Tâmara A. S. R. Macedo
Advogada formada pela Universidade Presbiteriana Mackenzie com pós-graduação em Direito Digital pela EPD. Atua como coordenadora jurídica da I4Pro Tecnologia
A transformação digital já é uma realidade de muitas empresas atuantes no mercado segurador. A procura por softwares que sejam compatíveis com a atuação das entidades supervisionadas e que atendam aos regulamentos da Superintendência de Seguros Privados (Susep) faz parte da nova cultura do setor.
Em 3 de agosto de 2021, a Susep publicou a Circular 638, que dispõe sobre as regras de segurança cibernética aplicáveis às supervisionadas. A regulamentação define os requisitos a serem exigidos dos prestadores de serviços classificados como relevantes de processamento e armazenamento de dados. A análise desta regulamentação deve ser feita em conjunto com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, a LGPD), podendo também ser afetada por normas a serem editadas pela Autoridade Nacional de Proteção de Dados (ANPD).
De acordo com o referido normativo, a política de segurança cibernética a ser implementada deve estabelecer parâmetros e diretrizes para a terceirização de serviços de processamento e armazenamentos de dados, em especial os serviços considerados relevantes para as entidades. O critério para a classificação desses serviços como relevantes é o processamento ou armazenamento de dados, incluindo de computação em nuvem, que envolva acesso ou manipulação de dados ou ainda que suportem atividades essenciais para a continuidade dos negócios da supervisionada.
Em ato contínuo, deverão as supervisionadas validar, junto aos prestadores de serviços, o atendimento das exigências do artigo 11 da Circular e, por fim, documentar essa atuação.
O rol de exigências do artigo 11 da Circular contém requisitos expressos, alguns específicos às supervisionadas, a saber: (i) cumprimento de disposições legais e regulamentares em vigor; (ii) disponibilização de informações e recursos para fins de monitoramento dos serviços; (iii) existência de processos e controles de segurança cibernética; (iv) utilização de controles físicos e/ou lógicos para segregação de dados; (v) notificação pelo prestador de serviços à supervisionada sobre a subcontratação de serviços relevantes; (vi) providências específicas em caso de término do Contrato; e, por fim, (vii) a facilitação à atuação da SUSEP.
Mas, todo e qualquer modelo operacional de software deve se adequar a essa Circular? A resposta é sim.
Hoje, a grande maioria das empresas de tecnologia apresentam softwares nos seguintes modelos de gestão: On-Premises e Software as a Service (SaaS). O On-Premise é aquele cuja instalação e execução do software é no servidor local, sendo de responsabilidade da supervisionada a administração da ferramenta. Já o modelo SaaS é aquele em que o fornecedor disponibiliza acesso a produtos e serviços através da internet e, como ele funciona na nuvem, a manutenção e administração da ferramenta contratada ficam a cargo do prestador de serviços.
Se a entidade supervisionada contrata um software On-Premise, ela é a responsável imediata para adequar as funcionalidades às práticas de governança e segurança da informação, especialmente no que diz respeito aos controles mitigatórios de risco cibernético. Caso o objeto da contratação seja SaaS, ficará à cargo do prestador de serviço que fornece o software mantê-lo adequado e em atendimento à política de segurança cibernética da entidade supervisionada e às regras apresentadas na Circular.
A Circular também é aplicável aos prestadores de serviços de computação em nuvem, cujo serviço tem finalidade exclusiva de armazenamento de dados. Podemos citar como exemplo empresas como Microsoft, Google e Amazon que provêm serviços como esses. A exceção a essa regra são os serviços de registro das operações das supervisionadas, pois estes são prestados por entidades registradoras credenciadas pela Susep.
E como documentar essa adequação? Por meio de instrumentos contratuais.
A Circular definiu como obrigação das supervisionadas a adequação dos contratos referentes a tais serviços, de modo que as exigências da regulamentação sejam expressamente replicadas nos documentos. A exceção à regra fica para os contratos de adesão, cuja cláusulas não são negociadas entre as partes.
O ideal é que as obrigações sobre o monitoramento dos serviços, atuação e controle de segurança cibernética, segregação de dados, responsabilidade sobre manutenção do banco de dados e concessão de acesso de consulta sejam definidas ao prestador de serviços de acordo o modelo operacional do software (On-Premise ou SaaS).
Outra pergunta pertinente é: Por que a adequação contratual é importante? Tal adequação contratual é necessária porque as supervisionadas precisarão informar à Susep a contratação de serviços relevantes de processamento e armazenamento de dados.
As definições da Circular da Susep estão em linha com a proteção a dados pessoais previstos na LGPD e com a política prevista na Resolução 4.658/2018 do Banco Central para as instituições financeiras e instituições de pagamento. Vale destacar que ambos os normativos definem princípios e diretrizes sobre segurança cibernética cujo objetivo é assegurar a confidencialidade, a integridade a disponibilidade dos dados e dos sistemas de informação utilizados e definem parâmetros de aplicação de acordo com o porte, perfil de risco e modelo de negócio das entidades supervisionadas.
Ainda, a Circular da Susep estipula que a referida política deve fazer parte do Sistema de Controles Internos e Estrutura de Gestão de Riscos de cada supervisionada, situação na qual as entidades deverão, complementarmente, observar:
Diante de tal regulamentação setorial é importante que a entidade supervisionada entre em contato com o seu prestador de serviços para avaliar a adequação de seus serviços e contratos às exigências da Circular, atentando-se às responsabilidades atribuídas a cada parte em razão dos modelos operacionais dos softwares contratados.
Toda e qualquer alteração contratual precisa estar alinhada com a política de segurança da informação, norma interna que compõe a organização de governança da informação de cada supervisionada. O papel principal desse alinhamento é minimizar as vulnerabilidades, sem, contudo, comprometer a inovação e a digitalização do mercado.
Finalmente, vale apenas ressaltar que a Circular também estabeleceu prazos diferentes para que as supervisionadas adequassem os contratos com seus fornecedores e/ou prestadores de serviços. Até o presente momento, a autarquia não se pronunciou sobre eventuais penalizações a serem aplicadas, caso os prazos da Circular não sejam atendidos. Mas há a expectativa de que o órgão fiscalizador possa publicar novas diretrizes sobre o tema ainda em 2023.