Topo

Para se precaver da LGPD, empresas correm atrás de seguro cibernético

Estúdio Rebimboca/UOL
Imagem: Estúdio Rebimboca/UOL

Daniel Dieb

Colaboração para Tilt

23/08/2020 04h00

Carro, saúde, casa são bens que costumamos proteger. Mas ameaças como vazamento de dados e invasão de redes empresariais têm feito crescer a demanda por outro tipo de seguro: o cibernético. Segundo a Superintendência de Seguros Privados (Susep), as seguradoras brasileiras já pagaram quase R$ 12,9 milhões de sinistros (ocorrências) até junho deste ano neste tipo de serviço. Para se ter uma ideia de quanto está sendo acionado, esse mesmo valor em todo o ano passado foi de R$ 145 mil.

A procura nos últimos meses também cresceu. Também de acordo com a Susep, as empresas de seguros cibernéticos arrecadaram em prêmios (valor pago pelos clientes) R$ 3,5 milhões em janeiro; em abril, houve queda, chegando a R$ 1,3 milhão; em junho veio nova alta, de R$ 4,1 milhões. Um dos motivos disso é a Lei Geral de Proteção de Dados (LGPD).

Sancionada em julho, ela estabeleceu a criação da Agência Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e aplicar sanções. As empresas devem se adequar à lei até a data que passará a valer, que pode ser ainda neste mês ou no ano que vem. Já as sanções foram prorrogadas até agosto de 2021 por causa de uma medida provisória do governo.

A percepção de riscos por parte das empresas também é outro fator que leva à nova procura. "Sem falar nos casos de empresas que enfrentaram crises cibernéticas", diz Flávio Sá, gerente de linhas financeiras da AIG, multinacional do setor. Isto é, quando o risco deixa de ser uma possibilidade e se torna realidade.

Sá relata um caso de uma segurada da AIG que teve sua rede invadida. Os invasores tiveram acesso a 2 mil arquivos com dados pessoas e corporativos. "A AIG ajudou a empresa a investigar o que ocorreu e cumprir os requisitos legais, além da investigação forense. O cliente recebeu uma indenização no valor de R$ 1,2 milhão", diz.

A gerente de linhas financeiras da corretora de seguros Willis Tower Watson, Ana Albuquerque, diz que o crescimento vem desde o ano passado. A empresa teve um aumento de 200% na procura por seguro cibernético em relação ao mesmo período de 2018. "Só no mês de dezembro estive com 20 solicitações de apresentações para clientes", diz.

Além da promulgação da LGPD, ela aponta como motivo o "aspecto de governança corporativa", que é um conjunto de práticas norteadas pela transparência, prestação de contas, equidade e responsabilidade corporativa. Com o seguro, a empresa constrói credibilidade com clientes e acionistas.

Como contrata-se um seguro desses?

  • Ao ser procurada, a corretora avalia os riscos e as potenciais perdas da empresa que quer contratar um seguro contra ataques cibernéticos;
  • Ela envia um questionário com perguntas sobre como os dados são tratados, as ações em caso de interrupção de negócios e quais as prioridades da companhia em termos de segurança digital;
  • Depois, a corretora busca no mercado qual a melhor cobertura para o perfil da empresa;
  • Os riscos e o valor das apólices são calculados com base no perfil das empresas.

"Se não tem um controle mínimo, não vai ter uma apólice de seguro", diz Gustavo Galrão, coordenador de linhas financeiras da FenSeg (Federação Nacional de Seguros Gerais). O mínimo varia de acordo com o porte e a natureza da empresa.

Com hospitais e instituições financeiras, a exigência é mais rígida. A empresa deve ter um comitê para discutir e gerenciar riscos, e criar dois cargos: o DPO (do inglês, oficial de proteção de dados), responsável pela parte jurídica; e outro pela parte de segurança da tecnologia da informação.

Custos

A seguradora leva em conta o porte da empresa e sua área de atuação, os dados e transações que passam por suas redes e quais as ferramentas de proteção de segurança que a empresa já tem operando.

"Para pequenas e médias empresas, custa de R$ 10 mil a R$ 30 mil por ano, mas pode ultrapassar os R$ 100 mil, dependendo do setor de atuação, ou então algumas centenas de milhares de reais, dependendo do tamanho da empresa", diz Sá.

Quais empresas estão mais vulneráveis?

É possível separá-las em dois grupos: as industriais e as de prestação de serviço. O primeiro, embora não tenha um base de dados rica, é alvo de ataques que interrompem o negócio.

Seguradoras chamam esse tipo de prejuízo de Lucros Cessantes. Ou seja, quando a produção para. O mais comum é o ransomware, no qual o criminoso invade a rede e a bloqueia, liberando-a sob pagamento de resgate. "É recomendado nunca pagar o resgate, mas muitas vezes pagam e acontece do hacker não liberar o acesso", diz Galrão.

No segundo grupo estão instituições financeiras, hospitais, plataformas de vendas online e até as próprias seguradoras. Albuquerque fala que as instituições financeiras são as que mais procuram a corretora.

Eles são alvos de hackers porque têm uma base de dados rica, com informações sobre cartões de crédito ou sobre a saúde do paciente. Caso eles sejam comprometidos, os efeitos são a perda de credibilidade e o prejuízo financeiro. Custa cerca de US$ 100 dólares para notificar cada usuário, fora os gastos jurídicos.

É só contratar e pronto?

Ter um seguro não livra as empresas das responsabilidades legais. O que a apólice cobre são multas e indenizações, além de custos relacionados à investigação do ataque (como a contratação de peritos técnicos), à notificação a quem teve sua privacidade invadida e, em alguns casos, à gerência de imagem da empresa por um profissional de relações públicas.

Para Renato Opice Blum, coordenador dos cursos de Proteção de Dados e Direito Digital do Insper, "todos os esforços possíveis devem ser feitos para proteção e, por consequência, reparação de eventuais prejuízos que tenham sido causados aos titulares dos dados".

Em 2018, o Ministério Público constatou que a Netshoes sofreu um incidente de segurança que comprometeu dados pessoais de dois milhões de clientes. Em fevereiro de 2019, ela fez um acordo para pagar R$ 500 mil de indenização por danos morais. Não houve vazamento de números e senhas de cartão de crédito dos clientes, mas os criminosos tiveram acesso ao nome, email, CPF, data de nascimento e histórico de compras deles. A Netshoes ainda teve de contatar por telefone todos os dois milhões de consumidores que tiveram seus dados vazados.

Galrão diz que a adequação começa pela conscientização, pois muitas empresas mal sabem da existência da lei. Outro problema é a cultura empresarial para a contratação de seguros. Para Blum, adequar-se à LGPD é uma "demonstração de boa fé e diligência".

Embora não seja obrigatório contratar um seguro ou uma corretora para estar de acordo com a lei, fazê-los fornece à empresa um panorama de como ela gerencia as informações e o nível de segurança deles. "O papel da seguradora não é de corrigir, mas de assumir o risco de acordo com o limite da apólice", diz Galrão.