RISCO CIBERNÉTICO

Regra de proteção de dados da UE deve render multas milionárias

Mesmo empresas não sediadas na Europa estão sujeitas a punições de até €20 milhões ou 4% do seu faturamento global anual

20/07/2017 – 12:30
Atualizado em 10/08/2017 – 13:13
Manage My Pain

A app Manage My Pain é um exemplo de empresa que coleta e analisa dados de usuários.
(Foto: Divulgação)

Uma nova regra de proteção de dados implementada pela União Europeia pode causar perdas milionárias às empresas, ainda que elas estejam baseadas no Brasil e não tenham presença física em solo europeu.

O Regulamento Geral sobre a Proteção de Dados, conhecido como GDPR por sua sigla em inglês, vai entrar em vigor em 28 de maio de 2018 e deve afetar as atividades de empresas de todo o mundo, desde que elas coletem ou processem dados de indivíduos, empresas ou organizações presentes na Europa.

De acordo com essa regulamentação, as empresas que preenchem os requisitos definidos pela UE terão de adotar medidas como a implementação de sistemas de proteção de dados, estruturas para reportar eventuais violações de forma imediata às autoridades e até mesmo a indicação de um profissional ou parceiro comercial para desempenhar a função de Data Protection Officer, ou DPO.

A não-conformidade com tais exigências pode render à empresa multas que podem chegar a até €20 milhões ou 4% do seu faturamento anual em todo o mundo. Vale o que for maior.

A expectativa é que as autoridades europeias vão fazer farto uso destes novos poderes. De acordo com relatório sobre o tema publicado pela corretora Marsh, apenas as empresas que compõem o índice FTSE 100 da Bolsa de Londres devem receber um total de US$ 6 bilhões em multas ligadas ao GDPR apenas no primeiro ano de vigência da nova regra.

Já a consultoria Hyperion calculou que os bancos europeus estão expostos a levar multas de €4,7 bilhões nos três primeiros anos do GDPR, com uma média de €260 milhões por violação.

As multas podem ser tão elevadas que, mesmo que estejam cobertas por apólices de seguros contra riscos cibernéticos, é bem possível que as capacidades não sejam suficientes, de acordo com corretores consultados pela Risco Seguro Brasil.

Uma pesquisa global divulgada em abril pela Veritas, outra consultoria, constatou que uma em cada cinco empresas consultadas temem que multas derivadas de violações do GDPR possam levá-las à bancarrota.

Exposição

Ainda que a norma esteja mais diretamente relacionada com empresas baseadas ou com subsidiárias na União Europeia, mesmo companhias que só estão presentes no Brasil podem ter que se adaptar ao GDPR.

Para se tornar um alvo em potencial dos reguladores, basta que a empresa colete dados de sujeitos europeus e que haja motivo para acreditar que ela pretende fazer uso dos dados em questão.

Por exemplo, uma empresa baseada no Brasil pode acabar debaixo de fiscalização se tiver um website que pode ser acessado na Europa e que ofereça a opção de fazer compras e pagar em euros ou libras esterlinas.

As informações concernidas pelo GDPR incluem desde dados biométricos e financeiros de indivíduos, seus endereços e dados sanitários, até informações de fornecedores e clientes, entre várias outros tidos de dados privados.

Umair Javed, um advogado associado no escritório Wiley Rein, em Washington (EUA), observa que o GDPR introduz conceitos de jurisdição mais relacionados com o local onde os dados são coletados do que com o país onde a empresa possui sua sede legal.

“Isso torna o GDPR basicamente uma lei global”, disse Javed à Risco Seguro Brasil.

Sua aplicação fora da Europa, porém, dependerá de acordos legais internacionais e da habilidade dos governos europeus de conseguir convencer seus pares de outras partes do mundo de que eles têm o dever de processar os culpados.

Javed observou, por exemplo, que a EU trata o direito à privacidade como um direito fundamental do ser humano, e pode portanto argumentar que têm a obrigação de processar violações da privacidade de seus cidadãos em qualquer lugar do mundo, seguindo os acordos internacionais de direitos humanos dos quais é signatária.

Seguro

As novas exposições criadas pelo GDPR devem funcionar como um fator a mais a alimentar a demanda por seguros contra riscos cibernéticos em todo o mundo.

De acordo com corretores consultados pela Risco Seguro Brasil, as coberturas que existem hoje no mercado podem prover alguma proteção contra este risco, uma vez que já incluem cláusulas ligadas ao cumprimento de regulamentações de privacidade.

Mas eles também recomendaram que os gerentes de riscos consultem os seus corretores para discernir se o clausulado é amplo o suficiente para incluir especificamente a regulamentação europeia. Em geral, há uma tendência das apólices de se focar nos regimes regulatórios das jurisdições onde são assinadas.

“Os requerimentos de reação a uma violação de dados e sua notificação implicam um papel bastante maduro dos seguros cibernéticos”, disse Matthew McCabe, um expert em riscos cibernéticos da Marsh nos Estados Unidos.

“O seguro cibernético também pode funcionar como um ponto de avaliação do quanto as companhias estão em conformidade com o GDPR, e o mercado de seguros pode ainda prover assessoria especializada às empresas,” continuou McCabe. “A grande pergunta é se as multas e punições emitidas pelas autoridades sob o GDPR serão seguráveis.”

“Se uma companhia global recebe a pena máxima (4% de seu faturamento em todo o mundo), ela não terá capacidade suficiente em sua apólice de seguro cibernético para cobri-la”, disse Michael Born, um vice-presidente de Tecnologia e Privacidade na Lockton, também nos Estados Unidos.

De qualquer maneira, a adaptação às novas regras exigirá trabalho das empresas expostas ao GDPR, e os custos podem ser relevantes. Pesquisa global realizada pela consultoria PwC encontrou que três de cada quatro empresas consultadas esperam gastar mais de US$ 1 milhão com os preparativos para a entrada em vigor do GDPR.