederação Nacional das Seguradoras (CNSeg):

Controlador:
cabe a esse o papel de tomar as decisões a respeito dos limites e dos parâmetros para que seja realizado o tratamento de dados pessoais.
Operador:
detém o papel de executar as diretrizes lícitas dadas pelo controlador. E;
Encarregado:
é o elo de comunicação entre o titular dos dados, o controlador e a Autoridade Nacional de Proteção de Dados (ANPM). Tem como principais tarefas:
-> aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
-> receber comunicações da Autoridade Nacional e adotar providências;
-> orientar os funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
-> executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Portanto, torna-se premissa para estar em conformidade com a Lei de Proteção Dados, que haja na seguradora profissionais habilitados para exercer essas três funções ou uma empresa terceirizada para assumir essa responsabilidade (escritório de advocacia, consultoria especializada, etc.) de controlar e operar os dados.

Por essa razão, no checklist das empresas que atuam no mercado de seguros, algo importante a constar para não ferir o que preconiza a LGPD é:

  • Determinar quem exercerá as funções de controlador, operador e encarregado de dados: profissionais da empresa ou terceiros.

6. Consentimento para uso dos dados

O consentimento é o dispositivo trazido pela LGPD que garante à seguradora a utilização dos dados coletados das pessoas física ou jurídica. Por essa razão, é um dos principais itens do checklist:

  • Estabelecer a maneira pela qual será solicitado o consentimento para tratamento dos dados do titular.

Afinal, é por meio do consentimento que o titular aceita que os seus dados pessoais sejam tratados pela empresa. No entanto, isso não requer, necessariamente, a assinatura de um documento formal, como habitualmente se imagina. A simples aceitação dos termos e condições de uso de um site, por exemplo, já é suficiente para caracterizar a permissão de utilização dos dados coletados e/ou cadastrados.

Só é preciso tomar dois cuidados nesses termos ou no formulário digital que contém uma caixa de marcação para concessão de uso dos dados. Em qualquer um deles – ou em ambos – deve:

  • constar claramente para que os dados coletados serão utilizados.
  • Haver uma comunicação sobre a possibilidade de os dados serem compartilhados com órgãos controladores da atividade de seguros, para fins de cumprimento de obrigações legais ou regulatórias.

Com isso, a empresa seguradora garante transparência nas operações que incluem o tratamento de dados pessoais dos segurados.

7. Uso internacional ou compartilhado dos dados do mercado de seguros

Mesmo que a empresa que tem como segmento o mercado de seguros possua uma operação exclusivamente nacional, não pode deixar de prestar atenção a esse tópico da Lei Geral de Proteção de Dados. A razão para isso é muito simples.

Às vezes, a seguradora acredita que não realiza transferência internacional de dados, mas utiliza um serviço de armazenamento dos dados em nuvem, cujo servidor está localizado em outro país. Essa simples dinâmica já pode caracterizar a transferência de informações de pessoas naturais do Brasil para além das fronteiras do país.

Mediante essa possível interpretação, o recomendado às seguradores é que orientem os colaboradores e prestadores de serviços que evitem realizar operações que podem configurar o compartilhamento de dados em oposição à LGPD.

Assim, o tópico a ser acrescentado ao checklist para estar em acordo com a Lei é:

  • Determinar e executar as medidas necessárias para evitar o entendimento equivocado de uso internacional ou compartilhado de dados.

O mercado de seguros está pronto para a LGPD?

Esse checklist já serve para que as empresas integrantes do setor de seguros atendam aos principais dispositivos da Lei Geral de Proteção de Dados e se protejam de possíveis sanções que podem advir da falta de conformidade com a legislação. Contudo, é apenas um início para que as organizações saibam para onde os “olhos” dos órgãos fiscalizadores estarão voltados.

A Lei é extensa. Detém 65 artigos e os seus dispositivos não excluem os direitos e princípios previstos nas demais regulamentações do setor. Dessa maneira, para estarem totalmente preparadas para atender à LGPD, as seguradoras precisam entender como as legislações convergem e quais se sobrepõem em caso de conflito. Compreender essa dinâmica é fundamental para, aí sim, as empresas do mercado de seguros estarem completamente preparadas para atender não só a LGPD, mas toda a normatização do setor.