Vivemos tempos de incerteza, notadamente potencializada pelo desenvolvimento de novas tecnologias que alteram a forma como as pessoas, governos e empresas se relacionam. Os padrões, valores e comportamentos foram dissolvidos e substituídos por novos efêmeros.
Um reflexo desse fenômeno é a sucessiva prorrogação da entrada em vigor da Lei Geral de Proteção de Dados (LGPD). No dia 3 de abril de 2020, o Senado já havia postergado para janeiro de 2021 e suspendido a aplicação das sanções até agosto de 2021. O próximo passo no processo legislativo seria a votação na Câmara dos Deputados. Entretanto, nesta quarta (29/4) foi editada a Medida Provisória nº 959 de 29 de abril de 2020 que adiou mais uma vez a entrada em vigor da LGPD, agora, para maio de 2021.
Embora as movimentações normativas tenham como propósito conter custos relacionados à conformidade de empresas e do governo com a LGPD, não são capazes de postergar os efeitos econômicos negativos derivados dos novos riscos que a sociedade está exposta. Isso significa que as empresas continuam a enfrentar o desafio de se adaptar à gestão dos riscos relacionados à quarta revolução industrial, realidade que é agravada pela ausência da LGPD em vigor, em especial, diante da pandemia de Covid-19.
A atual revolução tecnológica transforma fundamentalmente a forma como vivemos, trabalhamos e nos relacionamos. A fusão de tecnologias e sua integração com elementos do mundo físico, digital e biológico criam uma nova experiência sinestésica para seus usuários. Sensores inteligentes acoplados ao corpo humano ou às peças de roupa, assim como o uso massivo de telefones inteligentes nos tornam seres humanos cada vez mais dependentes da tecnologia para viver tanto a vida pessoal quanto a profissional.
Nunca antes na história da humanidade os dados tiveram tanto valor. As marcas que têm seus negócios baseados em dados lideram ano após ano o ranking das mais valiosas do mundo. Por isso, muitos dizem que, assim como o ouro, os dados são uma commodity e, assim como o petróleo, podem vazar, ser mal utilizados e causar danos ao meio ambiente em que estão inseridos. O valor inerente a este objeto deriva da sua própria natureza jurídica. Os dados pessoais refletem e projetam os direitos de personalidade de seus respectivos titulares. Eles têm valor porque podem identificar e prever o comportamento humano de distintas maneiras e para as mais diferentes finalidades, seja comercial, política ou até mesmo de saúde pública, conforme temos visto com as aferições da crise da Covid-19.
Acompanhando essa nova manifestação da personalidade humana e o potencial valor proporcionado àqueles que tratam dados, houve também um aumento exponencial nos ataques cibernéticos nos últimos anos com foco em obtê-los. Sob a perspectiva global, o estudo da MMC "Perspectivas sobre o risco cibernético na era digital" revela que o delito cibernético custou aos países mais de 1 trilhão de dólares em 2018, valor superior aos custos relacionados a desastres naturais (300 milhões de dólares em 2017). Ao olhar para o Brasil, o estudo da IBM "O custo de uma violação" aponta que o País é a quarta maior fonte de informação vazada por incidente no mundo.
Em 2019, o episódio do maior incidente de segurança envolvendo diversas instituições financeiras marcou o mercado nacional. Segundo investigações do Ministério Público, em torno de 1,2 milhão de arquivos teriam sido expostos na internet, totalizando quase 250 gigabytes, que incluíam fotos de RG, CNH, CPF, comprovante de renda e de residência, cartões de crédito, contratos de financiamento, solicitações de saque e extratos bancários, dentre outros.
Mais recentemente, no dia 8 de abril de 2020, a imprensa noticiou que o Ministério da Justiça e Segurança Pública notificou o aplicativo de videoconferências Zoom Communications por suspeita de vazamento de dados para o Facebook. Ao tempo que Eric Yuan, CEO da Zoom, admitia erros da empresa quanto à garantia de privacidade dos usuários, a empresa de inteligência de segurança cibernética Cyble, inferiu que mais de 500 mil contas do Zoom estão sendo comercializadas na dark web. A solução "mágica" encontrada por grande parte da população para fazer suas reuniões de trabalho, diante do necessário distanciamento social, demonstrou-se precária e duvidosa sem uma legislação de proteção de dados em vigor. Abusos e ilegalidades acabam ganhando espaço. A soberania nacional está ameaçada.
Por isso, ainda que a LGPD não esteja em vigor, as empresas devem seguir ou iniciar seus respectivos projetos de Governança Corporativa, Gestão de Riscos e Compliance (GRC) de dados sem, contudo, descartar o que foi feito até o momento em razão da antes iminente entrada em vigor da lei.
Considerando que os dados a serem protegidos por companhias não se limitam aos pessoais e englobam diversos outros referentes à própria empresa como, por exemplo, os segredos comerciais, os seguros cibernéticos se apresentam atualmente como uma forte tendência que, aliadas a outras práticas de GRC de dados, mitigam os riscos inerentes à atividade empresarial contemporânea.
De acordo com a P&S Intelligence Private Limited, o seguro cibernético continua sendo uma das linhas globais securitárias que mais cresce, tendo esse mercado global sido avaliado em 3,4 bilhões de dólares em 2016 com projeções de US$ 16,9 bilhões até 2023. Além disso, o risco de danos à reputação gerados por ataques cibernéticos foi apontado como a principal razão pela qual a maioria dos executivos contrata seguro cibernético para suas operações.
Podem estar contidos na cobertura das apólices de seguro, além da indenização do dano patrimonial causado pelo evento coberto, o fornecimento de serviço de resposta a incidentes cibernéticos, incluindo investigação legal, regulatória, forense, recuperação e restauração de dados, relações públicas, relatórios de crises, notificação às autoridades e central de atendimento, consulta de fraudes, monitoramento e soluções de furto de identidade, monitoramento de crédito, auxiliando a empresa segurada a lidar com a gestão de crises causadas por ataques cibernéticos.
Por fim, temos observado a crescente preocupação das empresas (seguradas ou seguradoras) com a construção de clausulados adequados para "cyber risks" como forma de compor uma estratégia assertiva de proteção contra os novos riscos de nosso tempo.
Gustavo Palheiro, advogado, sócio do escritório Ernesto Tzirulnik Advocacia e membro do Instituto Brasileiro de Direito do Seguro (IBDS).
