Com o advento da Lei nº. 13.709, de 14 de agosto de 2018, a chamada Lei Geral de Proteção de Dados Pessoais, as companhias que possuem algum procedimento de tratamento de dados estarão sujeitas a inúmeras obrigações, devendo a estrutura de proteção de dados pessoais serem implementadas até agosto de 2020, data em que a referida lei entrará em vigor.
Este assunto é de suma importância, tendo em vista que o Brasil foi classificado na segunda posição no ranking dos países onde se têm o maior número de casos de roubo de senhas e rompimento de sistemas .
Além disso, toda empresa, seja esta de pequena, média ou grande porte, lida, em seu dia-a-dia, com dados obtidos por meio de cadastros e formulários, obtenção de cópia de documentos, dados de cartões, lista de clientes e fornecedores, dados de clientes e colaboradores, dentre outros, sendo responsável por esses dados de terceiros.
Diante desse novo cenário legal e regulatório, e do fato de haver um aumento no número de incidentes de segurança e da exposição das empresas a tais ameaças, a fim de proteger as companhias de eventuais responsabilizações oriundas do vazamento ou roubo dos dados e das tecnologias utilizadas no desenvolvimento de suas atividades, é de extrema importância a contratação dos chamados cyber seguros, ou seguros de riscos cibernéticos.
O cyber seguro deve fazer parte do plano de adequação das companhias para a proteção de dados e para garantir custos e responsabilizações pelo tratamento inadequado de dados de terceiros. De acordo com pesquisas recentes , os prejuízos no mundo com ataques cibernéticos já geraram US$ 1 trilhão de perdas para as empresas, acima dos US$ 300 bilhões de perdas com desastres naturais em 2017.
O seguro de riscos cibernéticos é um seguro que, em geral, contempla a cobertura a terceiros e ao segurado, conforme o caso, indenizando eventuais prejuízos que podem incorrer devido a incidentes cibernéticos. Pode-se comumente verificar que as principais coberturas deste tipo de seguro são:
(i) Responsabilidade civil nos casos de violação, ou seja, havendo a responsabilização do segurado por violação de dados advindos de ataques cibernéticos, a seguradora pode cobrir os custos e danos resultantes desse ataque.
(ii) Despesas para a recuperação ou a substituição de ativo digital, ou seja, se houver o corrompimento ou a destruição de dados, a seguradora pode cobrir os custos para a recuperação desses ativos digitais.
(iii) Segurança de rede, ou seja, a responsabilidade de um evento em que um malware é transmitido a partir dos sistemas do segurado.
(iv) Violação de privacidade, ou seja, pode haver cobertura para os custos de investigação, monitoramento e de relações públicas.
(v) Lucros cessantes, ou seja, no caso de um ataque cibernético que impeça o desempenho das atividades da companhia, a seguradora poderá cobrir os lucros cessantes oriundos dessa interrupção.
(vi) Lucros cessantes de terceiros, ou seja, da mesma forma, em havendo um ataque cibernético que prejudique terceiros dos quais o segurado era responsável pelos dados, o seguro pode cobrir os lucros cessantes do terceiro.
(vii) Extorsões cibernéticas, ou seja, o seguro poderá cobrir as despesas para a apuração de eventuais ameaças.
(viii) Multas e sanções administrativas, ou seja, havendo qualquer tipo de sanção, seja pecuniária ou administrativa, o seguro poderá cobrir o pagamento e seus custos de defesa.
É importante notar que, como em qualquer seguro, há alguns riscos que são excluídos, ou seja, casos em que não haverá cobertura pela seguradora, como, por exemplo, atos dolosos, criminosos ou fraudulentos, falha ou rompimento de energia, circunstâncias conhecidas pelo segurado antes da vigência da apólice, perda de mídias portáteis não criptografados, violações de legislação, dentre outros, conforme condições de cada seguro.
Ainda, cada seguro terá em suas condições obrigações do segurado ao longo da vigência da apólice, tais como notificações necessárias, informações em caso de alteração na situação da companhia desde a contratação do seguro, etc.
Nota-se que é de suma importância que as companhias se atentem às suas necessidades e adequações necessárias, uma vez que um ataque cibernético pode resultar em impactos financeiros, legal e operacional, e até mesmo comprometer a reputação desta, sendo que é importante que todos os procedimentos previstos nas condições do seguro contratado sejam observados para possibilitar as coberturas.
Assim, a contratação de um seguro com cobertura para riscos cibernéticos deve ser algo a ser incluído no processo de adequação das empresas e de gestão de riscos de cada companhia. A empresa deverá realizar uma avaliação do grau de exposição para ataques cibernéticos e contratar o seguro contendo as melhores coberturas de acordo com as suas operações. Uma assessoria jurídica e a intermediação de um corretor de seguros é sempre aconselhável para que a empresa possa ter segurança de que o seguro contratado é o que melhor lhe vai atender em caso de uma violação cibernética.
*Artigo publicado no LexLatin Brasil.
Jaqueline Suryan, jsuryan@azevedosette.com.br, é sócia coordenadora da área de Seguros, Previdência e Saúde do escritório Azevedo Sette Advogados em São Paulo. A sócia é Mestre em Direito do Estado/Constitucional pela PUC/SP (2014). Tem MBA em Gestão de Negócios de Seguros e Previdência pela FIA (2018). É membro da Associação Internacional do Direito do Seguros (AINDA) e do Instituto Brasileiro de Direito Constitucional (IBDC). Antes de ingressar como sócia no Azevedo Sette, Jaqueline atuou como advogada da área de Seguros, Resseguros e Previdência Complementar (2008-2018) em reconhecidos escritórios de direito empresarial.
Leonardo Sakaki, lsakaki@azevedosette.com.br, é advogado da área de Seguros, Previdência e Saúde do escritório Azevedo Sette Advogados em São Paulo. Tem Especialização em Compliance, Insper (2017), Especialização em Accounting and Finance, Saint Paul Escola de Negócios (2013), Pós graduação em Business Law, FGV/SP (2013) e Especialização em Business Negotiation e Business Writing, Pacific Gateway International College (2008).