Migalhas de Peso

Breves considerações sobre a compatibilidade do Sistema de Seguros Aberto (Open Insurance) e a LGPD

A coleta e compartilhamento de dados sobre apólices e outros dados relacionados a seguros podem revelar dados sensíveis (relacionados à saúde, religião, etc.) e, portanto, a regulamentação precisa garantir, num ambiente seguro e ético.

5/5/2021

(Imagem: Arte Migalhas)

Recentemente, a Superintendência de Seguros Privados - SUSEP colocou em consulta pública as minutas de dois atos implementando a estrutura inicial do Sistema de Seguros Aberto – Open Insurance1.

Segundo a Autoridade Europeia de Seguros (EIOPA)2, uma consideração importante para possíveis soluções de open insurance é encontrar “um equilíbrio entre os objetivos regulatórios relacionados à proteção de dados, seguro e concorrência, apoiando a inovação, eficiência, proteção do consumidor e estabilidade financeira3.

Ainda consoante a EIOPA, a coleta e compartilhamento de dados sobre apólices e outros dados relacionados a seguros podem revelar dados sensíveis (relacionados à saúde, religião, etc.) e, portanto, a regulamentação precisa garantir, num ambiente seguro e ético, que terceiros só acessem dados necessários para finalidades explícitas e com consentimento informado por parte do consumidor.

A princípio, vemos a mesma preocupação da SUSEP, nas Consultas Públicas 12 e 13/21.

Como se sabe, desde 2018 o Brasil conta com uma lei específica para regular o tratamento de dados pessoais, a LGPD.

Um primeiro alerta que deve ser feito é que a LGPD não veio para travar a inovação, ou burocratizar as atividades de tratamento de dados pessoais. Aliás, dentre os fundamentos da lei (artigo 2º), ao lado do respeito à privacidade, autodeterminação informativa e defesa do consumidor, encontramos também o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência.

Ainda segundo a LGPD, o tratamento de dados pessoais só pode ser realizado quando houver uma base legal definida previamente, as quais podem ser encontradas nos artigos 7º e 11, a depender do tipo de dado pessoal tratado.

Ao ler a Exposição de Motivos da abertura das Consultas Públicas, pela SUSEP, é possível vislumbrar a preocupação do órgão em demonstrar a compatibilidade entre o Open Insurance e a proteção de dados pessoais:

(...) o sistema aberto financeiro (Open Banking) representa, em poucas palavras, um marco fundamental no desenvolvimento econômico e social do Brasil. Esse sistema é definido pelo compartilhamento padronizado de dados e serviços por meio da integração de plataformas e infraestrutura de tecnologia. Exatamente por esse motivo, as iniciativas de Open Banking e Open Insurance são consideradas a regulamentação e a operacionalização da LGPD nestes dois importantes segmentos econômicos, por proporcionar um ambiente seguro, ágil, preciso e conveniente para o titular do dado pessoal consentir o compartilhamento de dados e o revogar ou solicitar o expurgo dos dados, dispositivos expressos da LGPD.

(...)

Conforme disposição da LGPD e em decorrência dela, os consumidores devem ser capazes de ver onde seus dados estão, entender com quem eles foram compartilhados e manter o poder de revogar facilmente seu consentimento e expurgar seus dados a qualquer momento, facilidades que estarão presentes no ecossistema Open.

Neste ponto, o Open Insurance se mostra igualmente necessário para o mercado de seguros, previdência e capitalização e estabelecerá um ambiente seguro e ágil para que consumidores deste mercado possam exercer seus direitos previstos em Lei (LGPD).

Esse ecossistema tem potencial para melhorar a forma como clientes, em especial pessoas naturais e pequenas e médias empresas (PMEs), gerem as suas finanças, para melhorar a forma como as empresas provedoras de produtos e serviços financeiros/securitários/previdenciários interagem entre si e com os seus consumidores e para transformar a concorrência nos mercados de serviços financeiros, de seguros, previdência e capitalização. Em se tratando do que a tecnologia Open pode oferecer para estes serviços no Brasil, há certeza de que a criação do Open Finance é apenas a “ponta do iceberg”.

(...)

No mercado de seguros, dados relacionados a apólices de pessoas naturais e corporativos não são fáceis de serem compartilhados atualmente. Consumidores individuais geralmente não podem usar um portal de seu segurador para baixar os dados de apólice incluindo transacionais, em uma forma já estruturada e, consequentemente, não podem compartilhar, de forma segura, ágil e conveniente, seus dados com qualquer terceiro que possa prover serviços a eles. Esta situação é bastante comum, inviabiliza a aplicação da LGPD, e está sendo completamente alterada, em um movimento de amplo interesse para os consumidores e, por conseguinte, para o setor.

(...)

Um acesso mais fácil para o consumidor aliado a uma capacidade de compartilhamento e integração segura de dados possibilitam produtos mais customizados e mais adequados ou uma funcionalidade mais amigável que definitivamente será de grande valor para a indústria de seguros como um todo. É muito provável que, com dados compartilhados e APIs abertas, o mercado se torne bem mais amplo.

Aliás, a proposta de Resolução declara no artigo 3º, dentre os objetivos do open insurance, “ter o cliente como seu principal beneficiado” e “tornar o compartilhamento de dados, previsto na Lei Geral de Proteção de Dados, seguro, ágil, preciso e conveniente para os clientes”.

Assim como o open banking, o open insurance tem como ponto de partida, na linha do propagado pela LGPD, a noção de que os dados pessoais pertencem aos consumidores e não às empresas do setor, exigindo o “consentimento do cliente para fins do compartilhamento de dados pessoais de seguros e de serviços relacionados a seguros” como requisito para a legalidade do tratamento, dedicando uma Seção inteira ao tema4.

É importante destacar que na redação proposta, a minuta de Resolução limita a definição de dados pessoais para o escopo do open insurance, prevendo que devem ser consideradas as “informações sobre cadastro de clientes e de seus representantes, movimentações relacionadas com planos de seguros, de previdência complementar aberta, assistência financeira e capitalização, incluindo registros feitos por dispositivos eletrônicos embarcados, conectados ou usados pelo cliente”.

Dentre os dados pessoais passíveis de compartilhamento, a proposta de Resolução exclui dados classificados pela lei como sensíveis, notas ou pontuações de crédito, claramente num intuito de evitar discriminação ou uso de dados pessoais em desfavor dos titulares.

Portanto, não é qualquer dado pessoal que poderá ser compartilhado no sistema.

Os participantes do sistema deverão seguir requisitos definidos pela SUSEP, inclusive sobre segurança cibernética, governança e relacionamento com o cliente. De mais a mais, a proposta de Resolução exige das sociedades participantes ética e responsabilidade na atuação, inclusive para fortalecer a confiança no sistema de seguros privados, atendendo a princípios como (artigo 4º):

Para a solicitação de compartilhamento, há uma sequência lógica pré-estabelecida na Resolução proposta (consentimento, autenticação e confirmação)5, etapas estas que devem “ser efetuadas com segurança, agilidade, precisão e conveniência, por meio da interface dedicada de compartilhamento” (art. 9º, parágrafo único, I, da minuta de Resolução), sendo obrigatório que as sociedades participantes prestem informações claras, objetivas e adequadas.

Verifica-se, no curso de todo o texto da proposta de Resolução, preocupação não só com a declaração da base legal passível de utilização no compartilhamento (consentimento), mas também com garantias de meios técnicos e administrativos para conferir segurança aos dados, quando, por exemplo, exige das sociedades participantes que prevejam sobre o processo de tratamento de incidentes envolvendo dados pessoais, ou ao criar a figura do Diretor Responsável pelo Compartilhamento (artigo 30 e seguintes), tal qual estabelecido para o open banking.

Já a minuta de Circular tenta, nos seus limites, traçar diretrizes adequadas para a estrutura inicial de governança do open insurance, dispor sobre requisitos técnicos, procedimentos operacionais e escopo mínimo de dados e serviços para implementação do sistema.

Por tudo até aqui exposto e sob a ótica do privacy by design6 e seus sete pilares7, nos parece possível afirmar que a concepção adotada pela SUSEP para o sistema de open insurance, ao menos pelo que se observa na Exposição de Motivos e nas minutas dos atos sob consulta, atende satisfatoriamente à legislação de proteção de dados pessoais, colocando o titular dos dados no centro das preocupações.

_________

1 Consultas Públicas 12 e 13/21

4 Seção II da minuta de Resolução, artigos 11 a 16

5 Vide artigo 9º da minuta de Resolução

6 Incorporar o respeito à privacidade desde a concepção de um novo produto ou serviço (LGPD, art. 46, §2º)

7 Clique aqui 

Carlos Harten
Sócio diretor do escritório Queiroz Cavalcanti Advocacia. Conselheiro Federal da OAB.

Umberto Lucas de Oliveira Filho
Sócio e encarregado pelo Tratamento de Dados Pessoais do escritório Queiroz Cavalcanti Advocacia. Data Protection Officer (DPO) certificado pelo EXIN. Especialista em Direito Digital pelo CERS e em Processo Civil pela Universidade Federal de Pernambuco.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Afinal, quando serão pagos os precatórios Federais em 2025?

19/12/2024

Discriminação nos planos de saúde: A recusa abusiva de adesão de pessoas com TEA

19/12/2024

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024