SEGUROS CONTEMPORÂNEOS OS SEGUROS CIBERNÉTICOS E A COBERTURA PARA MULTAS APLICADAS PELA ANPD
De acordo com dados obtidos no Sistema de Estatísticas da Superintendência de Seguros Privados (SES), criado e alimentado pela autarquia com dados fornecidos pelo mercado [1], os seguros de riscos cibernéticos — ou mais especificamente os seguros de responsabilidade civil para riscos cibernéticos [2] — tiveram um crescimento de 77,7% no período entre janeiro e novembro de 2022, se comparado com o mesmo período em 2021.
Em termos financeiros, o mercado arrecadou, ao longo deste período de 2022, pouco mais de 160 milhões de reais em prêmios, um aumento de mais de 70 milhões em relação à 2021, quando foram arrecadados pouco mais de 90 milhões. O crescimento não é espantoso, visto que as sociedades empresariais estão cada vez mais atentas aos riscos cibernéticos, diante do aumento do número de ameaças e da criatividade dos cibercriminosos para a prática de crimes.
Para ficar apenas no ataque por ransomware — tipo de vírus malicioso de computador —, fala-se atualmente que os hackers deixaram há muito de apenas sequestrar, passando a atuar em quatro tipos de extorsão [3]: (1) criptografia dos dados; (2) extração dos dados; (3) ataques de negação de serviço (DDoS), interditando o sistema; e (4) assédio à vítima, com ameaças de divulgação dos dados de clientes e de comunicação a parceiros e à mídia do vazamento dos dados. Com o sucesso do ataque, é exigido o pagamento de um resgate (ransom em língua inglesa), para que os dados sejam descriptografados, devolvidos/apagados, o sistema seja desbloqueado e clientes e parceiros não sejam acessados, respectivamente.
Por conta desta atividade, parece consenso que é impossível para uma companhia estar cem por cento protegida contra-ataques cibernéticos, já que a mais grave e mais impactante invasão sempre é a que está por vir. A conclusão é lógica e bastante aproximada ao que se vê na medicina: à medida que as defesas imunológicas vão sendo reforçadas, somente um invasor mais potente e desenvolvido a vencer estas barreiras iniciais, ou diferente dos já mapeados, é que terá sucesso. Os danos causados, portanto, serão mais aprofundados ou até mesmo desconhecidos, a depender da variação do ataque. Nesse último caso, inclusive, a questão é mais preocupante, a depender do tempo e da eficiência para as respostas.
Essa criatividade acendeu um alerta nas empresas, que, temendo estarem expostas ao apetite dos criminosos, passaram a investir no incremento da maturidade cibernética de seus empregados e colaboradores, aplicando treinamentos e contratando tecnologias e equipamentos, tudo com o fim de atingir o maior nível possível de "higiene cibernética" — o jogo de palavras não é aleatório, já que o objetivo é impedir ataques de vírus.
Dados do mesmo SES, já referido, indicam que, nos períodos de janeiro a novembro de 2021 e 2022, os sinistros pagos reduziram pouco mais de 46%, passando de cerca de 29 milhões de reais para cerca de 15 milhões de reais.
A influência desta redução na quantidade de danos decorrentes de ataques cibernéticos frente ao aumento de prêmios recebidos é forte evidência que mais sociedades estão buscando a contratação do seguro e, para isso, estão tendo que aumentar sua maturidade cibernética.
Isso porque, uma das principais características deste tipo de seguro é um escrutínio por parte das seguradoras no momento da contratação do seguro e subscrição dos riscos, por meio de um questionário detalhado. Ao responder as perguntas, o proponente deve evidenciar que a empresa é higiênica em termos cibernéticos e que boas práticas são adotadas em relação aos seus parceiros e sistemas, com a realização de treinamentos, utilização de defesas e criação de políticas internas. Não raro, as seguradoras negam a contratação do seguro, diante da baixa cultura cibernética das empresas.
Além da ameaça ransomware, outro grande fator para a contratação do seguro para riscos cibernéticos é a Lei Geral de Proteção de Dados e a entrada em vigor, em 1º de agosto de 2021, do artigo 52, que prevê as sanções por infrações às normas de proteção de dados previstas na lei, dentre elas a possibilidade de aplicação multa, pela Autoridade Nacional de Proteção de Dados (ANPD), no valor de até 50 milhões de reais por infração.
Por se tratar de quantia bastante elevada — e apesar de a ANPD ainda não ter começado a efetivamente sancionar as sociedades [4] — é motivo de grande preocupação dos proponentes de seguro para riscos cibernéticos a (não) existência de cobertura para este tipo de multa, principalmente se tomada como parâmetro a experiência europeia.
Analisando os clausulados e ordenamentos de alguns dos países com incidência do General Data Protection Regulation (GDPR) — lei que regula a proteção de dados no âmbito europeu), a cobertura para multas — de qualquer espécie — dificilmente pode ser contratada.
A questão passa por argumentos de ordem moral e financeira, já que o pagamento da multa pela seguradora iria contra o objetivo da multa aplicada, a de punir o segurado com o pagamento de valor, desestimulando a reincidência individual e coletiva, além de poder incentivar, com o pagamento por terceiro, uma conduta mais negligente do segurado. Em Portugal [5], por exemplo, a restrição é legal a qualquer tipo de multas, enquanto em outros ordenamentos, como Espanha, Itália, França e no Reino Unido, há a possibilidade da cobertura de multas, desde que não sejam provenientes de condutas dolosas ou com culpa grave [6].
Entretanto, mesmo nesses países em que haveria possibilidade, as multas aplicadas pelas autoridades nacionais por infração ao regulamento geral de proteção de dados europeu não encontram cobertura nas apólices de seguros de riscos cibernéticos, conforme demonstra relatório elaborado pela corretora AON e pelo escritório de advocacia DLA Piper. As razões envolvem restrições legais, além de ser contra a ordem pública a cobertura de multas, por serem destinadas a ser suportadas pelo sancionado, não podendo ser transferidas a outros [7].
No Brasil, a questão não parece enfrentar maiores obstáculos, tanto pela autorização regulatória para que as seguradoras ofereçam coberturas para multas, como pela expressa previsão da garantia em algumas das apólices oferecidas no mercado.
Como é cediço, o contrato de seguro no Brasil é disciplinado nos arts. 757 a 802 do Código Civil e o seguro de responsabilidade civil, no qual se enquadra o seguro para riscos cibernéticos, é especialmente disciplinado nos artigos 787 e 788, com o segundo especialmente direcionado aos seguros obrigatórios.
Não sendo prevista — positivamente ou negativamente — a cobertura para multas nestes dois artigos, coube à Susep, por delegação legal [8], a disciplina detalhada dos seguros de responsabilidade civil, o que atualmente se dá por meio da Circular Susep nº 637, de 2021, e em cujo artigo 3º, § 3º, é expressamente prevista a possibilidade de cobertura para multas:
"Art. 3º No seguro de responsabilidade civil, a sociedade seguradora garante o interesse do segurado, quando este for responsabilizado por danos causados a terceiros e obrigado a indenizá-los, a título de reparação, por decisão judicial ou decisão em juízo arbitral, ou por acordo com os terceiros prejudicados, mediante a anuência da sociedade seguradora, desde que atendidas as disposições do contrato.
[...]
§ 3º. A sociedade seguradora poderá oferecer outras coberturas, além daquela descrita no caput, inclusive para os custos de defesa dos segurados, e a cobertura de multas e penalidades impostas aos segurados." (Destacou-se)
A respeito, dois pontos relevam destaque: (1) a disciplina anterior e (2) o processo de construção da norma atual. Tratando do ponto (1), é preciso esclarecer que a Susep nem sempre autorizou a cobertura de multas impostas ao segurado, a exemplo do como agora o faz expressamente, tendo inclusive já se posicionado de maneira contrária, entendendo que a existência de um seguro que cobrisse multas seria desprovido de interesse legítimo, o que é um dos requisitos do artigo 757 do Código Civil [9].
O primeiro normativo a assim fazê-lo foi o art. 5º, § 4º, da Circular Susep nº 541, de 2017 [10], que estabelecia "diretrizes gerais aplicáveis aos seguros de responsabilidade civil de diretores e administradores de pessoas jurídicas (seguro de RCD&O)" e previa expressamente a possibilidade de cobertura para multas civis e administrativas.
Essa redação foi reproduzida na Circular Susep nº 553, de 2017, bem como na minuta que deu origem à Circular Susep nº 637, nos trazendo ao ponto (2). Entretanto, após manifestação do mercado pela liberdade em poder oferecer cobertura para multas de caráter criminal (como aquelas que podem ser aplicadas a partir da Lei nº 9.605, a Lei de Crimes Ambientais), a Susep deixou de prever a natureza das multas, chegando à redação atual, transcrita anteriormente.
Assim sendo, se um dia a autarquia já se posicionou contra a cobertura para multas, passando a autorizar, em seguida, a garantia daquelas de natureza civil e administrativa e hoje sequer menciona qualquer natureza, abrindo espaço para a cobertura de multas criminais, certo é que não há qualquer impeditivo para a cobertura de multas aplicadas pela ANPD por violações envolvendo o tratamento de dados pessoais.
Nesse sentido, dentre as principais seguradoras que atuam no ramo atualmente, quase a totalidade oferece expressamente cobertura, básica ou por extensão, para multas e penalidades aplicadas por órgão público regulador autorizado a supervisionar e processar as leis e regulamentos de proteção de dados, ou seja, a ANPD [11].
É possível que o cenário venha a ser modificado no futuro e as seguradoras, por decisão comercial, venham a deixar de oferecer essa cobertura, se as multas a serem aplicadas aumentarem excessivamente, a exemplo do que já se projeta para os ciberataques [12]. Para evitar esse futuro indesejado, investir em prudência e higiene cibernética são a saída.
[1] Disponível em: https://www2.susep.gov.br/safe/menuestatistica/pims.html. Acesso em 14 jan. 2023.
[2] De acordo com o art. 4º, inc. IV, da Circular Susep nº 637, de 20/07/2021, esse seguro tem por objeto cobrir os "riscos decorrentes da responsabilização civil vinculada a incidentes cibernéticos (danos aos equipamentos e sistemas de tecnologia da informação, às suas informações ou à sua segurança)", sendo nomeado pela autarquia como "seguro de Responsabilidade Civil Compreensivo Riscos Cibernéticos (RC Riscos Cibernéticos)".
[3] UNIT 42. PALO ALTO NETWORKS. 2022 Ransomware Threat Report. p. 3. Disponível em https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/reports/2022-unit42-ransomware-threat-report-final.pdf. Acesso em: 14 jan. 2023.
[4] Disponível em https://www.jota.info/coberturas-especiais/protecao-de-dados/anpd-pode-dar-pontape-inicial-em-fiscalizacao-em-janeiro-avalia-fecomerciosp-26102022. Acesso em 14 jan. 2023.
[5] Decreto-Lei nº 72, de 16/04/2008, que estabelece o Regime Jurídico do Contrato de Seguro. "Artigo 14.º - Seguros proibidos 1 - Sem prejuízo das regras gerais sobre licitude do conteúdo negocial, é proibida a celebração de contrato de seguro que cubra os seguintes riscos:
a) Responsabilidade criminal, contra-ordenacional ou disciplinar;". Disponível em: https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=2657&tabela=leis&so_miolo. Acesso em 14 jan. 2023.
[6] Para uma aprofundada compreensão do tema, recomenda-se a leitura da nota de rodapé nº 310 de GOLDBERG, Ilan. O Contrato de Seguro D&O. 2 ed. São Paulo: Thomson Reuters Brasil, 2022. p. 473-474.
[7] Na análise feita para a cobertura de multas aplicadas por autoridades por violações a proteção de dados, algumas são as conclusões apresentadas: 1) em França, as multas são consideradas como quase criminosas e o seguro contra elas é contra a ordem pública, uma vez que se destinam a ser suportadas pessoalmente pela parte; 2) em Itália, as multas não são seguráveis porque entende-se que o efeito de dissuadir o ofensor seria perdido se ele pudesse transferi-las para um terceiro; 3) em Portugal, os contratos de seguro que cobrem os riscos relacionados a responsabilidade decorrente de infrações administrativas e responsabilidade criminal são proibidos por lei; 4) em Espanha, o setor de seguros vem questionando a impossibilidade de cobrir multas regulatórias, embora, até a elaboração do relatório, em maio de 2019, o órgão regulador não tenha alterado sua posição para admiti-las. AON AND DLA PIPER (2019). The Price of Data Security (Second Edition). p. 13-12. Disponível em: https://www.dlapiper.com/fr/france/insights/publications/2019/07/updated-guide-on-theinsurability-of-gdpr-fines-across-europe/. Acesso em 14 jan. 2023.
[8] Decreto-Lei nº 73, de 1966. "Art 36. Compete à Susep, na qualidade de executora da política traçada pelo CNSP, como órgão fiscalizador da constituição, organização, funcionamento e operações das Sociedades Seguradoras: [...] b) baixar instruções e expedir circulares relativas à regulamentação das operações de seguro, de acôrdo com as diretrizes do CNSP".
[9] A manifestação se deu por meio do Parecer/PRGER/assuntos societários e registros especiais s/nº. p. 2-5. Para uma análise aprofundada do tema, remete-se a GOLDBERG, Ilan. O Contrato de Seguro D&O. 2 ed. São Paulo: Thomson Reuters Brasil, 2022. p. 476-477 e nota de rodapé 311.
[10] "Art. 5º [...] § 4º A garantia poderá abranger cobertura de multas e penalidades contratuais e administrativas impostas aos segurados quando no exercício de suas funções, no tomador, e/ou em suas subsidiárias, e/ou em suas coligadas".
[11] A amostragem foi obtida no Sistema de Estatísticas da Susep, para o ano de 2022, especificamente no ramo "0327 — Compreensivo Riscos Cibernéticos", utilizando as apólices disponíveis na internet para as cinco primeiras seguradoras no ranking de prêmios. Disponível em: https://www2.susep.gov.br/safe/menuestatistica/pims.html. Acesso em 14 já. 2022.
[12] Disponível em: https://www.editoraroncarati.com.br/v2/Artigos-e-Noticias/Artigos-e-Noticias/Zurich-ataques-ciberneticos-poderao-ser-nao-seguraveis.html. Acesso em 14 jan. 2023.