Data Protection Officer (Encarregado) - Ed. 2020

Cyber Insurance e Seguro para Dpo

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Claudio Macedo Pinto 1

2 Neste capítulo serão abordados os seguros que envolvem os Riscos Cibernéticos das empresas, e os seguros que cobrem os Riscos envolvidos para a função de DPO. Assim como não há empresa 100% imune a ataque cibernético, não há apólice ou somatória de apólices que cubram todos os riscos envolvidos (ex.: queda no valor das ações ou do valor da marca decorrentes de um ataque cibernético não estão amparados em nenhuma apólice de seguro). Por esse motivo, vários tipos de seguro devem estar na pauta de um DPO. No caso de empresas: Seguro de Responsabilidade Cibernética e de Proteção de Dados (conhecido como Seguro Cibernético), Seguro de Fraude etc. e para o DPO: Seguro de Responsabilidade Profissional (E&O – Erros e Omissões), Seguro de Responsabilidade para Administradores (D&O – Directors & Office), Seguro de Sequestro, de Gestão de Imagem Pessoal etc. Enfim, os seguros serão abordados neste capítulo de maneira prática e objetiva.

Os efeitos catastróficos causados por um ataque cibernético nas apólices de seguros

Dependendo da indústria, um ataque cibernético pode trazer danos catastróficos para todo o entorno da empresa. Exemplo: Num ataque a uma barragem, em que toneladas de dejetos e lama podem ser liberados após a abertura da barragem, cerca de 30 tipos de apólices de seguros poderiam ser acionados:

• Responsabilidade Civil (danos causados à terceiros)

• Risco Ambiental (danos ao meio ambiente)

• Patrimonial de Residencial e Empresas (danos materiais)

• Lucros Cessantes

• Vida (morte ou invalidez)

• Saúde (utilização de prontos-socorros, hospitais etc.)

• Previdência/INSS (aposentadoria forçada por morte ou invalidez)

• Automóvel (dano material ao veículo)

• Transporte (dano material de mercadorias)

• Agrícola (danos em plantações seguradas)

• D&O (ações contra os executivos da empresa)

• Seguro para Celulares (dano material ao aparelho)

• Florestal (danos a florestas seguradas)

• Penhor Rural (danos que causem inadimplência do agricultor)

• Animal (morte de animais)

• Risco de Engenharia (danos materiais em obras)

• Riscos Diversos de Valores (danos a valores transportados)

• Seguro de Crédito (danos que venham causar inadimplência dos devedores)

• Eventos (cancelamento/adiamento de eventos, shows etc.)

• Fiança Locatícia (pode causar inadimplência por parte dos inquilinos)

• Aeronáutico (danos materiais de aeronaves)

• Embarcações (danos materiais de embarcações)

• Fusões & Aquisições (um processo de fusão ou aquisição pode ser interrompido ou alterado)

• Seguro Garantia (uma empresa pode deixar de honrar seus compromissos)

• Seguro Cibernético (algumas coberturas da apólice serão acionadas)

• Quebra de Vidros (danos materiais causados a vidros, cristais etc.)

• Tumultos (ocorridos devido ao incidente)

• Global de Bancos (danos materiais a caixas eletrônicos etc.)

• Seguro Viagem (danos materiais e pessoais)

• Seguro Funeral (em caso de falecimento do segurado)

• Seguro Educacional (os pais ficam impossibilitados de pagar a escola dos filhos)

• Seguro Aquícola (destruição de fazenda de peixes)

• Risco de Petróleo (danos materiais a oleodutos, refinarias etc.)

Enfim, é claro que esse tipo de situação catastrófica não é tão simples de se acontecer, mas se levarmos em consideração que não existe empresa 100% imune a ataques, por mais que a probabilidade seja mínima, o risco existe e, como se pode observar, em algumas indústrias os danos causados por um ataque cibernéticos são potencialmente catastróficos, e o DPO tem que trabalhar em parceria com o gerente de risco e seguros da empresa.

O risco dos terceirizados e fornecedores-chave

Um dos principais pontos a que um DPO deve estar atento são os parceiros que têm acesso a dados sensíveis. A empresa deve ter uma política de compartilhamento de dados sensíveis, exigindo que empresas terceirizadas que recebam ou tratem dados sensíveis, entre outros, tenham políticas de proteção de dado minimamente adequadas. Inclusive, muitas empresas já estão exigindo, e isso deverá se tornar comum, que o parceiro/fornecedor possua uma apólice de risco cibernético. Pois por mais que a sua apólice contemple vazamento de dados em empresas terceirizadas, e que exista o direito de regresso por parte da sua seguradora, é melhor que a apólice de seguro do parceiro seja acionada, e não a apólice da sua empresa.

Com relação a fornecedores-chave, cuja interrupção do fornecimento de matéria-prima e/ou serviços seja crucial para o andamento das operações da sua empresa, além de verificar a capacidade técnica, operacional e saúde financeira do fornecedor, para atender às demandas da sua organização, é recomendável verificar os sistemas protecionais contra incêndio, pois um sinistro nas instalações desse fornecedor poderá afetar a operação da sua empresa, e o outro componente, talvez o mais importante, é o risco de um ataque cibernético. Se o seu fornecedor sofrer um ataque cibernético e ficar, por exemplo, uma semana sem sistema, ou seja, sem poder enviar para sua empresa as mercadorias, a sua operação será afetada? Portanto, é importante ter certeza de que o fornecedor está minimamente protegido contra ataques de hackers.

Seguro de responsabilidade civil profissional (E&O – erros & omissões) 3

Esse é um tipo de seguro que os DPOs, principalmente aqueles que são terceirizados, deveriam contratar. Porém, até o início de 2020, nenhuma seguradora do mercado brasileiro estava oferecendo um seguro de E&O específico para a atividade de DPO. Aliás, a maioria das seguradoras sinaliza não ter interesse em oferecer esse tipo de seguro, mas algumas seguradoras sinalizaram com a possibilidade de aceitar o risco através do clausulado de E&O Diversos (miscelâneas), ou seja, para empresas que não se enquadrem nos clausulados de E&O existentes para demais profissões (Médicos, Dentistas, Engenheiros etc.)

O Seguro de Responsabilidade Civil Profissional (RCP) protege a empresa e os seus profissionais contra reclamações apresentadas por perdas financeiras resultantes dos serviços prestados aos clientes. Oferece amparo para cobrir os custos de defesa em ações judiciais e outros danos que possam ser indenizados.

As principais coberturas são:

• Responsabilidade por ato, erro ou omissão profissional (inclusive solidária);

• Acordos;

• Reclamações judiciais ou extrajudiciais;

• Custos de defesa, incluindo honorários de advogados;

• Danos por falha de subcontratado;

• Custos de restituição de imagem;

• Danos Morais (se contratado).

As principais exclusões de uma apólice de RC Profissional são:

• Ato doloso ou ato que configure culpa grave equiparável ao dolo, exclusivo e comprovadamente, praticado pelo segurado, pelo beneficiário, ou pelo representante, de um ou do outro. Em se tratando de pessoa jurídica, a exclusão aqui estabelecida se aplica aos atos praticados pelos seus sócios controladores, dirigentes, administradores legais, beneficiários e representantes;

• Multas e penalidades, de qualquer natureza, impostas ao segurado;

• Indenizações compensatórias, punitivas ou exemplares as quais o segurado seja condenado a pagar pela Justiça;

• Ataque Cibernético (deve-se contratar seguro específico para esse item).

Seguro de responsabilidade de administradores – D&O (Directors & Officers) 4

• Se uma ação é movida contra a Pessoa Física do DPO e/ou de demais diretores e gerentes de uma empresa, devido ao vazamento de dados, a apólice de D&O é o seguro que resguarda os Bens Pessoais (PF) dos Diretores e Administradores da companhia (PJ) com relação aos seus Atos de Gestão. Desde que não haja a exclusão de ações em decorrência de vazamento de dados/ataque cibernético. Algumas apólices já dão cobertura a esse tipo de situação e outras não, portanto, caso a sua empresa já possua uma apólice de D&O ou pretenda contratar uma, certifique-se de que o clausulado da apólice não exclua risco cibernético.

Por que o seguro de D&O é importante para o DPO?

Executivos podem ter que responder com seu patrimônio pessoal em reclamações de natureza cível, tributária, regulatória, trabalhista, concorrencial, penal, consumerista, previdenciária. O seguro cobre o custo de defesa, acordos e indenizações que o executivo venha a ser condenado a pagar e, em caso de alguma ação contra um executivo da empresa, caso haja o bloqueio de bens, a apólice pode ser apresentada ao juiz que poderá (raramente acontece) aceitá-la e cancelar o bloqueio, ou caso o juiz mantenha o bloqueio, a seguradora poderá fazer o pagamento dos salários através de uma conta bancária de alguém de confiança do executivo. Inclusive, para a maioria das empresas, representa um diferencial na contratação, podendo fazer parte do pacote de benefícios. Profissionais exigem cada vez mais confiança para aceitação do cargo.

Quem contrata a apólice de D&O e quem são as pessoas seguradas 5 ?

• A apólice é contratada e paga pela Empresa (Pessoa Jurídica) e as pessoas seguradas são: Membros da Diretoria, Membros do Conselho de Administração, Membros do Conselho Fiscal e Qualquer empregado da Sociedade

• Nota: As Pessoas Seguradas são PESSOAS FÍSICAS.

Observações importantes do Seguro de D&O:

• A apólice não é nominal (não é preciso indicar expressamente os executivos).

• O limite da apólice é compartilhado por todos os executivos.

• A definição de Pessoa Segurada abrange os atuais, anteriores e futuros executivos.

• Cônjuges e herdeiros também estão incluídos na definição de Pessoa Segurada,

Principais Exclusões de uma apólice de D&O

• Atos dolosos e reclamações e circunstâncias anteriores à contratação da apólice.

Seguro cibernético

O Seguro Cibernético ou Seguro de Responsabilidade de Dados e de Proteção de Dados é relativamente novo no Brasil e cobre uma variedade de perdas e responsabilidades potenciais causadas por um ataque cibernético. Aqui no Brasil, o seguro foi lançado pela AIG em 2012, e de lá para cá outras seguradoras entraram no mercado. No início de 2017, eram 02 seguradoras, AIG e XL (sendo que esta última foi adquirida pela Axa), oferecendo o seguro no Brasil, e até o dezembro de 2019 eram 07 seguradoras: AIG, Axa XL, Zurich, Generali, Allianz, Chubb e Tokio Marine. Além dessas seguradoras, há outras seguradoras estudando entrar nesse mercado, algumas em fase mais adiantada, com clausulados já aprovados ou até mesmo já emitindo apólices para casos pontuais, e outras ainda em fase de estudos. A expectativa é encerrarmos 2020 com pelo menos 10 seguradoras oferecendo esse tipo de seguro.

Em 13 novembro de 2018, a Susep, Superintendência de Seguros Privados, órgão responsável pela autorização, controle e fiscalização dos mercados de seguros, previdência complementar aberta, capitalização e resseguros no Brasil, através da Circular nº 579 6 , criou o código 0327, especificamente para esse ramo de seguro, com a nomenclatura de Compreensivo Riscos Cibernéticos. De acordo com o site da Susep, até Março de 2020 foram emitidos cerca de R$ 25 milhões em prêmio (prêmio de seguro é a prestação paga pelo segurado, para a contratação do seguro, que se efetiva com a emissão da apólice por parte da empresa seguradora) e cerca de R$ 1,2 milhão de sinistros ocorridos. Esses números não podem ser considerados definitivos, pois ainda há apólices emitidas antes de novembro de 2018 que não foram emitidas no ramo 0327; somente no final de 2020, com a renovação das apólices emitidas anteriormente em outro ramo é que teremos os números corretos, pois essas apólices deverão ser renovadas no ramo compreensivo cibernético.

O fato de haver sete seguradoras operando nesse segmento não significa que se poderá contar com sete cotações, pois cada seguradora tem o seu apetite de risco e/ou suas limitações. Algumas propostas poderão ser declinadas, seja pelo tamanho da empresa, seja pelo tipo de mercado em que a empresa atua, ou pela qualidade do risco.

As apólices de Seguro de Responsabilidade Civil e Proteção de Dados são híbridas, pois contemplam os danos causados a terceiros e aos próprios contratantes do seguro.

Há uma variedade de coberturas distintas, pois não se trata de um seguro padronizado; cada seguradora possui o seu clausulado, ou seja, os nomes das coberturas e as suas respectivas definições podem variar de uma seguradora para outra e nenhuma seguradora possui e/ou oferece todas as coberturas disponíveis no mercado. Portanto, é recomendável uma análise criteriosa dos clausulados para que seja escolhido o melhor que se adapte às necessidades da empresa.

Seguem as coberturas disponíveis no mercado e, na sequência, as principais exclusões das apólices de seguro cibernético:

Responsabilidade por Dados Pessoais 7

A Seguradora pagará as Perdas decorrentes de uma Violação de Informação Pessoal, real ou presumida, que resulte em uma Reclamação contra o Segurado.

Responsabilidade por Dados Corporativos 8

A Seguradora pagará as Perdas decorrentes de uma Violação de Informação Corporativa, real ou presumida, que resulte em uma Reclamação contra o Segurado.

Alguns exemplos: base cadastral de clientes ou fornecedores, demonstrações financeiras privadas, informações sobre produtos não lançados, plano de negócios, estratégia de marketing etc.

Responsabilidade por Empresas Terceirizadas 9

A Seguradora pagará as Perdas decorrentes de uma Violação de Informação Pessoal que resulte em uma Reclamação contra a Empresa Terceirizada pelo processamento ou coleta de Dados pessoais de uma Empresa Terceirizada em nome da Sociedade e pelos quais a Sociedade seja responsável.

Obs.: A Garantia aqui é para o segurado, ou seja, a seguradora poderá usar o direito de regresso e cobrar o ressarcimento junto a empresa terceirizada. Portanto, é fundamental que empresa que processa ou coleta dados em nome de outras empresas, o chamado Operador de Dados, tenha a sua própria apólice de Responsabilidade Civil Cibernética.

Responsabilidade pela Segurança dos Dados 10

A Seguradora pagará as Perdas decorrentes de um Ato, Erro ou Omissão na Segurança de Dados por parte do Segurado que resulte em:

(i) contaminação de Dados de Terceiros por software não autorizado ou código malicioso (vírus); (ii) negação de acesso inadequada para o acesso de um Terceiro autorizado aos Dados; (iii) roubo ou furto de código de acesso nas instalações da Sociedade ou via Sistema de Computador; (iv) destruição, modificação, corrupção e eliminação de Dados armazenados em qualquer Sistema de Computador; (v) roubo ou furto físico de hardware da empresa por um terceiro; ou (vi) divulgação de Dados devido a uma Violação de Segurança de Dados.

Custos...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548791/cyber-insurance-e-seguro-para-dpo-data-protection-officer-encarregado-ed-2020