Corretores de seguros não estão livres dos impactos da lei de proteção de dados. Mas, terão oportunidades de negócios com seguros cibernéticos.
O seminário “LGPD na prática e soluções para Cyber Risks”, promovido pela Associação Paulista dos Técnicos de Seguro (APTS) em parceria com a Escola de Negócios e Seguros (ENS), dia 21 de novembro, em São Paulo, se aprofundou na discussão sobre os impactos da Lei Geral de Proteção de Dados (LGPD) para os corretores de seguros, bem como analisou o cenário da segurança cibernética e as perspectivas para os seguros cyber risks.
Aspectos jurídicos
Do ponto de vista legal, a advogada Bárbara Bassani, da TozziniFreire Advogados, explicou que todos os corretores de seguros, independentemente do porte ou da área de atuação, devem se adequar à LGPD. “O corretor é detentor dos dados de seus clientes e deverá protegê-los, preocupando-se, inclusive, com o manuseio por funcionários ou por prestadoras de serviços”, disse.
A advogada Carla Couto, da TozziniFreire, lembrou que o Brasil já dispunha de legislações que regulam a privacidade e a proteção dados, como o Marco Civil da Internet e o Código de Defesa do Consumidor (CDC). Em sua opinião, apesar de criticada, a LGPD não apenas corroborou essas legislações, como trouxe mais flexibilização. “Trouxe segurança jurídica”, disse. Segundo ela, a tendência é que a LGPD se torne tão popular quanto o CDC. Isso significa que as pessoas estarão cada vez mais conscientes em relação aos seus dados.
Uma questão importante é a responsabilidade solidária em caso de vazamento de dados. Pela lei, o corretor se encaixa na figura do controlador, aquele que decide sobre o tratamento de dados. Caso o corretor deseje, por exemplo, oferecer seguro de vida para os novos clientes da base de seguro automóvel, poderá fazê-lo, mas com cautela. “A lei não impede ações de marketing. Mas, seria importante o corretor obter o consentimento do seu cliente, ou seja, se aceita receber a oferta de outros produtos”, disse Bárbara.
Já em relação à base de clientes anterior à lei, a advogada esclareceu que a LGPD não trata do legado e que essa tarefa ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD). No entanto, sugeriu aos corretores que se unam para defender seus interesses em relação ao legado de dados. “Apresentem estudos, fiquem atentos”, disse.
Gestão de riscos
“Segurança da informação é a espinha dorsal da LGPD”, disse Rodrigo Silva, diretor presidente da Turing Security. Ele lembrou que uma das atribuições da ANPD é receber denúncias, que podem vir até de algum concorrente. “Imagine a ANPD pedir relatório de impactos e o empresário não ter, porque não fez nada, sequer começou. Melhor é evitar o caminho do litigio”, orientou.
Segundo Silva, o empresário terá de compreender esses riscos, porque passará a trabalhar com a governança dos dados de seus clientes. “Não existe um software que dê conta da gestão de riscos, segurança cibernética, privacidade e proteção de dados, porque cada um destes deverá ser trabalhado com instrumentos próprios”, disse. Por outro lado, lembrou que segurança da informação não é algo novo, tanto que já é prevista em diversos normativos, inclusive da ABNT.
“LGPD não é apenas comprar softwares e virar as costas. É um trabalho contínuo para o resto da vida”, disse. O processo de gestão de riscos no setor de seguros começa, segundo Silva, com a definição do contexto e uma série de ações envolvendo o risco, tais como identificação, estimativa, aceitação, tratamento, avaliação, monitoramento e comunicação. “Todo esse processo deve ser feito com cada dado coletado, de forma virtual ou física”, afirmou.
Silva concluiu que a falta de entendimento da tecnologia traz forte risco à privacidade e proteção de dados. Já em relação às medidas de segurança cibernética (controle de acesso, criptografia, registro de log etc.), deixou claro que não são contra a privacidade, mas essenciais para mantê-las. “Cuidado com os prestadores de serviços que virão lhe oferecer soluções. Faça a lição de casa. Cuide da segurança para depois pensar em software. Não queria ser a primeira vítima da ANPD”, orientou.
Foco nos corretores
Se por um lado, os pequenos e médios corretores de seguros não estão livres da abrangência da LGPD e tampouco de sofrerem ataques virtuais, por outro, a proteção de dados e os riscos cibernéticos são uma grande oportunidade de negócio. Estas questões foram tema da apresentação do diretor da APTS Cláudio Macedo Pinto, fundador da Clamapi, corretora especializada em riscos cibernéticos.
Especialmente para os corretores, ele ensinou o caminho das pedras em 13 passos que orientam sobre como se adequar à lei, se proteger de ataques virtuais e vender seguro cyber risks. O primeiro passo, segundo Macedo, é entender a resistência dos brasileiros em comprar seguros e proteger seus dados. Dentre as explicações estão a descrença de que podem ser vítimas de ataques, a intangibilidade do risco cibernético, a crise econômica e a cautela das seguradoras, que ainda não avançaram tanto quanto poderiam na área.
Em seguida, a sugestão é buscar informações na internet, em matérias, vídeos e publicações especializadas sobre segurança da informação e até sobre a atuação de hackers. “Eles não são mais lobos solitários, existem aos milhões, costumam agir por meio de organizações criminosas sofisticadas e dificilmente são pegos. Existem hackers para cada tipo de crime cibernético”, explicou.
Estudar a legislação sobre o tema é outro passo importante, segundo o especialista, sobretudo a LGPD, além de leis que afetam a segurança da informação. Ainda no campo dos estudos, Macedo coloca como sétimo passo estudar os clausulados das apólices. Atualmente, sete seguradoras oferecem cyber insurance: AIG, AXA XL, Zurich, Generali, Chubb, Allianz e Tokio Marine. “Os clausulados não são padronizados e cada seguradora tem o seu apetite por risco”, disse.
Macedo orientou os corretores a conhecerem as exclusões do seguro cyber risks para saberem em que situações ocorre a perda de direito à indenização e, ainda, para conhecerem as obrigações do segurado. “O seguro cibernético não é a bala de prata que cobre tudo”, disse. Por isso, destacou a necessidade de saber como agir em caso de sinistro, especialmente nas primeiras 48 horas, que correspondem ao período mais crítico. “Cyber é como um incêndio, se não agir rápido, o problema se alastra”, disse.
O passo seguinte é buscar parcerias diversas, desde escritórios de advocacia especializados, corretores e até hackers. Não menos importante é proteger os dados da própria corretora. “Um vazamento pode representar a perda de clientes”, disse. Por fim aconselhou ao corretor a não desistir diante da resistência do cliente. “O cyber será uma espécie de seguro saúde para as empresas”, previu.
Cibersegurança
De acordo com Marcos Nehme, CTO Field e diretor para América Latina e Caribe na RSA Security, a ideia da LGPD é criar confiança e, junto com ela, oportunidades de inovação, apesar da “dor de cabeça” que a implementação provocará. Para ele, todo esse processo é importante para a experiência do cliente, gerando confiança, valor na empresa e lealdade.
Por outro lado, Nehme reconhece que a transformação digital também traz um paradoxo, porque necessita da confiança na tecnologia, nas pessoas que a operam e nos novos processos. “Porque se a base de dados cair em mãos erradas, impedirá o uso daquela tecnologia que preciso”, disse. “Daí porque surgiram as leis, foi para resolver esse paradoxo”, acrescentou.
Nehme observou que é preciso ter atenção aos novos riscos, como, por exemplo, os e-mails maliciosos que instalam vírus específicos para roubar dados de determinados usuários e que não são detectáveis por antivírus. “Às vezes, o criminoso estuda por muito tempo a rotina da empresa para criar um vírus específico, usado pela primeira vez, chamado de Dia Zero, que é impossível de ser detectado”, disse.
Dentre os desafios da adequação à LGPD, ele cita a identificação e o cuidado com os dados sensíveis. Além da figura do controlador e do operador, a LGPD criou o encarregado, que será responsável pela comunicação de incidentes e prestação de contas às autoridades. A segurança, segundo ele, depende da mudança de hábitos, como deixar à mostra a senha do sistema da empresa. “Não tenha mais caderninho ou folhas na mesa com dados de clientes. Adote a prática da mesa limpa”, disse.
No aspecto da segurança, orientou a ter controle maior sobre quem acessa as informações e a criar processos de autenticação de usuários. “Se não é possível se proteger contra alguns vírus, então a saída é identificar comportamentos, inclusive com o uso de novas tecnologias. Existem empresas que proveem esse serviço”, disse.
Crimes cibernéticos
Considerado um dos melhores hackers do mundo pelo Google e Facebook, o diretor da Elytron Security, João Lucas Brasio, explicou que o seu trabalho como “hacker do bem” é invadir os sistemas de empresas para detectar vulnerabilidades e torná-los mais seguros. Este trabalho é necessário, segundo ele, porque os casos de vazamentos e ataques cibernéticos estão aumentando ano a ano e as perspectivas não são boas. “A tendência é piorar cada vez mais”, disse.
De acordo com Brasio, um dos motivos do aumento de crimes cibernéticos é a própria internet, que funciona em três camadas: surface web, em que todos navegam e que responde por apenas 4% de todo o conteúdo; a deep web, cujo conteúdo não é indexado pelos buscadores, como é o caso de exames médicos e operações bancárias, concentrando 90% das navegações; e a dark web, na qual a navegação é anônima e, por isso, é utilizada para pedofilia, tráfico de drogas e crimes cibernéticos.
As legislações também estão favorecendo os crimes cibernéticos, na visão de Brasio, na medida em que pressionam as empresas. “Para os atacantes isso precifica o ataque, porque quanto maior for o dano que uma empresa poderá sofrer, mais valiosa será a informação e maior será extorsão. Em vez de pagar, por exemplo, R$ 50 milhões de multa, a empresa poderá ceder à extorsão e pagar R$ 10 milhões em monero (criptomoeda) na dark web”, disse. Para Brasio, a lei é necessária, mas tem efeitos que não pode controlar.
Os riscos cibernéticos sempre existirão, segundo Brasio, e as empresas devem escolher como tratá-los. “Algumas eliminam o risco, outras o assumem e existem aquelas que o transferem ao seguro”, disse. Em sua avaliação, a tendência é de expansão do seguro cibernético, que deverá ser contratado inclusive por pessoas físicas. “Será tão comum como ter um seguro saúde”, disse.
A lei e os riscos em debate
No talk show mediado por Claudio Macedo Pinto, o debatedor Sergio Oliveira, diretor jurídico da Tokio Marine Seguradora, deixou claro que os corretores poderão responder junto com as seguradoras pelo vazamento de dados, de acordo com a LGPD. “A responsabilidade solidária existe, inclusive a objetiva, aquela que não precisa da comprovação da culpa. Por isso, os corretores devem se preocupar”, afirmou.
A debatedora Hellen Deungaro Fernandes, gerente de subscrição de Linhas Financeiras na Zurich, concordou. “O fluxo de dados é grande e o corretor precisa enxergar o próprio risco, protegendo-se com ferramentas e adotando a governança, já que a responsabilidade será de todos”. Uma das premissas básicas do seguro cibernético, segundo ela, é a exclusão de danos materiais ou danos tangíveis. “Se perco meu computador com os dados de clientes, não haverá cobertura para a máquina, mas apenas para o seu conteúdo”, disse. As demais exclusões são danos corporais e a transferência de valores.
Victor Perego, Cyber Underwriter na AIG Seguros, disse que em suas apresentações costuma dividir os objetivos do seguro cibernético em três “pacotes”. O primeiro cobre os custos que a empresa terá para investigar, restaurar o sistema, enfrentar a paralisação (lucros cessantes) e lidar com a crise de imagem. O segundo atende ao aspecto regulatório (LGPD), cobrindo custos com peritos, multas e publicidade do vazamento. O terceiro “pacote” de seguros serve para cobrir os custos das ações judiciais de terceiros em decorrência do vazamento de dados.
Questionado pela plateia, João Lucas Brasio esclareceu que o hacker é um entusiasta da tecnologia e não necessariamente um criminoso. Já o cracker tem o único objetivo de prejudicar. Ele afirmou que as empresas estão muito vulneráveis a ataques e que no restante do mundo o cenário é parecido. A exceção são as empresas de tecnologia do Vale do Silício, que ele considera um mundo à parte. “Estas empresas perceberam décadas atrás que dados são tão valiosos quanto o petróleo e trataram de se proteger”, disse.
Brasio é otimista em relação à chegada da tecnologia 5G, apesar dos riscos. “Haverá mais conexões, mais gadgets (dispositivos eletrônicos) em nossa vida e isso aumentará a superfície de ataques”, disse. Para evitar ataques aos smartphones, ele sugeriu uma medida simples como two-step verification, que pode ser feito na configuração dos aparelhos.
“A gestão de riscos cibernéticos já entrou no radar das empresas? ”. Rodrigo Silva respondeu que, com exceção das grandes empresas, as demais ainda não despertaram para o problema. Ele sugeriu aos corretores que abordem o tema com seus clientes de forma didática, explicando o cenário, os riscos e as implicações. “A segurança cibernética não pode ser vista como um custo, mas como investimento”, disse.
Marcos Nehme orientou que a contratação de fornecedores de produtos de segurança cibernética deve ser analisada sob o aspecto da necessidade da empresa e da integração com demais produtos. “Porque senão a empresa terá um ‘Frankenstein’ de produtos e precisará de um profissional apenas para cuidar disso”, disse. Para as pequenas empresas que não têm condições de investir, ele sugeriu a contratação de serviços de segurança cibernética.
Cláudio Macedo informou que a sua corretora, a Clamapi, está trabalhando junto com seguradoras para desenvolver coberturas de riscos cibernéticos exclusivas para pequenas e médias empresas, incluindo corretoras, com valores mais baixos. “A maioria dos corretores não precisa de um seguro de R$ 1 milhão. Às vezes, R$ 50 mil já é suficiente”, disse.
Fonte: Revista APTS Notícias (ed. 137)