Breves considerações sobre a compatibilidade do Sistema de Seguros Aberto (Open Insurance) e a LGPD

Recentemente, a Superintendência de Seguros Privados - SUSEP colocou em consulta pública as minutas de dois atos implementando a estrutura inicial do Sistema de Seguros Aberto - Open Insurance¹.

Segundo a Autoridade Europeia de Seguros (EIOPA)², uma consideração importante para possíveis soluções de open insurance é encontrar "um equilíbrio entre os objetivos regulatórios relacionados à proteção de dados, seguro e concorrência, apoiando a inovação, eficiência, proteção do consumidor e estabilidade financeira"³.

Ainda consoante a EIOPA, a coleta e compartilhamento de dados sobre apólices e outros dados relacionados a seguros podem revelar dados sensíveis (relacionados à saúde, religião, etc.) e, portanto, a regulamentação precisa garantir, num ambiente seguro e ético, que terceiros só acessem dados necessários para finalidades explícitas e com consentimento informado por parte do consumidor.

A princípio, vemos a mesma preocupação da SUSEP, nas Consultas Públicas 12 e 13/21.

Como se sabe, desde 2018 o Brasil conta com uma lei específica para regular o tratamento de dados pessoais, a LGPD.

Um primeiro alerta que deve ser feito é que a LGPD não veio para travar a inovação, ou burocratizar as atividades de tratamento de dados pessoais. Aliás, dentre os fundamentos da lei (artigo 2º), ao lado do respeito à privacidade, autodeterminação informativa e defesa do consumidor, encontramos também o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência.

Ainda segundo a LGPD, o tratamento de dados pessoais só pode ser realizado quando houver uma base legal definida previamente, as quais podem ser encontradas nos artigos 7º e 11, a depender do tipo de dado pessoal tratado.

Ao ler a Exposição de Motivos da abertura das Consultas Públicas, pela SUSEP, é possível vislumbrar a preocupação do órgão em demonstrar a compatibilidade entre o Open Insurance e a proteção de dados pessoais:

(...) o sistema aberto financeiro (Open Banking) representa, em poucas palavras, um marco fundamental no desenvolvimento econômico e social do Brasil. Esse sistema é definido pelo compartilhamento padronizado de dados e serviços por meio da integração de plataformas e infraestrutura de tecnologia. Exatamente por esse motivo, as iniciativas de Open Banking e Open Insurance são consideradas a regulamentação e a operacionalização da LGPD nestes dois importantes segmentos econômicos, por proporcionar um ambiente seguro, ágil, preciso e conveniente para o titular do dado pessoal consentir o compartilhamento de dados e o revogar ou solicitar o expurgo dos dados, dispositivos expressos da LGPD.

(...)

Conforme disposição da LGPD e em decorrência dela, os consumidores devem ser capazes de ver onde seus dados estão, entender com quem eles foram compartilhados e manter o poder de revogar facilmente seu consentimento e expurgar seus dados a qualquer momento, facilidades que estarão presentes no ecossistema Open.

Neste ponto, o Open Insurance se mostra igualmente necessário para o mercado de seguros, previdência e capitalização e estabelecerá um ambiente seguro e ágil para que consumidores deste mercado possam exercer seus direitos previstos em Lei (LGPD).

Esse ecossistema tem potencial para melhorar a forma como clientes, em especial pessoas naturais e pequenas e médias empresas (PMEs), gerem as suas finanças, para melhorar a forma como as empresas provedoras de produtos e serviços financeiros/securitários/previdenciários interagem entre si e com os seus consumidores e para transformar a concorrência nos mercados de serviços financeiros, de seguros, previdência e capitalização. Em se tratando do que a tecnologia Open pode oferecer para estes serviços no Brasil, há certeza de que a criação do Open Finance é apenas a "ponta do iceberg".

(...)

No mercado de seguros, dados relacionados a apólices de pessoas naturais e corporativos não são fáceis de serem compartilhados atualmente. Consumidores individuais geralmente não podem usar um portal de seu segurador para baixar os dados de apólice incluindo transacionais, em uma forma já estruturada e, consequentemente, não podem compartilhar, de forma segura, ágil e conveniente, seus dados com qualquer terceiro que possa prover serviços a eles. Esta situação é bastante comum, inviabiliza a aplicação da LGPD, e está sendo completamente alterada, em um movimento de amplo interesse para os consumidores e, por conseguinte, para o setor.

(...)

Um acesso mais fácil para o consumidor aliado a uma capacidade de compartilhamento e integração segura de dados possibilitam produtos mais customizados e mais adequados ou uma funcionalidade mais amigável que definitivamente será de grande valor para a indústria de seguros como um todo. É muito provável que, com dados compartilhados e APIs abertas, o mercado se torne bem mais amplo.

Aliás, a proposta de Resolução declara no artigo 3º, dentre os objetivos do open insurance, "ter o cliente como seu principal beneficiado" e "tornar o compartilhamento de dados, previsto na Lei Geral de Proteção de Dados, seguro, ágil, preciso e conveniente para os clientes".

Assim como o open banking, o open insurance tem como ponto de partida, na linha do propagado pela LGPD, a noção de que os dados pessoais pertencem aos consumidores e não às empresas do setor, exigindo o "consentimento do cliente para fins do compartilhamento de dados pessoais de seguros e de serviços relacionados a seguros" como requisito para a legalidade do tratamento, dedicando uma Seção inteira ao tema⁴.

É importante destacar que na redação proposta, a minuta de Resolução limita a definição de dados pessoais para o escopo do open insurance, prevendo que devem ser consideradas as "informações sobre cadastro de clientes e de seus representantes, movimentações relacionadas com planos de seguros, de previdência complementar aberta, assistência financeira e capitalização, incluindo registros feitos por dispositivos eletrônicos embarcados, conectados ou usados pelo cliente".

Dentre os dados pessoais passíveis de compartilhamento, a proposta de Resolução exclui dados classificados pela lei como sensíveis, notas ou pontuações de crédito, claramente num intuito de evitar discriminação ou uso de dados pessoais em desfavor dos titulares.

Portanto, não é qualquer dado pessoal que poderá ser compartilhado no sistema.

Os participantes do sistema deverão seguir requisitos definidos pela SUSEP, inclusive sobre segurança cibernética, governança e relacionamento com o cliente. De mais a mais, a proposta de Resolução exige das sociedades participantes ética e responsabilidade na atuação, inclusive para fortalecer a confiança no sistema de seguros privados, atendendo a princípios como (artigo 4º):

• Segurança e privacidade de dados e de informações compartilhados
• Qualidade dos dados
• Tratamento não discriminatório
• Interoperabilidade

Para a solicitação de compartilhamento, há uma sequência lógica pré-estabelecida na Resolução proposta (consentimento, autenticação e confirmação)⁵, etapas estas que devem "ser efetuadas com segurança, agilidade, precisão e conveniência, por meio da interface dedicada de compartilhamento" (art. 9º, parágrafo único, I, da minuta de Resolução), sendo obrigatório que as sociedades participantes prestem informações claras, objetivas e adequadas.

Verifica-se, no curso de todo o texto da proposta de Resolução, preocupação não só com a declaração da base legal passível de utilização no compartilhamento (consentimento), mas também com garantias de meios técnicos e administrativos para conferir segurança aos dados, quando, por exemplo, exige das sociedades participantes que prevejam sobre o processo de tratamento de incidentes envolvendo dados pessoais, ou ao criar a figura do Diretor Responsável pelo Compartilhamento (artigo 30 e seguintes), tal qual estabelecido para o open banking.

Já a minuta de Circular tenta, nos seus limites, traçar diretrizes adequadas para a estrutura inicial de governança do open insurance, dispor sobre requisitos técnicos, procedimentos operacionais e escopo mínimo de dados e serviços para implementação do sistema.

Por tudo até aqui exposto e sob a ótica do privacy by design⁶ e seus sete pilares⁷, nos parece possível afirmar que a concepção adotada pela SUSEP para o sistema de open insurance, ao menos pelo que se observa na Exposição de Motivos e nas minutas dos atos sob consulta, atende satisfatoriamente à legislação de proteção de dados pessoais, colocando o titular dos dados no centro das preocupações.

_________

1 Consultas Públicas 12 e 13/21

7 Clique aqui