Dados Pessoais e Seguro de Vida: Questões de Privacidade

A contratação de seguros de vida exige o compartilhamento de dados sensíveis, e a proteção dessas informações tornou-se um dos maiores desafios jurídicos do setor securitário brasileiro.

O Fluxo de Dados Pessoais na Contratação de Seguros de Vida

Quando uma pessoa decide contratar um seguro de vida, dificilmente imagina a quantidade de informações pessoais que serão coletadas, armazenadas e processadas ao longo de toda a relação contratual. Desde o preenchimento da proposta inicial até a eventual liquidação do sinistro, os dados do segurado percorrem um caminho extenso que envolve corretores, seguradoras, resseguradoras, laboratórios, hospitais e, em muitos casos, empresas de tecnologia terceirizadas. Compreendemos que esse fluxo, embora necessário para a avaliação do risco e a precificação adequada do prêmio, levanta questões profundas sobre os limites da coleta e do tratamento dessas informações.

Na fase de subscrição, as seguradoras solicitam dados cadastrais (nome, CPF, endereço, estado civil), dados financeiros (renda, patrimônio, movimentações bancárias) e, principalmente, dados de saúde (histórico médico, exames laboratoriais, condições preexistentes, hábitos como tabagismo e consumo de álcool). Esses dados de saúde são classificados pela Lei Geral de Proteção de Dados (LGPD) como dados pessoais sensíveis, categoria que recebe proteção jurídica reforçada justamente por seu potencial discriminatório. Observamos que muitas seguradoras ainda tratam essas informações com a mesma naturalidade com que tratavam antes da vigência da legislação de proteção de dados, o que representa um risco jurídico considerável.

Outro ponto que merece atenção é a prática de compartilhamento de dados entre empresas do mesmo grupo econômico. Não raro, informações fornecidas para a contratação de um seguro de vida acabam sendo utilizadas para a oferta de outros produtos financeiros, como previdência privada, consórcios ou empréstimos. Essa finalidade secundária, quando não informada de maneira clara ao titular, configura desvio de finalidade e pode ser questionada judicialmente. Analisamos que a transparência nesse aspecto ainda é deficiente na maioria das apólices comercializadas no mercado brasileiro.

Bases Legais e Limites do Tratamento de Dados Sensíveis

A LGPD estabelece que o tratamento de dados pessoais sensíveis somente pode ocorrer em hipóteses específicas, previstas em seu artigo 11. No contexto securitário, duas bases legais são frequentemente invocadas pelas seguradoras: o consentimento do titular e a necessidade para a execução do contrato. Entretanto, verificamos que a aplicação dessas bases legais nem sempre ocorre de forma adequada. O consentimento, para ser válido, precisa ser livre, informado, inequívoco e específico para cada finalidade de tratamento. Contratos de adesão com cláusulas genéricas de autorização para “tratamento de dados para todas as finalidades necessárias” dificilmente atendem a esses requisitos.

A questão se torna ainda mais complexa quando consideramos o papel da Superintendência de Seguros Privados (SUSEP) na regulação do setor. A SUSEP exige que as seguradoras mantenham registros detalhados sobre os riscos subscritos, o que naturalmente implica a retenção de dados pessoais e sensíveis por longos períodos. Identificamos aqui uma tensão entre a obrigação regulatória de manter informações e o princípio da necessidade previsto na LGPD, que determina que os dados devem ser tratados apenas pelo tempo estritamente necessário para atingir a finalidade para a qual foram coletados. A harmonização dessas exigências é um desafio que o mercado segurador ainda está aprendendo a enfrentar.

Também merece destaque a questão do perfilamento algorítmico (profiling). Seguradoras cada vez mais utilizam algoritmos e modelos estatísticos para avaliar riscos, calcular prêmios e até mesmo decidir sobre a aceitação ou recusa de propostas. Esses processos automatizados, quando baseados em dados sensíveis de saúde, podem resultar em discriminação indireta. A LGPD garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado, conforme seu artigo 20. Entendemos que esse direito é particularmente relevante no setor de seguros, onde a recusa de cobertura pode ter consequências graves para o segurado e sua família.

A questão do consentimento de menores e pessoas com deficiência intelectual também exige cuidado redobrado. Quando o seguro de vida é contratado em benefício de filhos menores ou de pessoas sob curatela, o tratamento de seus dados sensíveis deve observar o princípio do melhor interesse, previsto tanto na LGPD quanto no Estatuto da Criança e do Adolescente e no Estatuto da Pessoa com Deficiência. Verificamos que muitas seguradoras não possuem protocolos específicos para o tratamento de dados desses grupos vulneráveis.

A proteção dos dados pessoais no mercado de seguros não é apenas uma exigência legal, mas uma condição essencial para a manutenção da confiança que sustenta toda a relação securitária.

Due Diligence de Dados no Setor Securitário

O conceito de due diligence de dados ganha relevância crescente no mercado segurador. Trata-se de um processo sistemático de verificação e avaliação das práticas de tratamento de dados pessoais adotadas por uma organização, com o objetivo de identificar riscos, lacunas de conformidade e oportunidades de melhoria. No setor de seguros de vida, essa diligência deve abranger toda a cadeia de tratamento, desde a coleta inicial pelo corretor até o armazenamento nos sistemas da seguradora e o eventual compartilhamento com resseguradoras e prestadores de serviço.

Observamos que a due diligence de dados no setor securitário deve considerar aspectos específicos que não se aplicam a outros segmentos. Um deles é a verificação da adequação dos questionários de saúde utilizados na fase de subscrição. Esses questionários frequentemente solicitam informações que vão além do estritamente necessário para a avaliação do risco, como orientação sexual, histórico familiar de doenças ou uso de medicamentos controlados. A coleta excessiva de dados, além de violar o princípio da minimização previsto na LGPD, expõe a seguradora a riscos reputacionais e sancionatórios significativos.

Outro aspecto fundamental da due diligence é a avaliação dos contratos firmados com terceiros que acessam dados dos segurados. Laboratórios que realizam exames admissionais, empresas de telemedicina que conduzem entrevistas de saúde, plataformas digitais que armazenam documentos dos segurados: todos esses agentes devem ser considerados operadores de dados nos termos da LGPD e, como tal, devem estar vinculados por cláusulas contratuais que garantam o tratamento adequado das informações. Constatamos que muitos desses contratos ainda carecem de cláusulas específicas sobre proteção de dados, limitação de finalidade e procedimentos em caso de incidentes de segurança.

A retenção de dados após o encerramento do contrato de seguro é outro ponto crítico. Algumas seguradoras mantêm informações de saúde de ex-segurados por períodos indeterminados, sob o argumento de que podem ser necessárias em eventuais disputas judiciais. Embora a guarda para fins de defesa em processos judiciais seja uma hipótese legítima de retenção, ela deve ser proporcional e limitada aos prazos prescricionais aplicáveis. Avaliamos que a definição de uma política clara de retenção e descarte de dados é uma das medidas mais urgentes para o setor.

Incidentes de Segurança e Responsabilidade das Seguradoras

O vazamento de dados pessoais no setor de seguros de vida pode ter consequências particularmente graves. Diferentemente de dados cadastrais comuns, as informações de saúde coletadas pelas seguradoras podem revelar condições médicas que o titular prefere manter em sigilo, como doenças psiquiátricas, diagnósticos oncológicos ou condições genéticas. A exposição dessas informações pode causar danos morais significativos, além de potenciais prejuízos profissionais e sociais para o titular.

A LGPD estabelece que a Autoridade Nacional de Proteção de Dados (ANPD) deve ser comunicada sobre incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. No caso de dados de saúde, entendemos que praticamente qualquer incidente envolvendo essas informações atinge o patamar de relevância que exige a comunicação. Além da notificação à ANPD, a seguradora deve comunicar os titulares afetados de forma clara e tempestiva, indicando quais dados foram comprometidos, quais medidas estão sendo adotadas e quais providências o titular pode tomar para se proteger.

A responsabilidade civil das seguradoras por incidentes de segurança de dados é solidária com a de seus operadores (terceiros que tratam dados em seu nome), conforme dispõe a LGPD. Isso significa que a seguradora responde perante o titular mesmo quando o vazamento ocorre nos sistemas de um prestador de serviço contratado. Verificamos que essa responsabilidade solidária reforça a importância da due diligence na contratação de fornecedores e na elaboração de contratos que prevejam mecanismos de indenização regressiva.

As sanções aplicáveis pela ANPD incluem advertências, multas de até 2% do faturamento da empresa (limitadas a R$ 50 milhões por infração), bloqueio e eliminação dos dados tratados irregularmente. Para seguradoras que operam com grandes volumes de dados sensíveis, o impacto financeiro e reputacional de uma sanção administrativa pode ser devastador. Consideramos que o investimento em segurança da informação e em programas de governança de dados não é apenas uma obrigação legal, mas uma decisão estratégica de negócios.

Direitos dos Segurados e Mecanismos de Proteção

Os segurados possuem um conjunto amplo de direitos em relação aos seus dados pessoais, e é fundamental que conheçam e exerçam esses direitos. A LGPD garante ao titular o direito de acessar seus dados, solicitar correções, pedir a eliminação de informações desnecessárias, revogar o consentimento e obter informações sobre o compartilhamento de seus dados com terceiros. Analisamos que, na prática, muitas seguradoras ainda não possuem canais eficientes para o atendimento dessas solicitações, o que configura uma violação autônoma da legislação.

O direito à portabilidade dos dados merece atenção especial no contexto securitário. Quando um segurado decide migrar de uma seguradora para outra, tem o direito de solicitar a transferência de seus dados para a nova operadora, de forma estruturada e interoperável. Essa portabilidade pode facilitar significativamente o processo de contratação de um novo seguro, evitando que o segurado precise se submeter novamente a exames médicos e questionários de saúde extensos. Entendemos que a regulamentação detalhada desse direito pela ANPD, em conjunto com a SUSEP, é uma necessidade premente para o setor.

Para os segurados que se sentirem lesados em seus direitos de proteção de dados, existem diversos mecanismos de tutela disponíveis. Além da reclamação direta à ANPD, é possível buscar a reparação de danos por meio de ação judicial individual ou coletiva. O Ministério Público e os órgãos de defesa do consumidor (Procons) também possuem legitimidade para investigar e sancionar práticas abusivas de tratamento de dados. Recomendamos que os segurados documentem todas as interações com a seguradora relacionadas ao tratamento de seus dados, incluindo solicitações de acesso, pedidos de correção e eventuais recusas, pois essa documentação pode ser essencial em caso de litígio.

A nomeação de um Encarregado de Proteção de Dados (DPO) pela seguradora é obrigatória nos termos da LGPD. Esse profissional funciona como canal de comunicação entre a empresa, os titulares e a ANPD, sendo responsável por receber reclamações, prestar esclarecimentos e adotar providências. Verificamos que a identificação e os dados de contato do DPO devem estar disponíveis de forma clara e acessível no site da seguradora, facilitando o exercício dos direitos pelos segurados.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.