Seguro de Riscos Cibernéticos e Lei Geral de Proteção de Dados
- ZMBS Advogados
- 27 de nov. de 2020
- 6 min de leitura
Em um mundo onde o avanço da tecnologia é constante, a proteção contra ataques cibernéticos tornou-se essencial.
O armazenamento de dados em nuvem, o uso das redes sociais e até mesmo os hábitos de mobilidade e conceito de produtividade, com a maioria dos profissionais utilizando celulares, tablets e notebooks em suas rotinas de trabalho, fizeram com que as informações e dados ficassem cada vez mais expostos a incidentes, como vazamentos, furtos e sequestros. Os danos, nesses casos, podem ser imensuráveis.
Visando atender a uma demanda crescente pela busca de uma cobertura de seguro efetiva contra danos sofridos em razão de ataques cibernéticos, a Superintendência de Seguros Privados (SUSEP), em 2018, alterou suas normas para incluir os riscos cibernéticos no grupo de seguros de responsabilidade civil (“RC”) [1].
Por se tratar de uma modalidade relativamente nova, o presente artigo tem como objetivo apresentar as questões gerais envolvidas em apólices desta natureza e sua aplicação no mercado.
1. Seguro de Riscos Cibernéticos e sua Aplicação
O Seguro de Riscos Cibernéticos visa proteger empresas privadas e instituições públicas contra prejuízos ocasionados pela perda e/ou vazamento, sequestro e bloqueio de dados/informações em razão do uso da tecnologia em seus processos. As apólices podem ser customizadas conforme as coberturas necessárias aos segurados, observada a complexidade de suas operações.
Trata-se de uma modalidade de seguro extremamente relevante, uma vez que os ataques cibernéticos estão cada vez mais frequentes no mundo. Entre os principais setores afetados pela perda de dados estão: saúde, entidades governamentais, educação, instituições financeiras, varejo, telecomunicação, tecnologia da informação, indústrias, ONGs e prestadores de serviço.
O número de ataques cibernéticos no Brasil está entre os maiores do mundo, fato que reflete a relevância dessa modalidade de seguro. Nesse sentido, de acordo com a síntese publicada pela SUSEP contendo os principais dados relativos ao desempenho do setor, os seguros de riscos cibernéticos apresentaram, no acumulado de janeiro a setembro de 2020, um total de R$ 26,61 milhões em receitas, representando 72,5% de alta em relação ao mesmo período de 2019, quando os prêmios diretos somaram R$ 15,42 milhões [2].
As apólices de seguro de riscos cibernéticos, em geral, disponibilizam a contratação de coberturas destinadas a tutelar danos diretos sofridos pelo segurado, bem como o seu ressarcimento contra demandas e reclamações de terceiros prejudicados em virtude do sinistro.
Algumas apólices podem, ainda, prever a cobertura para indenização por danos diversos decorrentes do incidente, como danos à imagem e/ou reputação da empresa, além dos danos decorrentes da interrupção da atividade empresarial.
Outras coberturas voltadas ao ressarcimento de valores despendidos pelo segurado em razão do ataque cibernético podem ser agregadas, tais como multas, custos relacionados à investigação forense, valores dos honorários da equipe técnica especializada pela condução da investigação, honorários de profissionais especializados em relações públicas para administrar a imagem da empresa segurada, dentre outras.
2. Importância do Seguro de Riscos Cibernéticos perante a LGPD
Com o advento da Lei Geral de Proteção de Dados – Lei nº 13.709/2018 (LGPD), que regulamenta a proteção de dados pessoais no âmbito nacional e tem como um dos principais desafios a proteção destes dados a partir da segurança cibernética, ficou ainda mais evidente a importância da contratação de seguros de riscos cibernéticos pelas companhias.
A LGPD estabelece diversas diretrizes, como: (i) condições para o tratamento de dados pessoais; (ii) direitos dos titulares dos dados; e (iii) parâmetros de segurança dos dados, sendo que a infração a tais diretrizes poderá resultar na aplicação de sanções administrativas às empresas, as quais podem variar entre advertência, multas de até R$50 milhões, bloqueio dos dados pessoais, suspensão do funcionamento da base de dados, dentre outras.
Em razão das obrigações decorrentes da LGPD e do crescimento do “cibercrime”, muitas empresas brasileiras deram início a programas de segurança cibernética. No entanto, mesmo os programas mais rígidos, compostos pelas tecnologias mais avançadas, são incapazes de proteger completamente o ambiente digital corporativo. Nesse cenário encaixa-se o seguro cibernético, que tem papel de destaque como ferramenta para preencher as lacunas de proteção digital, garantindo uma indenização por eventuais danos sofridos em razão da falha dos referidos programas de proteção.
A depender do segmento de atuação, além da LGPD, as empresas estão sujeitas a outras regulações, a exemplo daquelas emitidas pelo Banco Central do Brasil [3] e Comissão de Valores Mobiliários [4], que, em linha com a LGPD, complementam a segurança esperada no tratamento de dados, podendo dispor sobre obrigações específicas relacionadas às operações reguladas.
3. Riscos cibernéticos e COVID-19
Com a pandemia decorrente da COVID-19 e a adoção em massa do modelo de trabalho remoto (home-office), a necessidade de proteção dos sistemas de segurança da informação contra ataques cibernéticos ganhou ainda mais relevância.
Pesquisas do IBGE apontam que, em 2018, o home office correspondia ao modelo de trabalho de 3,8 milhões ou 5,2% do total de pessoas empregadas no país [5]. Já em setembro de 2020, o número de pessoas trabalhando em regime de home-office aumentou para 7,9 milhões [6], aproximadamente 10,4% do total de trabalhadores.
O aumento do número de pessoas com trabalho remoto elevou consequentemente a exposição das empresas e instituições do setor público, que tiveram que digitalizar suas operações rapidamente, na maioria dos casos sem a diligência necessária.
Nesse contexto tornaram-se ainda mais comuns ataques denominados “phising”, que podem ser traduzidos como comunicações fraudulentas, através de e-mails ou outros meios eletrônicos, contendo informações criadas para convencer o destinatário a tomar ações comprometedoras à segurança do sistema, como clicar em links falsos ou abrir arquivos maliciosos que prejudicam a operação e/ou dão acesso às informações confidenciais das empresas e/ou dos próprios usuários.
Tais circunstâncias elevaram o grau de importância da adoção ou revisão de sistemas de gestão e controle de riscos cibernéticos, sendo fundamental sua implantação, monitoramento e melhoria contínua, o que pode ser acompanhado pela contratação de um seguro que resguarde a empresa e/ou terceiros.
4. Desafios do seguro de riscos cibernéticos
Os cibercrimes estão em constante evolução, sendo este um dos principais desafios a serem enfrentados na contratação das apólices de seguros de riscos cibernéticos. A existência de condições claras e coberturas abrangentes, que cubram uma diversidade de eventos danosos, até mesmo aqueles inéditos e que não se enquadram no conceito das coberturas existentes, são alguns desses desafios.
Em um caso envolvendo a empresa multinacional de alimentos Mondelez contra a seguradora Zurich, em julgamento nos Estados Unidos, as discussões em torno do objeto contratado viraram a pauta principal. A seguradora negou o pagamento da indenização sob a justificativa de que o ataque teve origem na Rússia e que estaria enquadrado como um ato de guerra, de modo que os prejuízos decorrentes deste sinistro estariam excluídos da cobertura contratada [7].
Outro desafio comum na contratação desta modalidade de seguro é determinar o limite e as espécies de cobertura, uma vez que há a necessidade de se avaliar o risco cibernético de maneira quantitativa, o que exige um entendimento claro das operações empresariais.
5. Conclusão
O seguro de riscos cibernéticos se tornou uma modalidade de seguro essencial a todas as empresas. Na medida em que os dados são cada vez mais relevantes para o negócio, os riscos em torno deles aumentam na mesma proporção.
Tal modalidade de seguro tem por objetivo garantir o ressarcimento do segurado em caso de eventuais danos sofridos em decorrência de incidentes cibernéticos, tais como perda, furto ou vazamento de dados, extorsão cibernética, bem como ataques direcionados com o objetivo de retardar ou interromper a o funcionamento de um sistema ou operação. Nesse sentido, frisa-se, o seguro de riscos cibernéticos não impedirá a ocorrência de ataques cibernéticos, mas os efeitos deste evento poderão ser minorados pela seguradora.
Independente da contratação do seguro, é necessário conscientizar os colaboradores sobre os riscos envolvidos no uso das redes corporativas, uma vez que o seu comportamento também contribui para a segurança de suas informações e dados. Igual modo, mostra-se determinante a atuação da área de tecnologia e segurança da informação enquanto responsável pela atualização e zelo do ambiente de rede.
O tema ganhou ainda mais relevância com o processo acelerado de digitalização causado pela COVID-19 e em decorrência da entrada em vigor da LGPD. Em meio a possibilidade de ataques, empresas se veem diante de eventual responsabilização decorrente de um incidente envolvendo dados.
Portanto, o seguro de riscos cibernéticos é visto como uma opção para os representantes de empresas e instituições públicas para endereçar o impacto de eventual lacuna de proteção digital, no contexto dos danos gerados pelos ataques cibernéticos à luz da legislação vigente, em especial relacionada à LGPD.
Liv Arrobas
Especialista em Direito Empresarial
Advogada das áreas de Contratos e Compliance de ZMBS Advogados
Ana Carolina Ueda Silva Gabriel
Especialista em Direito dos Contratos
Advogada das áreas de Contratos e Societário de ZMBS Advogados
Comentários