MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Seguro de responsabilidade civil do DPO. Oportunidade para o mercado securitário

Seguro de responsabilidade civil do DPO. Oportunidade para o mercado securitário

Em um mercado propenso a assumir riscos, é crucial a atenção às novas oportunidades de produtos e coberturas, especialmente considerando a consolidação da LGPD como referência fundamental na proteção de dados pessoais no cenário brasileiro.

sexta-feira, 20 de outubro de 2023

Atualizado às 08:34

Com a celebrada Lei Geral de Proteção de Dados Pessoais - LGPD, adotou-se no Brasil a figura do DPO ou encarregado de proteção de dados pessoais. As atribuições dessa função  incluem (i-) aceitar reclamações e comunicações dos titulares; (ii-) prestar esclarecimentos e adotar providências; (iii-) receber comunicações da ANPD (autoridade nacional); (iv-) orientar os funcionários e os contratados da entidade; (v-) executar as demais atribuições determinadas pelo controlador.

Neste artigo propõe-se a possibilidade de oferta de seguro na modalidade E&O, ou seja, erros e omissões para a atividade de DPO. Trata-se de uma modalidade de seguro facultativo de responsabilidade civil com grande relevância no cenário atual, sobretudo em vista dos impactos financeiros de incidentes de dados pessoais. Para se ter uma dimensão, em recente relatório da IBM, Cost of Data Breach - 2023, registrou-se que o custo médio de uma violação de dados atingiu um máximo histórico em 2023 de 4,45 milhões de dólares.

A LGPD apresentou relevantes impactos no mercado securitário, que incluem (i-) redesenho dos produtos de cyberisk; (ii-) adoção de produtos sofisticados que combinam, além da cobertura do pagamento de uma indenização em dinheiro, o suporte tecnológico para lidar com incidentes de proteção de dados pessoais. O que se coloca em discussão nesta oportunidade, todavia, não são os seguros de riscos cibernéticos, já disponíveis no mercado brasileiro. Este artigo levanta a questão do seguro de E&O nas atividades do DPO.

O tema é complexo e exige atenção. Em primeiro, é preciso reconhecer que persiste considerável divergência sobre a sistemática de reparação por danos envolvendo a LGPD1; menos clara ainda é a atribuição de responsabilidade civil por atos do DPO. Nesse sentido, é possível argumentar que como profissional liberal, estaria sujeito à atribuição do dever de reparar segundo os requisitos da responsabilidade civil subjetiva, ou que pelo risco de sua atividade sua responsabilidade civil observa a modalidade objetiva. Aliás, própria aplicação da culpa presumida à LGPD é matéria ainda não pacificada.

Em segundo, há diferentes formas de prestação da atividade. Para exemplificar, o DPO pode ser um empregado, no entanto, a atividade também pode ser prestada de forma externa com o DPO as a service. Igualmente é possível, e mesmo recomendável, que haja um Comitê de Proteção de Dados (muitas vezes chamado de "Comissão de LGPD"), bem como se identifica na prática a designação de suplentes, "vice-DPO" ou outras formas de atuação conjunta.

Em terceiro, é preciso levar em conta as nuances em relação à autonomia do DPO na realidade nacional. De acordo com os Guidelines on Data Protection Officers2, em tradução livre:

Os DPO não são pessoalmente responsáveis ??pela não conformidade com a LGPD. O Regulamento Geral de Proteção de Dados deixa claro que é do controlador ou operador a responsabilidade de assegurar e ser apto a demonstrar que o tratamento de dados é realizado em conformidade com as previsões do art. 24. O compliance de proteção de dados é responsabilidade do controlador ou operador.

Em quarto, é preciso recordar que o Brasil ocupa uma infeliz posição de destaque no ranking mundial de ataques cibernéticos. No 1º semestre de 2023, estes ataques atingiram R$ 23 bilhões de reais3. Ademais, frisa-se que no direito brasileiro não há uma norma que aponte, de forma específica, a exclusão de responsabilidade(s) do DPO. Por analogia, são aplicáveis as exclusões gerais da LGPD (art. 43), como a comprovação de que "não realizaram o tratamento de dados pessoais que lhes é atribuído" ou que "embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados"

À medida que a proteção de dados pessoais assume lugar central, os DPOs assumem uma série de riscos legais, os quais incluem:

  • Multas e penalidades por não cumprimento de normas regulatórias;
  • Ações judiciais de reparação por danos envolvendo as organizações;
  • Responsabilidade pessoal do DPO;
  • Abalo reputacional em caso de incidentes de proteção de dados pessoais.

Diante deste cenário a oferta de seguros para a atividade do DPO mostra-se relevante oportunidade. Os riscos cobertos por seguros cibernéticos, D&O, ou mesmo de responsabilidade civil na categoria diversos podem não ser instrumentos adequados/específicos para lidar com esta modalidade de risco. Como o cargo pode ser exercido por um executivo interno, ou mesmo subcontratado e envolver diversas competências a oferta deste seguro é desafiadora.

Verifica-se que a Circular SUSEP n. 637/21, estabelece que "riscos decorrentes da responsabilização civil vinculada a incidentes cibernéticos (danos aos equipamentos e sistemas de tecnologia da informação, às suas informações ou à sua segurança) são enquadrados no ramo de seguro de Responsabilidade Civil Compreensivo Riscos Cibernéticos (RC Riscos Cibernéticos)"4.

Sob uma perspectiva estratégica, deve-se considerar que a sobreposição de riscos distintos que se tangenciam representa uma vantagem, na medida em que permite coberturas mais abrangentes. Nesse sentido, pode-se considerar a adoção do seguro compreensivo, ou seja, em que se conjuga vários ramos ou modalidades numa mesma apólice. Vale lembrar que a Circular Susep nº 535/16, que trata dos seguros compreensivos foi atualizada pela Circular Susep nº 579/18, que acrescentou nas suas hipóteses justamente os "Riscos Cibernéticos".      

Em um mercado propenso a assumir riscos, é crucial a atenção às novas oportunidades de produtos e coberturas, especialmente considerando a consolidação da LGPD como referência fundamental na proteção de dados pessoais no cenário brasileiro.

--------------------

1 Entre outros confira-se: SCHREIBER, Anderson. Responsabilidade civil na lei geral de proteção de dados pessoais. In: DONEDA, Danilo et al. (coord.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021. p. 319-338. FRAZÃO, Ana; CUEVA, Ricardo Villas Bôas (coord.). Compliance e políticas de proteção de dados. São Paulo: Revista dos Tribunais, 2021. p.741-770. ROSENVALD, Nelson. A polissemia da responsabilidade civil na LGPD. Migalhas. 06 nov. 2020.

2 No original: "DPOs are not personally responsible in case of non-compliance with the GDPR. The GDPR makes it clear that it is the controller or the processor who is required to ensure and to be able to demonstrate that the processing is performed in accordance with its provisions (Article 24(1)). Data protection compliance is a responsibility of the controller or the processor". European Commission, DG Justice. Guidelines on Data Protection Officers ('DPOs'). ARTICLE 29 DATA PROTECTION WORKING PARTY. 2016.

3 FortiGuard Labs. 1H 2023 Global Threat Landscape Report. 2023.

4 SUSEP. Circular SUSEP n. 637, DE 27 DE JULHO DE 2021.

Gabriel Schulman

Gabriel Schulman

Advogado sócio do escritório Trajano Neto e Paciornik Advogados.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca