Seguro de responsabilidade civil do DPO. Oportunidade para o mercado securitário

Com a celebrada Lei Geral de Proteção de Dados Pessoais - LGPD, adotou-se no Brasil a figura do DPO ou encarregado de proteção de dados pessoais. As atribuições dessa função  incluem (i-) aceitar reclamações e comunicações dos titulares; (ii-) prestar esclarecimentos e adotar providências; (iii-) receber comunicações da ANPD (autoridade nacional); (iv-) orientar os funcionários e os contratados da entidade; (v-) executar as demais atribuições determinadas pelo controlador.

Neste artigo propõe-se a possibilidade de oferta de seguro na modalidade E&O, ou seja, erros e omissões para a atividade de DPO. Trata-se de uma modalidade de seguro facultativo de responsabilidade civil com grande relevância no cenário atual, sobretudo em vista dos impactos financeiros de incidentes de dados pessoais. Para se ter uma dimensão, em recente relatório da IBM, Cost of Data Breach - 2023, registrou-se que o custo médio de uma violação de dados atingiu um máximo histórico em 2023 de 4,45 milhões de dólares.

A LGPD apresentou relevantes impactos no mercado securitário, que incluem (i-) redesenho dos produtos de cyberisk; (ii-) adoção de produtos sofisticados que combinam, além da cobertura do pagamento de uma indenização em dinheiro, o suporte tecnológico para lidar com incidentes de proteção de dados pessoais. O que se coloca em discussão nesta oportunidade, todavia, não são os seguros de riscos cibernéticos, já disponíveis no mercado brasileiro. Este artigo levanta a questão do seguro de E&O nas atividades do DPO.

O tema é complexo e exige atenção. Em primeiro, é preciso reconhecer que persiste considerável divergência sobre a sistemática de reparação por danos envolvendo a LGPD¹; menos clara ainda é a atribuição de responsabilidade civil por atos do DPO. Nesse sentido, é possível argumentar que como profissional liberal, estaria sujeito à atribuição do dever de reparar segundo os requisitos da responsabilidade civil subjetiva, ou que pelo risco de sua atividade sua responsabilidade civil observa a modalidade objetiva. Aliás, própria aplicação da culpa presumida à LGPD é matéria ainda não pacificada.

Em segundo, há diferentes formas de prestação da atividade. Para exemplificar, o DPO pode ser um empregado, no entanto, a atividade também pode ser prestada de forma externa com o DPO as a service. Igualmente é possível, e mesmo recomendável, que haja um Comitê de Proteção de Dados (muitas vezes chamado de "Comissão de LGPD"), bem como se identifica na prática a designação de suplentes, "vice-DPO" ou outras formas de atuação conjunta.

Em terceiro, é preciso levar em conta as nuances em relação à autonomia do DPO na realidade nacional. De acordo com os Guidelines on Data Protection Officers², em tradução livre:

Os DPO não são pessoalmente responsáveis ??pela não conformidade com a LGPD. O Regulamento Geral de Proteção de Dados deixa claro que é do controlador ou operador a responsabilidade de assegurar e ser apto a demonstrar que o tratamento de dados é realizado em conformidade com as previsões do art. 24. O compliance de proteção de dados é responsabilidade do controlador ou operador.

Em quarto, é preciso recordar que o Brasil ocupa uma infeliz posição de destaque no ranking mundial de ataques cibernéticos. No 1º semestre de 2023, estes ataques atingiram R$ 23 bilhões de reais³. Ademais, frisa-se que no direito brasileiro não há uma norma que aponte, de forma específica, a exclusão de responsabilidade(s) do DPO. Por analogia, são aplicáveis as exclusões gerais da LGPD (art. 43), como a comprovação de que "não realizaram o tratamento de dados pessoais que lhes é atribuído" ou que "embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados"

À medida que a proteção de dados pessoais assume lugar central, os DPOs assumem uma série de riscos legais, os quais incluem:

• Multas e penalidades por não cumprimento de normas regulatórias;
• Ações judiciais de reparação por danos envolvendo as organizações;
• Responsabilidade pessoal do DPO;
• Abalo reputacional em caso de incidentes de proteção de dados pessoais.

Diante deste cenário a oferta de seguros para a atividade do DPO mostra-se relevante oportunidade. Os riscos cobertos por seguros cibernéticos, D&O, ou mesmo de responsabilidade civil na categoria diversos podem não ser instrumentos adequados/específicos para lidar com esta modalidade de risco. Como o cargo pode ser exercido por um executivo interno, ou mesmo subcontratado e envolver diversas competências a oferta deste seguro é desafiadora.

Verifica-se que a Circular SUSEP n. 637/21, estabelece que "riscos decorrentes da responsabilização civil vinculada a incidentes cibernéticos (danos aos equipamentos e sistemas de tecnologia da informação, às suas informações ou à sua segurança) são enquadrados no ramo de seguro de Responsabilidade Civil Compreensivo Riscos Cibernéticos (RC Riscos Cibernéticos)"⁴.

Sob uma perspectiva estratégica, deve-se considerar que a sobreposição de riscos distintos que se tangenciam representa uma vantagem, na medida em que permite coberturas mais abrangentes. Nesse sentido, pode-se considerar a adoção do seguro compreensivo, ou seja, em que se conjuga vários ramos ou modalidades numa mesma apólice. Vale lembrar que a Circular Susep nº 535/16, que trata dos seguros compreensivos foi atualizada pela Circular Susep nº 579/18, que acrescentou nas suas hipóteses justamente os "Riscos Cibernéticos".      

Em um mercado propenso a assumir riscos, é crucial a atenção às novas oportunidades de produtos e coberturas, especialmente considerando a consolidação da LGPD como referência fundamental na proteção de dados pessoais no cenário brasileiro.