Buscando auxiliar os corretores de seguros, que estão preocupados em adequar suas operações à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), a UCS (União dos Corretores de Seguros) realizou o 7º Trocando Ideias de 2021, inicialmente na noite de 24 de agosto. Pelo interesse no assunto e necessidade de mais tempo para responder a todos os questionamentos, a UCS realizou um novo encontro – 7º TI Parte 2 – na noite de 31 de agosto.
“A LGPD dispõe de uma série de medidas para proteger os dados e a privacidade das pessoas, e nós, corretores de seguros, atuamos com informações diversas nossos prospects e clientes segurados. Precisamos entender como devemos agir”, justifica Arno Buchli Junior, presidente da UCS. A Lei está em vigor no Brasil desde setembro do ano passado, e as sanções administrativas previstas já poderão ser aplicadas pela Agência Nacional de Proteção de Dados (ANPD) desde o início de agosto.
No primeiro evento, três especialistas trouxeram apresentações sobre o tema: Helena Lima, sócia proprietária da Multisites Soluções Web; Rafael Sciancalepre, diretor da Admseg Informática; e Sergio Woisky, sócio da Comp9, consultoria especializada em LGPD.
“Primeiramente há indenização para pessoa física, aquela que não estiver confortável, que achar que fizemos algo errado com seus dados pode entrar com uma ação pedindo indenização. Depois tem o Procon e o Ministério Público que defendem a lei, e antes mesmo da LGPD já entravam com ações com base no Código de Defesa do Consumidor sobre vazamentos de dados. O que entrou agora é a terceira parte que são as sanções administrativas de um órgão do governo chamado ANPD (Autoridade Nacional de Proteção de Dados) que faz um papel de supervisão da proteção de dados – ele regula, fiscaliza e pune. E este órgão já está a todo o vapor desde 1º de agosto com a possibilidade de aplicar todas as sanções”, explicou Sergio Woisky.
“São dois tipos de multa: uma de 2% do valor do faturamento do ano anterior até R$ 50 milhões, e uma multa diária enquanto não regularizar. Além das multas, que podem ser pesadas, existe o problema de imagem e reputação, pois uma das sanções que essa autoridade pode exigir é que você publique em seu site ou lugar de grande circulação a sanção que recebeu – isso pode ser muito mais caro que qualquer multa, seu cliente saber que você teve um problema, recebeu multa e está sendo obrigado a se retratar”, completou.
Sergio Woisky explicou que existem dados pessoais cadastrais e dados pessoais sensíveis (estes, se houver vazamento, podem trazer repercussão grande para a pessoa, como preconceito, ou chantagem – dado de saúde, biometria, dados genéticos, orientação sexual, orientação religiosa, orientação política ou filosófica). “O importante é entender que o uso de cada um desse tipo de dados tem regras, há uma lista de uso para cada um dos tipos dados, se não estiver nesta lista tem que pedir autorização para a pessoa dona do dado. O ideal é encontrar uma base legal para usar o dado, para não ter que pedir a autorização (porque é chato, dá trabalho), chamada de consentimento”, disse o palestrante. Ele alertou ainda que precisam cumprir a LGPD todos que tratem dados (cadastrais e sensíveis), ou seja, que recebam e transfiram informações, não apenas digitais, mas impressos também (jornalistas que utilizem dados em suas reportagens são exceção à LGPD).
Helena Lima contou sobre sua experiência em criação de sites para corretores e os cuidados necessários após a LGPD. “A política de privacidade precisa estar no site dando clareza para quem acessa sobre como são tratados os dados que saem dali. Um site pode ter um chat online, um botão para whatsapp, um formulário de contato, ou até de cotação de seguros, pode ter links online para seguradoras ou sistemas de cálculo, e pode ter captação de leads e dados. E também pode possuir os pixels que fazem captura de dados, de região de acesso, de perfil, que são os chamados cookies”, disse. “Por isso, precisamos incluir mensagem dizendo que utilizamos os cookies e temos política de privacidade, e um botão do aceite. A partir do momento que a pessoa clica no aceite subtende-se que ela leu a política de privacidade e está de acordo. Outro ponto é ter uma opção para que a pessoa que não queira ser rastreada para marketing possa clicar e estar fora das listas de envios de e-mails e outras formas de abordagem”, apresentou.
Rafael Sciancalepre fornece sistema para corretoras de seguros, e comentou sobre o backup dos dados das corretoras, tramitando para os sistemas. “Fazemos operações de seguros prestamistas, por exemplo, vinculados a uma financeira ou montadora, que passa pela corretora, passa pela base do nosso sistema que emite dentro da seguradora o certificado, volta para a corretora e alimento o sistema bancário. Dentro de uma operação mais complexa como essa, o DPO (Data Protection Officer – guardião dos dados) desta grande empresa vai exigir uma VPN (rede privada), que é um canal exclusivo, criptografado, que faz a segurança para não ter roubo de dados pessoais, pertinente na comunicação desta informação. Tudo tem que estar num ambiente seguro. Os dados da corretora estarão seguros. Junto às seguradoras com quem temos contratos de prestação de serviços temos um token que identifica a ida e a volta de informação também. Eu tenho um time de 27 pessoas, esses profissionais assinam um termo de sigilo profissional de não passar informações de uma corretora para outra, porque também sou exposto a informações de muitas pessoas”. Rafael ainda alertou aos corretores que é indispensável constar o termo de aceite no formulário de cotação, com a afirmação de que aquele dado será usado exclusivamente para aquela operação.
O segundo evento contou uma explanação mais longa e detalhada de Sergio Woisky, e reservou mais tempo para perguntas dos participantes. O palestrante resumiu o que é preciso fazer: “Levantar aplicativos e fornecedores; ver o caminho do fluxo de dados; confirmar base legal para uso dos dados; atualizar política de privacidade do site; preparar política de proteção de dados; treinar colaboradores; analisar a estrutura do seu TI; ver os contratos, principalmente que transferem dados”, elencou. E deu recomendações aos corretores de seguros: “Capturar e guardar somente o necessário; analisar a possibilidade de anonimizar o dado; evitar enviar arquivos por e-mail e whatsapp; proteger arquivos com senha antes de enviar; restringir acesso ao computador e dados”.