Cadernos de Seguro

Artigo

A PROTEÇÃO AO CONSUMIDOR E OS BANCOS DE DADOS

[B]As normas sobre a proteção de dados na Europa e no Brasil e sua relevância no mercado de seguros[/B]

[I]“A informação se tornou a grande matéria-prima da economia mundial. Assim como, em séculos passados, o ferro, a madeira e o carvão foram a base sobre a qual a economia se fundou, hoje esse papel é exercido pelo dado e pela informação” (C. Kuner, 2003).[/I]

No mercado de seguros, a situação não é diferente. Para analisar o risco, elaborar os cálculos atuariais e estabelecer prêmios de acordo com as características e extensão desse mesmo risco, seguradoras se valem, além das informações coletadas diretamente dos potenciais clientes, de bases de dados pessoais, internas ou externas, a fim de conseguir o máximo de informações possível a respeito dessas pessoas, uma vez que é só através do conhecimento de informações detalhadas a respeito de seus potenciais segurados que as seguradoras podem desenvolver adequadamente a sua atividade.
Em razão disso, as normas que tratam da proteção de dados são de igual relevância para a atividade securitária, uma vez que regulam a utilização desses mesmos dados pessoais, estabelecendo os parâmetros a serem observados, os limites e os direitos dos consumidores.
Os dois principais modelos de proteção de dados que têm inspirado os demais modelos adotados pelos diversos países são o norte-americano e o europeu. O modelo norte-americano de proteção de dados é mais orientado por valores como a liberdade, dando à privacidade um status quase proprietário, ao menos no que toca ao setor privado. Já o modelo europeu, ainda que inspirado em um relatório elaborado pelo departamento norte-americano de saúde, educação e bem-estar de 1973, tem como valor principal a dignidade humana, ou seja, a proteção do indivíduo é o valor mais importante.
Apesar de os Estados Unidos serem a maior economia do mundo e de normalmente os modelos regulatórios americanos prevalecerem, no caso da proteção de dados a história é diferente. O modelo europeu tem sido o mais exportado e isso por uma razão simples: a exigência de adequação do sistema de proteção de dados do país terceiro (fora da União Europeia) para o qual se pretenda transmitir dados pessoais. Trataremos desse assunto um pouco mais adiante, mas antes disso traremos aqui uma visão geral do arcabouço normativo europeu em matéria de proteção de dados.
A primeira norma internacional sobre o tratamento de dados pessoais no mundo é a Convenção nº 108, de 1981, do Conselho da Europa, organismo internacional que engloba, além dos 27 estados-membros da União Europeia, diversos outros países situados no continente europeu. Essa norma prevê uma série de princípios que se tornaram a base da esmagadora maioria das normas de proteção de dados adotadas no mundo.
A Convenção nº 108 foi também a base para a edição da Diretiva Europeia 95/46/CE, aplicável aos países membros da União Europeia e da Associação Europeia de Livre Comércio (EFTA) e que tem como foco o tratamento de dados pessoais pelo setor privado. Há que se destacar o fato de muitos países membros da UE terem estendido as normas de proteção de dados também ao setor público quando da implementação dessa diretiva.
Outra norma adotada pela União Europeia no tema da proteção de dados é o Regulamento 45/2001, que cuida do tratamento de dados pessoais pelas instituições e órgãos da Comunidade Europeia. Essa norma criou a Autoridade Europeia de Proteção de Dados, que funciona não só como um órgão regulador com relação à proteção de dados, mas também como consultoria técnica das instituições europeias que participam do processo de elaboração de leis: a Comissão, o Parlamento Europeu e o Conselho.
Existe ainda uma Diretiva, de número 2002/58/CE, que traz algumas especificidades para o tratamento de dados pessoais no setor de telecomunicações. A referida Diretiva 2002/58/CE sofreu algumas alterações por documento posterior, no que toca à retenção daqueles dados. Finalmente, há, ainda, a Decisão-Quadro do Conselho 2008/977/JAI (Justiça e Assuntos Internos), que regula o tratamento transfonteiriço de dados pessoais em tema de cooperação judicial e policial em matéria penal.
Não menos importante para a matéria que ora apreciamos é a Carta dos Direitos Fundamentais da União Europeia, que, com a recente entrada em vigor do tratado de Lisboa, em dezembro de 2009, passou a ter caráter normativo. A Carta traz pela primeira vez para o ordenamento europeu o entendimento da proteção de dados como um direito fundamental autônomo, diferente do direito à privacidade, também contemplado pela carta.
Mais especificamente quanto ao setor de seguros, a norma de maior relevância é a Diretiva 95/46, que será agora analisada. Essa diretiva traz alguns conceitos e regras importantes para o tratamento de dados, como os conceitos de dados pessoais e sensíveis, os princípios que regem o tratamento de dados – finalidade, proporcionalidade e informação – e os direitos dos titulares dos dados – consumidores – quanto ao acesso, retificação, bloqueio e exclusão.
Em seu artigo 25, a diretiva estabelece a regra da adequação, segundo a qual uma empresa situada em um país membro da União Europeia só pode transferir dados pessoais para um país fora do território da União se esse país terceiro garantir um nível de proteção de dados adequado segundo os padrões europeus. Caso contrário, cada transação de remessa de dados deverá ser coberta por um contrato que assegure um nível de proteção adequado garantido por cláusulas padrão aprovadas pela Comissão Europeia, o que encarece, em muito, o custo dessas operações de transferência de dados.
Em contrapartida, essa regra traz uma vantagem para os países que adotam normas de proteção de dados inspiradas no modelo europeu e consideradas adequadas pela Comissão Europeia, como é o caso da Argentina: essas localidades poderão se beneficiar da possibilidade de transmissão de dados pessoais sem maiores formalidades.
A Argentina, desde o reconhecimento pela Comissão Europeia da adequação de seu sistema de proteção de dados, tem obtido ganhos anuais da ordem de milhões de euros, com, por exemplo, a transferência de call centers de empresas espanholas para o seu território. Até mesmo companhias norte-americanas têm aderido a um programa criado através do acordo celebrado entre os Estados Unidos e a União Europeia, o safe-harbor, no qual se obrigam a observar uma série de regras ligadas à proteção de dados que não existem na legislação americana. A adesão serve justamente para permitir a possibilidade de receber dados pessoais vindos da UE sem a necessidade de celebrar contratos para cada transferência de dados pessoais.
No Brasil, apesar de a nossa constituição reconhecer o direito à privacidade como um direito fundamental, de possuirmos a ação constitucional do habeas data e de termos o direito à privacidade no rol de direitos da personalidade de nosso Código Civil, não temos ainda uma norma geral de proteção de dados.
A Lei Complementar nº 105/2001, que dispõe sobre o sigilo das operações de instituições financeiras, traz, em seu artigo 1º, §3º, algumas regras que também têm repercussão na proteção de dados pessoais, como a autorização de troca de informações entre instituições financeiras para fins cadastrais e o fornecimento de informações para o cadastro de emitentes de cheques sem provisão de fundos do Bacen, além da comunicação de informações relativas à prática de ilícitos penais e administrativos às autoridades competentes. Todas essas hipóteses, de acordo com a referida Lei Complementar, não representam violação do dever de sigilo.
Entretanto, a única norma que trata especificamente da proteção de dados é o Código de Proteção e Defesa do Consumidor. Em sua seção VI – Dos Bancos de Dados e Cadastros de Consumidores –, o CDC, através de seus artigos 43 e 44, regula a manutenção de bases de dados e cadastros de consumidores, com previsões de direitos contempladas em algumas das regras contidas na Diretiva Europeia 95/46/CE.
A primeira delas é a que confere ao consumidor o direito de acesso às “informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como as respectivas fontes”. Apesar de o CDC não conceituar o que se entende por dados pessoais, podemos inferir que se refira a toda e qualquer informação relacionada a um consumidor que esteja armazenada em algum dos repositórios de informação acima elencados, o que incluiria, por exemplo, as bases de dados do mercado de seguros. É importante frisar que o código não impõe limites ao exercício desse direito de acesso (art. 43, caput).
O CDC segue estabelecendo que os cadastros e dados de consumidores “devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão”, ou seja, as informações armazenadas não podem estar permeadas de subjetividade. Apenas informações objetivas que não deem possibilidade à interpretação subjetiva é que podem ser ali mantidas. O código, nesse mesmo dispositivo, determina que informações negativas não podem ser mantidas por mais de cinco anos, o que se refere a qualquer tipo de informação que impeça o consumidor, nesta qualidade, de realizar quaisquer atos.
Além disso, o CDC prevê o dever de comunicar por escrito ao consumidor a abertura de “cadastro, ficha, registro e dados pessoais e de consumo, quando não solicitada por ele” a fim de que ele possa verificar a exatidão das informações armazenadas e, quando for o caso, exercer seu direito de retificação, que é outro daqueles direitos dos titulares de dados reconhecido pela normativa europeia. Isso significa dizer que não existe uma obrigação de se obter o consentimento do consumidor para que um cadastro, registro ou ficha de informações relativas a ele seja criado, bastando que ele seja comunicado por escrito quando de tal abertura, para que possa exercer seus direitos de acesso e de retificação antes que essa informação seja colocada no domínio público.
O CDC, por fim, também prevê que uma vez consumada a prescrição relativa à cobrança de débitos do consumidor, não poderão ser fornecidas pelos Serviços de Proteção ao Crédito informações relativas a esse mesmo débito “que possam impedir ou dificultar novo acesso ao crédito”.
É verdade que à época de sua edição o Código de Proteção e Defesa do Consumidor foi inovador em termos de proteção de dados, uma vez que até então sequer existia a Diretiva Europeia 95/46/CE. Entretanto, 20 anos passados, em razão dos avanços da tecnologia da informação, que permite a coleta em massa de dados pessoais, e também da biomedicina, que propicia a extração de novos dados, como os genéticos, o tratamento proporcionado pelo CDC já não é mais suficiente para preservar o tão desejado equilíbrio entre a necessária circulação da informação e a proteção do indivíduo.
Prova disso é a elaboração, pelo Ministério da Justiça, de um anteprojeto de lei geral de proteção de dados pessoais, nos moldes do modelo europeu, conforme anunciado recentemente no seminário internacional “Desafios e Perspectivas para a Proteção de Dados no Brasil”, realizado em agosto de 2010, no Rio de Janeiro.
Este é um momento de extrema importância para o setor de seguros, que tem a informação pessoal como uma fundamental ferramenta para o exercício de sua atividade e que deve estar atento às prováveis mudanças no cenário nacional de proteção de dados, podendo, inclusive, se antecipar a essas questões e elaborar uma política específica para as peculiaridades do tratamento de dados na atividade securitária.

01/10/2010 02h27

Por Maria da Glória Faria e Mario Viola de Azevedo

Advogada, pós-graduada em Direito Empresarial pela Faculdade Candido Mendes e pós-graduada pelo IAG Master de Seguros da Pontifícia Universidade Católica (PUC) do Rio de Janeiro. Possui especialização em Direito Previdenciário pela UERJ, é conselheira titular do Conselho de Recursos do Sistema Nacional de Seguros Privados (CRSNSP), conselheira suplente do Conselho Administrativo de Recursos Fiscais (CARF) e superintendente jurídica da CNSeg. Advogado, mestre em Direito Civil e especialista em Direito do Consumidor pela Universidade do Estado do Rio de Janeiro. Especialista em Direito Privado pela Universidade Federal Fluminense e Master of Research in Comparative, European and International Laws e doutorando em Direito pelo Instituto Universitário Europeu. Funcionário licenciado da CNSeg e procurador licenciado do município de Saquarema no Estado do Rio de Janeiro.

Cadernos de Seguro - Uma Publicação da Escola Nacional de Seguros © 2004 - 2017. Todos os direitos reservados.