A Era Digital é também a Era da Responsabilidade. Considerando que vivemos um momento de intensa informatização de serviços, em que grande parte de nossas atividades rotineiras exige o cadastro de dados em plataformas digitais, faz-se cada vez mais necessária a proteção dos dados pessoais e a manutenção da sua segurança e privacidade.
O GDPR (General Data Protection Regulation) veio, dentre outras coisas, para tentar buscar um standard mínimo na proteção da privacidade e o debate sobre as suas normas está cada vez mais caloroso. Isso porque as empresas que não atualizarem seus sistemas de cadastro de dados com as exigências do novo regulamento poderão ser condenadas a pagar multas administrativas calculadas em até 20 milhões de euros, ou, 4% de seu faturamento anual global do exercício anterior, o que for maior.
Importante destacar que a observância dessas normas não se limita apenas às empresas com sede na União Europeia, pois o GDPR exige conformidade por qualquer país que administre dados de cidadãos europeus. Mas quais são os tipos de armazenamento que sofrerão regulação?
De acordo com o GDPR, os sites que armazenarem informações como nome e sobrenome, número de cartão de identificação, endereço residencial e de e-mail, dados de localização, identificador on-line e informação médica deverão estar atentos para as novas exigências.
O Brasil não ficou para trás nessa corrida mundial pela proteção dos dados. No dia 10 deste mês, o Senado Federal aprovou o Projeto de Lei número 53, que, em atenção ao GDPR e ao recente escândalo do uso de dados do Facebook nas eleições norte-americanas, visa criar um marco legal de proteção, tratamento e uso de dados pessoais no Brasil. O PLC 53/2018, que é encaminhado agora para a sanção do presidente Michel Temer, propõe ainda a criação de uma Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Ministério da Justiça, que poderá aplicar uma série de sanções às empresas que desobedecerem as normas fixadas, que vão desde a suspensão do seu banco de dados até multas no limite de R$ 50 milhões.
Antes mesmo deste recente debate sobre GDPR e como maneira de auxiliar e proteger empresas de ataques cibernéticos que provoquem o vazamento de informações de usuários registrados em seus sistemas virtuais, já existe o cyber insurance, um seguro de proteção de dados que pode cobrir riscos como invasão de hackers, divulgação de informações pessoais e falhas em sistemas de segurança em geral.
Surge, portanto, uma dúvida geral sobre GDPR relacionado ao seguro cyber. As empresas querem saber se suas apólices de seguro cibernético irão cobrir as possíveis violações que resultem nas multas cujo montante pode atingir valores astronômicos, entretanto, a resposta ainda não é tão clara.
Embora grande parte das apólices de cyber insurance cubra multas associadas a violações de leis de privacidade, existe o risco de que a entidade reguladora responsável impossibilite a cobertura securitária sob o argumento de que seria um desvirtuamento do caráter punitivo/pedagógico da multa, o que poderia, em tese, ser demonstrado no artigo 84 da nova lei, que estabelece que as multas devem ser “eficazes, proporcionais e dissuasivas”.
O caso Safeway v Twigger criou precedente que pode enquadrar as violações de normas do GDPR na categoria de penalidades estatutárias e sanções criminais que não podem ser cobertas por seguradoras. No referido caso, o Tribunal, identificando uma violação regulatória, aplicou a doutrina jurídica Ex Turpi Causa Non Oritur Actio, por meio da qual fica vedado aos requerentes buscar reparação civil por danos que decorreram de seu próprio ato ilícito.
Neste caso, a rede de supermercados Safeway foi penalizada com uma multa de mais de 10 milhões de libras por violar normas de concorrência. Sob o argumento de que os descumprimentos foram causados pelos seus diretores, a Safeway buscou o ressarcimento pelas seguradoras que cobriam riscos de seguro “D&O” (directors and officers). Contudo, o Tribunal recusou o argumento, decidindo que as considerações de política pública que suportavam multas por violações da lei de concorrência “seriam prejudicadas se as empresas pudessem transmitir a responsabilidade aos seus empregados, ou às suas seguradoras de ‘D&O“.
Contudo, parece-nos que para possibilitar a aplicação deste entendimento, é necessário que haja responsabilidade de fato pela empresa; ou seja, que ela tenha dado causa ao descumprimento, e que o ato seja criminoso ou moralmente repreensível.
Por outro lado, nas palavras de um porta-voz do Regulador de Dados Britânico, “não há nada no GDPR que permita ou proíba a cobertura de seguro contra multas que possam ser emitidas pelo ICO (Information Commissioner’s Office) por violações do GDPR”, o que nos leva a concluir que o debate acerca do tema está apenas começando.
Para além das multas administrativas, o GDPR prevê ainda a possibilidade de ajuizamento de ações autônomas pelas vítimas afetadas por violações ao Regulamento, o que pode vir a aumentar a exposição das empresas.
Apesar de toda essa incerteza a respeito da cobertura ou não das multas por parte das seguradoras, fato é que o seguro cibernético pode ser vital para uma empresa. O cyber insurance pode contribuir para a avaliação especializada de possíveis violações de dados, ajudando no preparo, planejamento e administração de possíveis crises para que, além de tudo, as empresas não sofram com prejuízos em sua reputação.
Concluímos, portanto, que diante do aumento de ataques cibernéticos e da entrada em vigor do GDPR, o mercado de cyber insurance promete se expandir cada vez mais, cabendo a nós observar a repercussão referente à sua admissibilidade ou não com relação à cobertura das multas administrativas, o que dependerá da autorização dos Reguladores, bem como do entendimento dos Tribunais. Especificamente em relação ao Brasil, resta-nos esperar para ver o rumo desse novo tipo de regulação e suas consequências no mercado de seguros cibernéticos.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
