Falta pouco mais de um ano para a entrada em vigor da lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD) e já é possível constatar uma repercussão significativa da implantação dela em diversos setores da economia e no comportamento da sociedade. O segmento de seguros, conhecido por tratar um número colossal de dados pessoais e dados pessoais sensíveis (aqueles tipificados no artigo 5º da referida lei, como por exemplo, dados referentes à saúde), será um dos primeiros a sentir tal impacto. Além das adequações básicas, as seguradoras terão desafios mais específicos.
A transparência, princípio basilar da LGPD, será motivo para que as seguradoras passem a ter relações com titulares que não sejam clientes diretos. Um dos exemplos é o dos motoristas nomeados em apólices e beneficiários de planos de saúde que deverão ter resguardados os mesmos direitos dos titulares dos seguros, uma vez que são igualmente titulares de dados pessoais, sendo-lhes conferido acesso e outros direitos baseados em transparência.
Mas há desafios maiores para as seguradoras, visto que a adequação à LGPD mudará o jeito dessas empresas fazerem negócios. Um deles será como fazer valer o conceito de portabilidade de dados, introduzido pelo artigo 18 da lei, que permite os titulares solicitarem a migração das informações dadas cadastradas de uma empresa para outra. Esse direito ainda deverá ser devidamente regulado pela Agência Nacional de Proteção de Dados (ANPD), mas tudo levar a crer que o Brasil seguirá o padrão europeu que exige que a portabilidade de dados seja disponibilizada em formato inteligível por máquinas. Isso significa que as seguradoras deverão desenvolver os seguintes processos: disponibilizar os dados para portabilidade de maneira inteligível e preparar-se para recebê-los provavelmente em canais ou templates distintos, que vierem dos concorrentes.
O processo de exportação de dados, portanto, deverá ser feito de forma estruturada (como arquivos texto ou xml), criptografada e com a disponibilização de mapeamento identificando a estrutura dos dados e o esquema (schema). Este último requisito, por fim, deve soar como alerta às seguradoras que ainda não possuem esquemas mapeados para que já comecem a fazê-lo, de modo a ter documentado o descritivo de todos os dados que poderão ser transmitidos.
Outro grande desafio inerente ao direito de portabilidade será como atendê-lo em caso de dados não estruturados, uma vez que nem sempre há um schema para exportá-los. Nesse caso, estruturar os dados para se tornarem inteligíveis de acordo com o requisito da LGPD pode requerer grandes esforços e investimentos.
Além do requisito técnico para o cumprimento da portabilidade, devem ser observados também os princípios jurídicos. Sobre o tema, em relação ao GDPR (General Data Protection Regulation), ensina o Grupo de Trabalho do artigo 29 que, além da necessidade de adequação de sistemas para recebimento de dados transferidos, haverá, pela seguradora receptora, o ônus de garantir que os dados pessoais recebidos sejam necessários para o propósito de processamento e não sejam excessivos. Quaisquer dados pessoais recebidos sem que haja conexão com o propósito do novo processamento não devem ser mantidos ou processados.
Além disso, um ponto em comum entre todas as seguradoras, além dos produtos oferecidos, obviamente, é a relação que todas mantêm com inúmeros terceiros, como fornecedores e corretores.
Serão necessários um redesenho e uma reestruturação contratual com terceiros para determinar as funções de cada um enquanto agentes de tratamento, uma vez que, de acordo com o artigo 39 da LGPD, o operador deverá realizar o tratamento segundo as funções fornecidas pelo controlador, e tais funções devem ser delimitadas e específicas, de modo que dados não sejam utilizados por agentes com finalidades distintas da original.
Baseado no termo “Know Your Client (KYC)” (conheça seus clientes), a Europa já faz referência ao “Know Your Data (KYD)” (conheça seus dados). Ou seja, saber como tais terceiros relacionam-se com dados será determinante para o cumprimento da LGPD. Além de ter conhecimento como tais tratamentos são feitos, será importante estruturar processos de admissão de terceiros e avaliações iniciais sobre o nível de maturidade desses para desempenhar o relacionamento.
Faz-se também pertinente considerar a construção de canais de comunicação seguros entre seguradoras e terceiros em situações em que o envio de documentos e a verificação de logs de utilização dos dados possa se dar em tempo real.
Assim, revisar e atualizar contratos e acordos com terceiros, documentar claramente a divisão de responsabilidades, e, por fim, realizar due diligences (diligências) em Agentes de Tratamentos parceiros (ora controladores, ora operadores) para relacionar-se apenas com quem esteja adequado à LGPD – e em canais seguros e restritos – poderão mitigar riscos e evitar disputas no caso de uma violação de dados.
por Leandro Augusto e Erika Ramos, sócios da KPMG