PT
EN
O aumento na procura por apólices de cyber seguro tem chamado a atenção de especialistas. Segundo dados da Federação Nacional dos Corretores de Seguros Privados e de Resseguros (Fenacor), a contratação dessa modalidade de seguro aumentou 50%.
Outro número importante é o aumento da sinistralidade, que atingiu o marco de 200%. Além disso, o valor das indenizações pagas nos sinistros de ataques cibernéticos em 2021 foi 39 vezes maior do que o valor médio de 2019.
Vale lembrar que as sanções da Lei Geral de Proteção de Dados (LGPD) para empresas que tiveram dados de clientes vazados só passaram a valer em agosto de 2021, e as multas previstas na lei podem chegar a 50 milhões de reais por infração.
O cenário do cybercrime brasileiro
Diante do risco de penalização e frente ao alto volume de ataques cibernéticos no país, que ocupa o 2º lugar no ranking mundial em quantidade de ataques diários, as empresas brasileiras estão investindo cada vez mais em segurança digital.
Segundo dados da Fortinet, empresa que desenvolve software de cibersegurança, foram mais de 88,5 bilhões de tentativas de ataques cibernéticos no Brasil em 2021. No ranking de ataques da América Latina e Caribe, o país só fica atrás do México (FortiGuard Labs).
Esses números têm motivado a contratação global de cyber seguros. O relatório The State of Ransomware 2022, da desenvolvedora de software Sophos, aponta que 83% das organizações com 3 a 5 mil funcionários estão seguradas. Entre as organizações com 100 a 250 colaboradores, 73% contrataram alguma modalidade de seguro.
A maioria das empresas seguradas foram vítimas de um ataque antes da contratação. Entre as coberturas mais comuns, estão: custos de defesa; investigação; sanções administrativas; e restituição de imagem da sociedade. Mas outras coberturas podem ser incluídas nas apólices.
Responsabilidade civil por crimes cibernéticos
Se a Lei Geral de Proteção de Dados já estabelecia normas para utilização e manipulação de dados pessoais, a Emenda Constitucional nº 115/2022 veio para reafirmar a natureza constitucional do direito de proteção de dados pessoais.
Enquanto as sanções administrativas da LGPD pelo descumprimento às regras dispensam a caracterização de dolo ou culpa, o caráter objetivo ou subjetivo da responsabilidade civil de empresas envolvidas em vazamentos de dados pessoais com danos a terceiros ainda não está pacificado entre os operadores do direito.
No entanto, uma série de decisões judiciais tem firmado o entendimento de que a responsabilidade civil é objetiva, ou seja, há dever de indenizar independentemente de dolo ou culpa. Nesse sentido, veja esta decisão do Tribunal de Justiça do Rio de Janeiro:
“APELAÇÃO. VAZAMENTO DE DADOS PESSOAIS. RELAÇÃO DE CONSUMO. RISCO DO EMPREENDIMENTO. LEI GERAL DE PROTEÇÃO DE DADOS. DANOS MORAIS. A sentença condenou a ré a pagar R$ 10.000,00 de indenização por danos morais. Apelo do réu. Falha do serviço comprovada. Dever de proteção dos dados pessoais. Lei 13.709/18. Ataque de hacker que se insere no risco do empreendimento. Dano moral configurado. Verba que não comporta redução. Acesso aos dados que não poderão ser revertidos. Dados pessoais não anonimizados. Súmula 343 desta Corte. Recurso desprovido” (Apelação nº 005559-71.2020.8.19.0002, TJ/RJ).
Por isso, a contratação de cyber seguro tem crescido. Mas só isso não é suficiente para salvaguardar o patrimônio empresarial.
As organizações precisam adequar suas práticas à legislação e fiscalizar o cumprimento interno das políticas de segurança. A figura do Encarregado de Dados (ou DPO) tem se mostrado fundamental para reduzir prejuízos e mitigar problemas relacionados ao vazamento de dados pessoais.
Dra. Paula Tonani
