Resolução da ANPD impulsiona demanda por seguros cibernéticos e responsabilidade civil para gestores de dados

Em fevereiro deste ano, foi publicada a Resolução CD/ANPD 4, do Conselho Diretor da Autoridade Nacional de Proteção de Dados. Esta resolução aprova o regulamento de dosimetria e aplicação de sanções administrativas, legislação procedimental que traz, efetivamente, as diretrizes para aplicação de sanções e multas pela ANPD.

Em resumo a norma tem como objetivos: I) regulamentar os arts. 52 e 53 da LGPD (lei 13.709/18) e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas e II) Alterar os arts. 32, 55 e 62 da Resolução 1º CD/ANPD, com vistas a aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.

Tomando por base a literalidade contida na resolução aditada, a atividade repressiva e fiscalizadora da ANPD tende a aumentar rapidamente com o passar dos meses do corrente ano. Observando os corriqueiros vazamentos de dados de instituições financeiras, farmacêuticas e até públicas, a fiscalização e a competente aplicação de sanções, pecuniárias ou não, serão rapidamente sentidas pela sociedade brasileira como todo.

Existe uma clara tendência de que a judicialização atravesse os procedimentos administrativos com o objetivo de formar, de logo, um compêndio de jurisprudências nos tribunais estaduais, com o objetivo de delimitar (e de alguma forma legitimar) a ampla atividade fiscalizadora e repressiva capitaneada pela ANPD. Neste contexto ainda há uma necessidade de que se caracterize, com uma certa coesão jurisprudencial, o conceito específico (taxativo) para "dados sensíveis".

Só a título exemplificativo, a 2ª turma do STJ entendeu que "em tese" o art. 5º, II, da LGPD traria "um rol taxativo daquilo que seriam dados pessoais sensíveis", porém, seria necessário que o titular dos dados comprovasse eventual dano decorrente da exposição dessas informações. (AResp. 2.130.619/SP). Neste cenário pouco concreto e extremamente subjetivo quanto ao vazamento de dados sensíveis, a preocupação dos atores responsáveis pela guarda destes dados tende a se agravar.

O cargo específico do gerente responsável pela segurança da informação e proteção de dados pode variar dependendo da empresa e da estrutura organizacional. Algumas empresas podem adotar o cargo de Chief Information Security Officer (CISO), que é o principal responsável pela segurança da informação e proteção de dados em toda a organização. No Brasil, o termo mais usado para o cargo é Data Protection Officer (DPO) que é responsável por gerenciar a equipe de segurança da informação e garantir que as políticas e procedimentos de segurança sejam implantados e cumpridos corretamente.

Dada a responsabilização efetiva pelo vazamento de dados e a competente sanção aplicada pela ANPD, invariavelmente, se tornará cada vez mais frequentes estas (novas) nomenclaturas figurando nos processos judiciais que tratem de responsabilização/indenização por vazamentos de dados. Notadamente, a quantidade de dados (que poderão ser considerados sensíveis) tratados por ramos específicos de algumas atividades empresariais privadas (nacionais ou internacionais) é gigantesca. Algumas como as Instituições financeiras, grandes provedoras de infraestrutura em nuvem, instituições médicas/farmacêuticas e Seguradoras, estão dentre as mais expostas a vazamentos de dados, e por isso precisam de soluções que de fato resguardem estes riscos, principalmente em virtude da crescente fiscalização da agência reguladora específica.

Com a implementação efetiva da Resolução mencionada, é extremamente recomendável que as instituições supra citadas considerem a contratação do seguro de responsabilidade profissional (E&O) para os "responsáveis pela proteção de dados das empresas" (DPO, DSI, CISO) e outros executivos envolvidos na gestão de dados e segurança da informação, bem como uma cobertura personalizada de uma boa apólice de seguro cibernético que visa fortalecer a contenção de risco advindo do vazamento de dados sensíveis.

Como já dito, ainda não há jurisprudência consolidada sobre a responsabilidade legal dos executivos em caso de violação de dados pessoais. Portanto, a contratação do seguro E&O pode ajudar a proteger tal pessoa/cargo e a empresa contra possíveis consequências financeiras decorrentes de uma violação de dados ou alegações de negligência.

No contexto acima descrito, as coberturas personalizadas do Cyber seguro podem proteger as empresas contra reclamações de terceiros por danos causados por violações de segurança cibernética, assumir custos associados à notificação obrigatória de clientes, fornecedores e parceiros comerciais sobre uma violação de dados. Também pode incluir serviços de monitoramento de crédito para as vítimas afetadas, reembolsar despesas relacionadas à resposta a incidentes cibernéticos, como investigações forenses, remediação de sistemas comprometidos, restauração de dados, relações públicas e comunicação de crise, compensar as perdas financeiras resultantes de interrupção de negócios causada por uma violação de segurança cibernética e protege contra multas e penalidades impostas por violações de regulamentações de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia ou a Lei Geral de Proteção de Dados (LGPD) no Brasil.

Como é bem sabido, muitas empresas ainda estão em processo retardatário de adaptação à legislação de dados e podem não ter uma compreensão clara dos riscos associados à violação da lei, incluindo os riscos financeiros e legais decorrentes de processos judiciais. Isso pode levar a uma subestimação dos riscos e à falta de investimento em medidas de mitigação, como a contratação do seguro E&O.

Assim, é possível que a demanda por seguros E&O para DPOs e seguros cibernéticos aumente, especialmente entre empresas que processam grandes quantidades de dados pessoais ou que atuam em setores sensíveis, como o financeiro e o de saúde. Ademais, cumpre destacar que muitos "vazamentos" têm ocorrido de forma dolosa, de dentro para fora das empresas, ou até, através de conluio criminoso entre empresas e concorrentes, e até mesmo dados contidos e protegidos por entes públicos.

Contratar um seguro de responsabilidade civil por erros/omissões (E&O, em conjunto com um seguro cibernético personalizado pode ser uma solução viável para empresas que processam grandes quantidades de dados sensíveis. Além de fornecer proteção financeira contra reclamações de terceiros por erros, omissões ou negligência no processamento de dados, o seguro E&O pode ajudar a reduzir o risco agregado da empresa segurada e proteger sua reputação. Concomitante a proteção pessoal, aqui referida, as coberturas contidas na apólice de cyber seguro resguardam, efetivamente, os efeitos financeiros advindos de um sinistro relacionado a vazamento de dados sensíveis.

Acredita-se que esta tendência, pode vir a ser uma exigência de clientes/parceiros comerciais num futuro próximo, tornando-se uma boa prática de gerenciamento de risco para empresas que processam dados em nome de terceiros. Mesmo que não exista regulamentação que exija esse tipo de seguro para o Processamento de Dados Online (PDO), contratar, concomitantemente, os seguros de E&O e cyber seguro pode ser uma medida preventiva eficaz para mitigar os riscos financeiros decorrentes de vazamentos exponenciais de dados e evitar responsabilidades por danos causados a terceiros por negligência no processamento de dados.

______________

Autoridade Nacional de Proteção de Dados (ANPD). Resolução CD/ANPD 4. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077

Brasil. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Brasil. Autoridade Nacional de Proteção de Dados (ANPD). Resolução 1º CD/ANPD. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021

Agência Brasil. Resolução da ANPD estabelece critérios para multas por violação de dados. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria

Conjur. Publicado, enfim, o regulamento para aplicação de sanções por infração à LGPD. Disponível em: Publicado, enfim, o regulamento para aplicação de sanções por infração à LGPD.

CNseg. O segmento de seguros cibernéticos foi o que mais cresceu nos últimos anos nos EUA. Disponível em: https://cnseg.org.br/noticias/segmento-de-seguros-ciberteticos-foi-o-que-mais-cresceu-nos-ultimos-anos-nos-eua.html

Supremo Tribunal de Justiça. Acórdão do Recurso Especial 2.130.619/SP. Disponível em: https://processo.stj.jus.br/processo/julgamento/eletronico/documento/?documento_tipo=91&documento_sequencial=163556608®istro_numero=202201522622&publicacao_data=20230310.

LGPD. A responsabilidade do DPO (Data Protection Officer) e o seguro contraataques cibernéticos. Disponível em: https://lgpdsolution.com.br/a-responsabilidade-do-dpo-data-protection-officer-e-o-seguro-contra-ataques-ciberneticos/

Jusbrasil. Cyber Insurance e Seguro para DPO. Disponível em: https://www.jusbrasil.com.br/doutrina/secao/cyber-insurance-e-seguro-para-dpo-data-protection-officer-encarregado/1207548791