Legítimo interesse e mercado de seguros: tratamento de dados e prevenção à fraude
Autores
27 de julho de 2023, 8h00
O Código de Ética do Mercado Segurador Brasileiro define fraude em seguros como "qualquer ato intencional destinado ao recebimento de indenização ou benefício a que de outro modo não se teria direito, praticado na contratação ou no curso do evento, previsto no contrato, e mesmo após sua ocorrência" [1].
De acordo com relatório divulgado pela Confederação Nacional das Seguradoras (CNseg) referente ao primeiro semestre de 2021 [2], 15,6% dos sinistros registrados no país nesse período foram classificados como suspeitos, sendo certo que o valor das fraudes comprovadas também nesse período acumula aproximadamente o valor de 349 milhões de reais.
A partir dessa realidade fática, o mercado segurador tem lançado mão de diversos mecanismos para tentar coibir as múltiplas tentativas de fraude que afetam o setor diariamente. Nesse contexto, o compartilhamento entre as entidades e o tratamento de dados pessoais são recursos frequentemente utilizados, os quais podem ser utilizados no desenvolvimento de pesquisas com métodos tradicionais e modelagens estatísticas.
Apesar da anterior existência de normas setoriais sobre o tema que previam regras para o combate e prevenção à fraude no mercado segurador, a entrada em vigor da Lei Geral de Proteção de Dados acabou por trazer um arcabouço regulatório integral, estabelecendo parâmetros e requisitos que devem ser observados durante as atividades de tratamento de dados pessoais. Dentre os critérios estabelecidos na legislação, os agentes de tratamento só poderão tratar dados pessoais quando esse for autorizado pela LGPD, sendo certo que as hipóteses nas quais o tratamento pode ser realizado são chamadas de "bases legais".
Em momento anterior à identificação da base legal aplicável à determinada atividade, é preciso identificar a natureza dos dados pessoais que serão objeto do tratamento. Isso porque as bases legais para tratamento de dados pessoais não sensíveis estão previstas no artigo 7º da LGPD, enquanto aquelas utilizadas para o tratamento de dados sensíveis encontram-se no artigo 11 da Lei. Embora seja possível considerar a utilização de dados pessoais sensíveis para as iniciativas de prevenção à fraude, o presente artigo dedica-se à base legal do legítimo interesse, aplicável apenas ao tratamento de dados pessoais não sensíveis, já que incluir análise sobre dados sensíveis alongaria em muito este artigo, o que estaria fora do escopo desta coluna.
Usualmente, imagina-se que a hipótese autorizativa para o uso de dados pessoais mais recorrente seria o consentimento do titular. Nessa hipótese, o titular autorizaria que o agente utilizasse seus dados após ser informado da finalidade do tratamento [3]. Todavia, como se depreende da leitura do artigo 7º da LGPD, o consentimento não é a única hipótese autorizativa e não tem posição privilegiada em relação às demais. Além disso, em muitas situações, a obtenção do consentimento, nos moldes exigidos pela legislação aplicável, pode até mesmo se mostrar inadequada.
No contexto de prevenção à fraude, por exemplo, a base legal se mostra desalinhada com os próprios interesses dos agentes de tratamento, na medida em que dificilmente um titular mal-intencionado autorizaria o uso dos seus dados para apuração de suas tentativas de fraude. De fato, não se mostra razoável depender do consentimento do suposto agente responsável pelo cometimento da conduta fraudulenta para que pudesse ser dado início aos procedimentos de investigação ou mesmo para seu compartilhamento com outras entidades do mesmo setor.
Nessa direção, o Information Commissioner's Office do Reino Unido (ICO) afirma que "Normalmente, você pode compartilhar sem consentimento se tiver um bom motivo para fazê-lo. E muitas vezes é inapropriado confiar no consentimento. Os bancos compartilham dados para fins de proteção contra fraudes, as seguradoras solicitam informações para sinistros e as autoridades locais precisam de dados pessoais para processar contas de impostos municipais — nenhum desses exemplos usa o consentimento como base legal para compartilhar informações pessoais" [4].
Na mesma linha, a Agência Espanhola de Proteção de Dados (Agencia Española de Protección de Datos) reconheceu a possibilidade de "criação de sistema de prevenção de fraude, de caráter setorial ou, eventualmente, multisetorial, em que as entidades pertencentes a um mesmo setor podem acessar determinadas operações que possam ser consideradas suspeitas, com a finalidade de poder efetuar uma avaliação mais detalhada sobre elas" [5].
Considerando o contexto das atividades de prevenção à fraude realizadas pelas seguradoras, assim, como a experiência europeia que inspirou a nossa LGPD, entendemos que a base legal melhor aplicável ao tratamento dos dados em questão é aquela prevista no inciso IX do artigo 7º da LGPD: "quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais". Trata-se de base legal positivada justamente para dar cabo de situações em que a busca pelo consentimento do titular poderia se transformar em óbice intransponível para a exploração regular de dados pessoais que, atendendo aos princípios legais, favorecem o seu titular e atendem aos interesses (legítimos) do controlador ou de terceiros, ou mesmo ao interesse público, como é o caso do enfrentamento de práticas ilícitas [6].
O desafio, contudo, é não transformar os "interesses legítimos" em uma cláusula vazia de conteúdo, que passaria a autorizar toda e qualquer operação de tratamento, sem o devido cuidado em se analisar o cumprimento dos princípios e o atendimento dos direitos previstos na LGPD. Sobre o tema, pertinente apontar que "diante da flexibilidade dessa base legal, as expectativas do titular dos dados têm peso especialmente relevante para sua aplicação, devendo ser consideradas também a finalidade, a necessidade e a proporcionalidade da utilização dos dados. Quanto mais invasivo, inesperado ou genérico for o tratamento, menor será a probabilidade de que seja reconhecido o legítimo interesse" [7].
Apesar da ainda recente entrada em vigor da LGPD e da ausência de manifestação da Autoridade Nacional de Proteção de Dados sobre o tema, é possível, com base nos parâmetros estabelecidos pela própria LGPD e na experiência internacional, desenhar limites interpretativos ao conceito de "interesses legítimos" do controlador e oferecer uma metodologia para a sua aplicação. Na Europa, o tema ganhou destaque com o General Data Protection Regulation (GDPR). Para guiar o intérprete e facilitar a aplicação desse requisito em bases mais consistentes, o Grupo de Trabalho do Artigo 29 [8] preparou um parecer sobre a noção de interesses legítimos do controlador [9].
O parecer do Grupo de Trabalho não apenas serviu para moldar o texto da GDPR, como também tornou conhecida a aplicação de um teste para avaliar se, no caso concreto, o controlador poderia se valer do requisito dos interesses legítimos para tratar dados pessoais. Em breve síntese, o legitimate interest assessment (LIA) previsto no documento do grupo apresenta quatro fases [10] que devem ser cumpridas. As fases são: 1) avaliação dos interesses legítimos; 2) avaliação dos impactos da atividade de tratamento no titular do dado pessoal; 3) a análise do equilíbrio entre os interesses legítimos do controlador e os impactos no titular; e 4) as salvaguardas adotadas para proteger o titular dos dados e evitar qualquer impacto indesejado.
No Brasil, a LGPD também estabelece parâmetros para a aplicação dos interesses legítimos: o artigo 10 da LGPD impõe algumas restrições à utilização da base legal, apontando para a necessidade de sua fundamentação em finalidades legítimas e sempre com base em situações concretas, sendo vedada a afirmação desse requisito de tratamento em bases meramente abstratas ou especulativas. Em tom exemplificativo, são apresentadas duas finalidades legítimas: 1) apoio e promoção de atividades do controlador; e 2) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas e os direitos e liberdades fundamentais dos titulares.
Assim, no âmbito de utilização de dados pessoais não sensíveis para atividades de prevenção à fraude, portanto, os requisitos exigidos pela LGPD para incidência da base legal de legítimo interesse parecem satisfeitos [11]. Com efeito, as seguradoras tratam os dados para preservar os seus legítimos, auxiliando na prevenção e combate a fraudes, em uma equação de adequada proporcionalidade entre os interesses do controlador e do titular. Verifica-se, ainda, a ocorrência de uma das finalidades descritas no artigo 10 da LGPD, uma vez que o tratamento aconteceria para apoiar e promover as atividades legítimas das seguradoras [12].
No mencionado parecer sobre a base legal de legítimo interesse, o Grupo de Trabalho do Artigo 29 apresenta uma lista, não exaustiva, das situações nas quais o interesse legítimo pode funcionar como uma base autorizativa do tratamento de dados sem o consentimento do titular, que inclui, dentre outras, a "prevenção da fraude, utilização abusiva de serviços ou branqueamento de capitais" [13], posição confirmada pelo Regulamento Geral de Proteção de Dados da União Europeia, que, em seu considerando 47 ressalta que "o tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento".
Além disso, os benefícios são também de interesse direto dos titulares dos dados pessoais, já que garantem um maior controle sobre potenciais operações fraudulentas, impactando positivamente no custo dos planos de seguro e ultimamente em toda a sociedade, já que a fraude contra o seguro é um ilícito penal. O Grupo de Trabalho do Artigo 29 destaca que, além de identificar um interesse legítimo do controlador na prevenção e combate à fraude, o que por si só já autorizaria o tratamento de dados sem o consentimento do seu titular, reconhece a existência de um interesse público em tal tratamento de dados, na medida em que "os contribuintes e o público em geral têm igualmente um interesse legítimo em assegurar que as atividades fraudulentas, quando ocorram, sejam desencorajadas" [14].
Vê-se, portanto, que tanto o tratamento de dados pessoais (não sensíveis nesse caso) realizados por uma sociedade seguradora para o fim de prevenção e combate à fraude, assim como o compartilhamento de tais dados entre as entidades integrantes desse setor para as mesmas finalidades, podem e devem ocorrer com base no legítimo interesse, o que é respaldado tanto pela já consolidada experiência europeia no tema da proteção de dados, quanto pela doutrina nacional, sendo certo que o efetivo combate à fraude contra o seguro depende também da uma cooperação entre diversos atores do mercado e exigir-se a utilização do consentimento como base legal acabaria por prejudicar o enfrentamento dessa prática criminosa que tanto impacta a atividade securitária e por consequência toda a sociedade.
[1] Disponível em: < https://cnseg.org.br/publicacoes/codigo-de-etica.html>.
[2] Disponível em: < https://cnseg.org.br/publicacoes/19-ciclo-do-sqf-relatorio-do-1-semestre-de-2021.html>.
[3] Essa parece ter sido a opção feita na Resolução nº 6, de 23 de maio de 2023 do Banco Central do Brasil e do Conselho Monetário Nacional, conforme se extrai do §3º de seu artigo 2º: "§3º As instituições de que trata o caput devem obter do cliente com quem possuam relacionamento o consentimento prévio e geral, possibilitando o registro dos dados e das informações de que trata o §2º que digam respeito ao referido cliente". Entendemos, contudo, que essa não seria a base legal adequada para o tratamento de dados com finalidade de prevenção e combate à fraude, o que tentaremos demonstrar neste artigo.
[4] ICO. Data sharing myths busted. Disponível em: <https://ico.org.uk/for-organisations/data-sharing-information-hub/data-sharing-myths-busted/> (tradução livre dos autores).
[5] AEPD. Gabinete Jurídico. Informe 0195/2017. Disponível em: https://www.aepd.es/es/documento/2017-0195.pdf (tradução livre dos autores). Existem, de fato, diversas iniciativas nos países que integram a União Europeia envolvendo atores do mercado de seguros com vistas ao enfrentamento de práticas fraudulentas. Ver, a título de exemplo, European Insurance and Occupational Pensions Authority. OPEN INSURANCE: ACCESSING AND SHARING INSURANCE-RELATED DATA DISCUSSION PAPER. Disponível em: <https://www.eiopa.europa.eu/sites/default/files/publications/consultations/open-insurance-discussion-paper-28-01-2021.pdf>, p. 17-18.
[6] A fraude para recebimento de indenização ou valor de seguro está tipificada no inciso V do §2º do artigo 171 do Código Penal.
[7] VIOLA, Mario e TEFFÉ, Chiara Spadaccini. Tratamento de Dados Pessoais na LGPD: Estudo Sobre as Bases Legais dos Artigos 7º e 11 (p. 117-148), In Tratado de Proteção de Dados Pessoais. Coordenadores Laura Schertel Mendes, Danilo Doneda, Ingo Wolfgang Sarlet e Otávio Luiz Rodrigues Jr. Rio de Janeiro: Forense.
[8] O Grupo de Trabalho do Artigo 29 foi um colegiado, criado pela própria Diretiva nº 95/46/EC, que reuniu todas as autoridades de proteção de dados pessoais dos países-membros da União Europeia para a produção de recomendações sobre como aplicar os dispositivos da Diretiva. No texto da GDPR (artigo 68 e ss.) o colegiado foi transformado no European Data Protection Board.
[9] Article 29 Working Party. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC (adotada em 90.04.2014). Disponível em: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf
[10] Outras versões do teste, como aquela proposta pelo Information Commissioner's Office (ICO), do Reino Unido, possui apenas três fases. Vide: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/
[11] No mesmo sentido ver TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais. civilistica.com, v. 9, n. 1, p. 15.
[12] Para uma análise mais aprofundada da base legal do interesse legítimo, vide PEREIRA DE SOUZA, Carlos Affonso; VIOLA, Mario; PADRÃO, Vinícius. (2019). CONSIDERAÇÕES INICIAIS SOBRE OS INTERESSES LEGÍTIMOS DO CONTROLADOR NA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. Direito Público, 16(90). Disponível em: <https://www.portaldeperiodicos.idp.edu.br/direitopublico/article/view/3744>.
[13] Article 29 Working Party. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC. Op. cit. P. 39.
[14] Ibid. P. 54-55.
Encontrou um erro? Avise nossa equipe!