Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli

ANSP - CAFÉ COM SEGURO

SEGURO DE RISCOS CIBERNÉTICOS

4 DE OUTUBRO DE 2016

CONSEQUENCIAS LEGAIS DOS RISCOS CIBÉRNETICOS

E REGULAÇÃO DE SINISTROS

Marcia Cicarelli

4 DE OUTUBRO DE 2016

www.demarest.com.br Todos os Direitos Reservados

AGENDA

Seguro de Riscos Cibernéticos;

Marco Civil da Internet e Legislação em aprovação;

O Dever de Informação no CDC;

Leis sobre Proteção de Dados no Mundo;

Considerações Finais.


O SEGURO DE RISCOS CIBERNÉTICOS

Coberturas:

Custos do Próprio Segurado para conter/mitigar

a Violação e seus prejuízos

RC por Prejuízos Causados a Terceiros pela

Violação de Dados



Responsabilidade Civil / Cyber Liability (‘Third Party’):

• Reparação de prejuízos de terceiros originados em: Violação de

Dados (Comerciais, Pessoais); Manipulação de Dados (Publicação

de Dados Confidenciais sem o Consentimento do Segurado);

• Custos de Defesa;

• Extensões para: Violação de Propriedade Intelectual; Conteúdos

de Mídia (Publicações em geral); Empresas de Assessoria em

Tecnologia; Danos Morais; Defesa Administrativa e Sanções

Administrativas.



Riscos “Operacionais” (‘First Party’):

• Custos de notificação e monitoramento da violação de dados

(assessoria em T.I.); Custos emergenciais;

• Demandas de Extorsão; Interrupção de Negócios do Segurado

(‘B.I.’); Adiantamento de Custos de Defesa; Gerenciamento de

Crise e Reestabelecimento de Imagem.


Q&AS - LEGISLAÇÃO

1. Qual a definição de ‘dados’?

2. Quem deve cumprir com a lei de proteção de dados?

3. Como é a responsabilização por perdas de dados?

4. Quais os danos decorrentes da perda de dados? Como quantifica-lo?

5. Há dever de notificação da perda de dados? Quem o fiscaliza?

6. Que sanções criminais/administrativas podem ser adotadas contra

aqueles que perdem dados?


PANORAMA LEGISLATIVO

Leis:

• 2014 - Lei 12.965 - Marco Civil da Internet

• 2016 - Dec. 8.771 - Regulamentador do Marco Civil da Internet

Projetos de Lei:

• 2012 - PL 281 do Senado - Estabelece Dever de Notificação

• 2012 - PL 4060 da Câmara - Projeto de Lei de Proteção de Dados

• 2014 - PL 181 do Senado - Projeto de Lei de Proteção de Dados


MARCO CIVIL DA INTERNET

Lei 12.965 de 23 de abril de 2014

Estabelece princípios, garantias, direitos e deveres para o uso da

internet no Brasil e fixa diretrizes para a regulamentação da

matéria.

• Proteção da Privacidade e de Dados Pessoais

• Responsabilidade dos Agentes

• Preservação da estabilidade, segurança e funcionalidade da rede

• Preservação e garantia da Neutralidade da Rede

• Liberdade de Expressão



Direito de Proteção de Dados Pessoais:

Art. 7º. É assegurado o direito:

I – inviolabilidade da intimidade e da vida privada, sua proteção e

indenização por dano material ou moral decorrente de sua

violação.

VI – não fornecimento a terceiros de seus dados pessoais, salvo

mediante consentimento livre e expresso.

VII – informações sobre uso, coleta, armazenamento, tratamento e

proteção de dados pessoais.

XII – aplicação do CDC.



Art. 12. Sanções previstas (sem prejuízo das demais sanções cíveis,

criminais ou administrativas):

• Advertência, com indicação de prazo para a adoção de medidas

corretivas;

• Multa de até 10% (dez por cento) do faturamento o grupo

econômico no Brasil no seu último exercício, excluídos os

tributos;

• Suspensão temporária das atividades

• Proibição das atividades

• Filais escritórios e sucursais de empresas estrangeiras respondem

solidariamente.


DECRETO REGULAMENTADOR

Decreto nº 8.771 de 11 de maio de 2016

Regulamenta o Marco Civil da Internet e estabelece:

• Hipóteses admitidas de discriminação de pacotes de dados

(exceções à neutralidade da rede);

• Procedimentos para guarda e proteção de dados por provedores

de conexão;

• Autoridades responsáveis pela fiscalização: ANATEL, PROCON e

CADE;

• Sanções administrativas estabelecidas em legislação especial:

multas impostas pela ANATEL limitadas a R$ 50milhões;


PROJETOS DE LEI

Projeto de Lei do Senado nº 281/2012 (Sen. José Sarney - PMDB)

Altera a Lei nº 8078/1990 (Código de Defesa do Consumidor) para

aperfeiçoar as disposições gerais do Capítulo I do Título I e dispor

sobre o comércio eletrônico.

Art. 44-A. Esta seção dispõe sobre normas gerais de proteção do

consumidor no comércio eletrônico e à distância, visando fortalecer

a sua confiança e assegurar a tutela efetiva, com a diminuição da

assimetria de informações, a preservação da segurança nas

transações, a proteção da autodeterminação e da privacidade dos

dados pessoais.


PROJETOS DE LEI

Projeto de Lei do Senado nº 281/2012 (Sen. José Sarney - PMDB)

Art. 44-C. É obrigação do fornecedor que utilizar o meio eletrônico

ou similar:

IV – dispor de meios de segurança adequados e eficazes;

VI - informar imediatamente às autoridades competentes e ao

consumidor sobre o vazamento de dados OU comprometimento,

mesmo que parcial, da segurança do sistema.


PROJETOS DE LEI

Projeto de Lei da Câmara nº 4060/2012 (Dep. Milton Monti - PR)

Dispõe sobre o tratamento de dados pessoais, e dá outras

providências.

Art. 1º. Esta lei tem por objetivo garantir e proteger, no âmbito do

tratamento de dados pessoais, a dignidade e os direitos

fundamentais da pessoa natural, particularmente em relação a sua

liberdade, privacidade, intimidade, honra e imagem.

Art. 2º. Toda pessoa tem direito à proteção de seus dados pessoais.

Art. 4º. A presente lei aplica-se aos tratamentos de dados pessoais

realizados em território nacional, por pessoa física ou jurídica, de

direito público ou privado, ainda que o correspondente banco de

dados, representado por arquivos, registros ou quaisquer outras

bases de processamento, esteja, permanente ou provisoriamente,

armazenado em território estrangeiro.


PROJETOS DE LEI


Art. 5º. A defesa dos interesses e direitos dos titulares de dados

poderá ser exercida em juízo individualmente ou a título coletivo,

(...).

Art. 7º. Para os fins da presente lei, entende-se como:

I - dado pessoal: qualquer informação que permita a identificação

exata e precisa de uma pessoa determinada;

II - tratamento de dados: toda operação ou conjunto de operações,

realizadas com ou sem o auxílio de meios automatizados, que

permita o armazenamento, ordenamento, conservação, atualização,

comparação, avaliação, organização, seleção, extração de dados

pessoais; [...]


PROJETOS DE LEI


Dispõe sobre o tratamento de dados pessoais, e dá outras

providências.

Art. 7º. Para os fins da presente lei, entende-se como:

IV - dados sensíveis: informações relativas à origem social e étnica,

à informação genética, à orientação sexual e às convicções políticas,

religiosas e filosóficas do titular; [...]

VII - bloqueio: suspensão temporária ou permanente de qualquer

operação de tratamento realizada sobre dados pessoais específicos

ou sobre a integralidade de um ou mais bancos de dados.


O DEVER DE INFORMAÇÃO NO CDC

Código de Defesa do Consumidor

Art. 6º São direitos básicos do consumidor:

III - a informação adequada e clara sobre os diferentes produtos e

serviços, com especificação correta de quantidade, características,

composição, qualidade, tributos incidentes e preço, bem como

sobre os riscos que apresentem; [...]


“DEVER POSITIVO DE INFORMAÇÃO”

Ementa do Superior Tribunal de Justiça

DIREITO DO CONSUMIDOR. ADMINISTRATIVO. NORMAS DE PROTEÇÃO

E DEFESA DO CONSUMIDOR. ORDEM PÚBLICA E INTERESSE SOCIAL.

PRINCÍPIO DA VULNERABILIDADE DO CONSUMIDOR. PRINCÍPIO

DA TRANSPARÊNCIA. PRINCÍPIO DA BOA-FÉ OBJETIVA. PRINCÍPIO DA

CONFIANÇA. OBRIGAÇÃO DE SEGURANÇA. DIREITO À INFORMAÇÃO.

DEVER POSITIVO DO FORNECEDOR DE INFORMAR, ADEQUADA E

CLARAMENTE, SOBRE RISCOS DE PRODUTOS E SERVIÇOS – Superior

Tribunal de Justiça - Resp. 586.316/MG – Rel. Herman Benjamin, j.

em 17.04.07)


DIREITO COMPARADO

Notificação de Quebra de Confidencialidade:

Reino Unido: 2011 - Privacy and Electronic Communications Regulation -

estabelece obrigatoriedade de notificação de consumidores e autoridades

em caso de quebra, sob multas de até GBP 500.000,00.

Alemanha: 2009 – Federal Data Protection Act – obrigatoriedade de

notificação de consumidores e autoridades.


DIREITO COMPARADO

Notificação de Quebra de Confidencialidade:

México: 2010 - Lei Federal de Proteção de Dados Pessoais :

Obrigatoriedade de notificação de quebra de confidencialidade;

Espanha, Itália e Portugal: Em geral, não há dever de notificação de

quebra de confidencialidade.


CONSIDERAÇÕES FINAIS

• Marco Civil da Internet como um bom começo para a proteção de

dados;

• Tendência: responsabilidade objetiva, responsabilização de empresas

locais e estrangeiras, CDC, danos morais e ações coletivas ;

• Necessidade de lei/normatização específica sobre proteção de dados

que estabeleça o dever de notificação aos consumidores/órgão

regulador.

• Necessidade de preparação das Cias. para subscrição de riscos e

regulação de sinistros;

• Especialização de corretores para aumentar a conscientização sobre

esse tipo de risco e do seguro como ferramenta de proteção, sem

perder de vista as limitações de coberturas.

Obrigada!

Marcia Cicarelli

[email protected]

mailto:[email protected]

Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli

Business

Transcript of Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli