Tratamento de dados pessoais sensíveis pelas seguradoras no combate à fraude

Idealizado como forma de garantir ao indivíduo uma compensação caso ele seja prejudicado quando da ocorrência de um evento determinado, os contratos de seguro se originaram na cidade italiana de Gênova, em 1347, e chegaram ao Brasil com a vinda da família real portuguesa ao Brasil, em 1808.

Atualmente, o contrato de seguro é regulado legalmente pelo Decreto-Lei nº 73/1966 e Código Civil de 2002 (CC/02), e há possibilidade de ser modificado com eventual aprovação do Projeto de Lei nº 29/2017, que está tramitando no Senado Federal. Entre os principais avanços do PL, tem-se a regulação e liquidação de sinistros.

Descobertas na maioria das vezes durante o procedimento de regulação do sinistro, as fraudes são uma das principais causas de perdas financeiras no mercado de seguros. Em 2019, segundo a CNSeg, o valor total pago com sinistros foi de R$ 32,2 bilhões, dos quais R$ 4,3 bilhões foram resultados de sinistros suspeitos e R$ 608,6 milhões de fraudes comprovadas, ou seja, 14,2% dos sinistros inicialmente indicados como suspeitos.

Os altos índices de fraude no mercado de seguros não só impactam o desempenho financeiro das companhias seguradoras, mas também os próprios segurados, pois os prejuízos com pagamentos de indenizações decorrentes de fraude, com base em cálculos atuariais, refletem na precificação do prêmio pago e na formação do fundo comum, tudo com base no princípio do mutualismo.

Além dos mecanismos utilizados pelas seguradoras, como contratação de auditores e peritos técnicos para atuar na regulação de sinistros, o próprio legislador destacou no CC/02 a necessidade de segurado e seguradora atuarem conjuntamente no enfrentamento às fraudes, sempre com base na boa-fé, o que pode ser visto da leitura dos artigos 765 a 769, do CC.

Nesse sentido, tem-se o princípio da boa-fé como a base da relação entre o segurado e a companhia seguradora durante a regulação e liquidação de sinistro.

Inspirada na General Data Protection Regulation (GDPR), o regulamento europeu para proteção de dados, e idealizada após o escândalo da Cambridge Analytica, a Lei nº 13.709/2018, nomeada de Lei Geral de Proteção de Dados (LGPD), foi promulgada no Brasil em 2018 e vigente a partir de 2020.

A LGPD, já no seu primeiro artigo, deixa expressa sua intenção de resguardar os dados pessoais quando tratados por pessoa natural ou jurídica, inclusive de direito público, salvo exceções previstas na lei.

O dado pessoal pode ser compreendido como a informação que identifica e determina quem é o seu titular. Quanto aos dados sensíveis, a LGPD, dessa vez no inciso II do artigo 5º, os trata de forma exemplificativa, indicando que são aqueles que podem causar algum tipo de discriminação ao seu titular, tais como dados relacionados raça ou etnia, opinião política e saúde do seu titular, razão pela qual merecem maior atenção.

Diante da proteção aos dados pessoais, em especial àqueles tidos como sensíveis, por conta do seu caráter potencialmente discriminatório, o tratamento pelo controlador ou operador deve ser bastante meticuloso, razão pela qual o legislador separou todo o seu capítulo II da LGPD para tratar do assunto.

Para o tratamento de dados sensíveis, geralmente o titular deverá consentir de forma específica. As exceções, por sua vez, estão previstas em lei de forma taxativa.

O consentimento, seguindo a sua previsão legal, é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Assim, geralmente o tratamento de dados sensíveis poderá ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas, com exceção de quanto o próprio titular torná-los manifestamente públicos. Por outro lado, a lei também prevê quais são os casos de dispensa do consentimento do titular.

Na primeira hipótese, temos que não basta o titular autorizar o uso dos seus dados pessoais sensíveis, mas, além da autorização, o consentimento deve destacar qual é o objetivo daquele tratamento, visando dar efetividade ao princípio da finalidade.

Em relação aos casos excepcionais, o tratamento de dados pessoais sensíveis sem o consentimento do seu titular precisa se enquadrar em algumas das bases legais, que via de regra são reconhecidamente taxativas.

Com base nisso, vê-se que para que o controlador ou operador possa fazer o tratamento de dados pessoais sensíveis, ele precisa ter como base o consentimento expresso e específico, além de indicar sua finalidade, ou se encaixar em alguma das bases legais elencadas no inciso II do artigo 11.

Com a entrada em vigor da LGPD, o mercado securitário passou a ter mais uma legislação para regular sua atividade, em especial no que se refere à base legal específica para o tratamento de dados pessoais.

À luz da LGPD e do artigo 757, do Código Civil, o segurador realiza o tratamento de dados pessoais desde a concepção do contrato até sua conclusão, ou seja, o tratamento se dá para execução do contrato e exercício da atividade securitária.

No tratamento de dados pessoais, o segurador pode atuar como controlador ou operador, a depender do tipo de contrato de seguro envolvido ou em que momento do pacto o tratamento será feito. Do outro lado, o segurado geralmente será o titular dos dados pessoais tratados pelo segurador, com exceção quando um terceiro é o beneficiário da apólice de seguro.

Logo, para que a seguradora possa efetivar dois pilares do contrato securitário, quais sejam a mutualidade e a técnica atuarial, dando base à gestão científica e financeira do risco e possibilitando a manutenção do sistema securitário, ela terá de fazer o tratamento de dados pessoais, sejam eles sensíveis ou não.

Quando o tratamento se dá sem o consentimento do titular, há entendimento doutrinário de que é plenamente possível, desde que tome como base legais o cumprimento de obrigação legal ou regulatória pelo controlador (artigo 11, inciso II, alínea “a”) ou o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral (artigo 11, inciso II, alínea “d”).

Em relação à primeira hipótese, ela se apoia no fato de que o segurador deverá ter acesso aos dados pessoais visando à análise do risco, que são relevantes à aceitação da proposta e na estipulação do valor do prêmio que será cobrado ao segurado ou estipulante. Dessa forma, ela tem como base os artigos 766, 769 e 770, todos do Código Civil, que tratam da declaração inicial do risco e revisão do prêmio com base no agravamento e diminuição do risco.

Além dos casos acima indicados, cabe destacar o tratamento dos dados pessoais sensíveis durante a regulação e liquidação do sinistro como meio de analisar a adequação do sinistro a uma das coberturas contratadas, e, também, de combater a fraude securitária.

Na mesma linha de raciocínio, tem-se a base legal trazida na segunda hipótese, apesar de ser uma das previsões abrangentes destacadas anteriormente. Nela, é preciso ter maior cuidado, pois haverá maior cobrança quanto ao cumprimento de três princípios que regem o tratamento de dados pessoais: finalidade, adequação e necessidade.

Assim, para o tratamento de dados pessoais sensíveis do segurado ou terceiro por parte do segurador, tomando como base as duas bases legais acima indicadas, terão de ser realizados com base em um propósito legítimo, específico, explícito (finalidade), de forma compatível com as finalidades informadas ao titular (adequação) e limitada ao mínimo necessário para a realização de suas finalidades (necessidade).

Dessa forma, conclui-se que, com o atendimento aos princípios da finalidade, adequação e necessidade, o segurador terá a chance de diminuir a ocorrência de propostas de seguro com dados incorretos, levando à melhor precificação do seguro, bem como evitando o pagamento de indenizações sem base contratual, mantendo a saúde financeira não só da própria companhia, mas também do fundo comum que ela é responsável por gerir.

Autor