Sign In

   

Como o GDPR afeta o mercado de seguros?

28Mai2018May28,2018
Seguros, Resseguros e Previdência privada
Sonho Seguro

Por Denise Bueno

O blog Sonho Seguro foi ouvir dois especialistas no assunto para entender como as empresas brasileiras podem ser afetadas pela legislação europeia de proteção de dados ou General Data Protection Resolution (GDPR), que entra em vigor na sexta, 25 de maio. Algumas certezas e muitas dúvidas. Certamente a demanda pelo seguro cibernético aumentou muito. Paralelamente, os pedidos de indenização superaram em muito a expectativa inicial dos atuários. E os clientes se surpreenderam que os custos ficaram muito além do que o seguro cobria.

Eis um segmento que aprende com o dia a dia. E agora tem de aprender também com a nova regra europeia. "Muitas empresas brasileiras buscam entender como podem ser afetadas. E certamente se manuseiam dados, podem ser penalizadas pelas elevadas multas decorrentes do descumprimento da legislação e dos incidentes de vazamento de dados", explica Thiago Luís Sombra, CIPP/E, sócio da área de Proteção de Dados e Cibersegurança do escritório Mattos Filho.

Segundo Flávio Sá, gerente de linhas financeiras da AIG, a maior do mundo em riscos cibernéticos, é importante que as empresas brasileiras fiquem atentas, pois muitas delas sequer sabem que manipulam dados europeus. Apesar da Lei ter sido divulgada há dois anos, há seis meses que começou o corre corre para entendê-la melhor.

O GDPR foi apontado como uma das mudanças de maior impacto global não só na indústria de tecnologia, mas também em setores como as seguradoras e instituições financeiras. O objetivo do GDPR é dar aos usuários estabelecidos na União Europeia maior controle sobre os seus dados pessoais coletados, tratados e armazenados por meio da internet, mediante a imposição de multas de até 4% do faturamento global da empresa ou € 20 milhões para infrações graves. "Essas infrações incluem por exemplo a não notificação das autoridades em até 72hs depois de um incidente de vazamento de dados", explica Sombra.

Segundo estudo da AIG, a quantidade de pedidos de indenização em 2017 foi a mesma do acumulado entre 2013 a 2016. Empresas de serviços profissionais, como advogados e contadores, responderam por 18% das reclamações do seguro cibernético no ano passado, acima dos 6% entre 2013 e 2016. Um crescimento e tanto, promovido por  ataques cibernéticos conhecidos como WannaCry e NotPetya.

O seguro de cobertura cibernética pode cobrir sinistros que envolvam comprometimento de sistemas de TI após um ciberataque, perda de informações relevantes para órgãos públicos e empresas, vazamento de dados contábeis e até cobertura por eventuais danos reputacionais.

Para que se tenha uma dimensão do impacto do GDPR no mercado de seguros europeu, o número de corretores oferecendo seguros cibernéticos no Lloyd's of London cresceu neste ano mais de 20%. Analistas do banco de investimentos Jefferies estimam que o mercado global de seguro cibernético crescerá de pouco menos de US$ 4 bilhões em prêmios este ano para US $ 7 bilhões em 2020.

A forma de mensuração dos riscos para efeito de cálculo dos prêmios e indenizações decorrentes da atuação das autoridades europeias de proteção de dados ainda é uma incógnita, em especial se for considerada a capacidade de sancionar empresas situadas fora da União Europeia, diz Sombra.

Sá, da AIG, que tem participado de inúmeros seminários sobre o tema com a participação de clientes, advogados, corretores e especialistas envolvidos com o tema, afirma que o cenário brasileiro  é bem distinto. "No Brasil há empresas com maturidade maior, mas tem empresas gigantes que não tem esse preocupação ainda para riscos cibernéticos. Temos trabalhado em parceria com mercado de seguranca de informação, mostrando as ferramentas que podem ser oferecidas. O seguro é apenas uma delas."

Há empresas que tem operação internacional e para essas a oferta da seguradora é emitir uma apólice de riscos cibernéticos no país de origem do risco,  atrelada ao programa mundial. "Esse contrato tem um serviço diferenciado para responder eventual questionamento no país de risco", explica Sá. Mesmo a empresa que não tem operação na Europa, mas manuseia dados europeus, tem de se preocupar, pois está exposta ao risco da nova lei, que aborda companhias que lidam com dados europeus e não com dados de país", esclarece o executivo da AIG.

Outro segmento de empresas, segundo a percepção do especialista da AIG, é a que ainda sequer conhece o seu próprio risco. "Para essas, recomendamos prestadoras de serviços especializados, que fazem uma varredura no banco de dados para identificar se a empresa manipula dados de grupos europeus", conta. "Se a empresa não conhece a base de dados, ela não sabe sequer o risco que corre."

Tais informações são cruciais para que as seguradoras calculem o preço do seguro. Por ser hoje o risco mais temido no mundo, com forte demanda, certamente o preço do seguro é alto. Sendo assim, quanto mais segurança a empresa tiver, melhor ficará o custo. "O seguro é para um risco residual. Ele cobre apenas uma parte daquilo que todos os investimentos da empresa em segurança não consegue cobrir", explica Sá. A empresa tem de ter proteção básica para todas as camadas da rede de dados.

"As que não tem o nível mínimo de proteção são recusadas ou o preço é tão elevado que não compensa. A recomendação para esse grupo é que invistam em tecnologia e quando estiver com o processo mais maduro procure novamente a cobertura de seguro, pois certamente encontrará um preço acessível. Uma vez fechado o seguro, o contrato  cobre todos os riscos e faz exigências para emitir a apólice.

Calcular o quanto de perdas um ataque cibernético pode causar, é uma incógnita ainda para segurados e seguradoras, principalmente considerando a estrutura Distributed Ledger Technology, a base do blockchain. Segundo estudo da AIG, enquanto os pagamentos de resgates geraram apenas cerca de US$ 150 milhões, as perdas econômicas totais associadas ao WannaCry são estimadas em US$ 8 bilhões, com meio bilhão de dólares atribuídos a custos diretos e interrupção indireta nos negócios.

Isso mostra que a maioria dessas perdas foi subestimada. Segundo Sombra, somente o tempo dirá se a correspondência entre valores pagos a título de prêmio e risco de sinistro é condizente com o potencial de atuação e imposição de multas que se supõe serem as autoridades europeias capazes de impor.

Ver notícias do escritório