A Lei nº 13.709/2018, também conhecida por Lei Geral de Proteção de Dados (LGPD), que foi publicada em 15 de agosto de 2018, e entrará efetivamente em vigor em agosto de 2020, inovou ao criar um novo cargo de total relevância na gestão de dados, nominalmente denominado Encarregado, que deverá exercer obrigatoriamente a função de atuar como canal de comunicação com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD).
Ou seja, a função por Lei do Encarregado, ou mais comumente conhecido como Data Protection Officer (DPO), consiste em aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A identidade e as informações de contato do DPO deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Para esta função, da mais alta responsabilidade, criou-se no Brasil uma nova modalidade de seguro, tendo em vista os recorrentes incidentes cibernéticos ocorridos às empresas. Assim sendo, a contratação de uma apólice visa não só garantir ao segurado a recomposição das perdas sofridas em razão de um ataque, mas também prover a indenização pelas perdas causadas a terceiros.
Além disso, as seguradoras também poderão prover um serviço de resposta a incidentes cibernéticos, mediante o oferecimento de serviços jurídicos, regulatórios, investigação forense, recuperação e restauração de dados, relações públicas, comunicação de crise, notificação às autoridades e centro de atendimento, consulta de fraude, monitoramento de roubo de identidade e soluções de monitoramento de crédito, assessorando o DPO para enfrentar uma gestão de crise de ataque cibernético.
Essas apólices poderão estabelecer seguros para defender o DPO e as empresas em razão das seguintes ocorrências:
(i) Responsabilidade pela Privacidade – Cobertura de danos e despesas decorrentes de reclamações de terceiros por violação de privacidade.
(ii) Responsabilidade pela Segurança da Rede – Cobertura de danos e despesas decorrentes de reclamações de terceiros por falhas de segurança da rede.
(iii) Responsabilidade por Conteúdos Eletrônicos – Cobertura de danos e das despesas decorrentes de reclamações de terceiros acerca de conteúdos eletrônicos.
(iv) Ciberextorsão – Cobertura para danos e despesas por Ciberextorsão pagas pelo Segurado em razão de um evento de Ciberextorsão.
(v) Perdas de Ativos Digitais – Cobertura para despesas de recuperação em razão de um incidente de perda de ativos digitais.
(vi) Lucros Cessantes /Interrupção de Negócios – Cobertura para redução do lucro líquido que ocorra durante o período de indenização, resultante de um incidente de interrupção do negócio, e despesas de recuperação que surjam, decorrentes de um risco cibernético.
Por fim, é dever do DPO atuar com diligência e profissionalismo no tratamento dos dados pessoais e na gestão da segurança digital, evitando agir com negligência, imprudência ou imperícia pois, caso atue com infração aos seus deveres profissionais, poderá responder pessoalmente pelos danos causados a terceiros e à própria empresa, razão pela qual se faz prudente a contratação de uma apólice de seguros a fim de salvaguardar não só a corporação, como também a integridade profissional e patrimonial do próprio DPO.