CQCS Insurtech & Inovação São Paulo, 1 e 2 de agosto de 2018

Transcrição

1 CQCS Insurtech & Inovação São Paulo, 1 e 2 de agosto de 2018 Desafios da aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) no mercado segurador da União Europeia (UE) José Figueiredo Almaça Presidente Autoridade de Supervisão de Seguros e Fundos de Pensões (Portugal)

2 AGENDA Desafios da aplicação do RGPD no mercado segurador da UE 1 A legislação de proteção de dados pessoais na Europa 2 3 Desafios para o setor segurador

3 Desafios da aplicação do RGPD no mercado segurador da UE 1 A legislação de proteção de dados pessoais na Europa 2 3 Desafios para o setor segurador

4 A legislação de proteção de dados pessoais na Europa Importância da proteção de dados pessoais A proteção de dados pessoais é um direito fundamental na União Europeia Em quase todas as atividades do dia-a-dia há tratamento de dados pessoais em relação aos quais há o risco de se perder o controlo Para que fins são utilizados os dados? A quem são transmitidos? Para que países são transferidos? Que direitos têm os titulares sobre os dados que disponibilizam? 4

5 [lista não exaustiva de instrumentos regulatórios europeus que abordam a proteção de dados] A legislação de proteção de dados pessoais na Europa A proteção de dados pessoais não é uma novidade na Europa Resolução (73) 22 do Conselho da Europa on the protection of the privacy of individuals vis-a-vis electronic data banks in the private sector Resolução 721 (1980) do Parlamento Europeu sobre data processing and the protection of human rights Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (revoga a Diretiva) (RGPD) Resolução (74) 29 do Conselho da Europa on the protection of the privacy of individuals visà-vis electronic data banks in the public sector Convenção 108 do Conselho da Europa on the protection of individuals with regard to the processing of personal data Carta dos Direitos Fundamentais da União Europeia Todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito (artigo 8.º) 25/05/2018 Aplicação do RGPD 5

6 A legislação de proteção de dados pessoais na Europa Diretiva (1995) vs. Regulamento (2016) algumas diferenças Diretiva 95/46/CE Requer transposição, i.e. adaptação ao quadro legislativo nacional leis diferentes em cada Estado-membro Heterorregulação efetuada por um terceiro elemento que se encontra acima dos agentes sujeitos à atividade regulatória Autorização prévia para determinados tratamentos Responsabilidade do RT Regulamento (UE) 2016/679 (RGPD) Aplicação imediata em todos os Estadosmembros maior convergência (embora haja opções nacionais) Autorregulação os regulados supervisionam o mercado onde se inserem Avaliação de impacto sobre a proteção de dados pessoais (DPIA) Responsabilidade do RT e do subcontratante - Alargamento do âmbito de algumas definições - Aumento da transparência, i.e. da informação transmitida aos titulares dos dados 6

7 A legislação de proteção de dados pessoais na Europa Por que é que é importante apresentar a nova regulamentação de dados na União Europeia para a América Latina? O RGPD aplica-se a todas as pessoas que estejam no espaço da União Europeia Mesmo os responsáveis pelo tratamento ou subcontratantes que se encontrem nos países da América Latina têm de tomar as medidas necessárias para proteger os dados pessoais daquelas pessoas O não cumprimento pode dar origem à aplicação de sanções ou à imposição de coimas, bem como pode acarretar riscos reputacionais 7

8 Desafios da aplicação do RGPD no mercado segurador da UE 1 A legislação de proteção de dados pessoais na Europa 2 3 Desafios para o setor segurador

9 Regulamento Geral sobre a Proteção de Dados (RGPD) O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho é o novo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE) Estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE Não se aplica ao tratamento de dados pessoais de pessoas falecidas ou de pessoas coletivas Não se aplica ao tratamento de dados por motivos exclusivamente pessoais ou no exercício de atividades domésticas, desde que não haja qualquer ligação com uma atividade profissional ou comercial 9

10 Regulamento Geral sobre a Proteção de Dados (RGPD) Principais objetivos do RGPD Permitir aos cidadãos um maior controlo dos seus dados Simplificar o ambiente regulatório A reforma da proteção de dados é um dos instrumentos necessários para o Mercado Único Digital (dentro da UE) Irá permitir aos cidadãos e negócios europeus beneficiar da economia digital 10

11 Definições Dados pessoais Informação relativa a uma pessoa singular identificada ou identificável titular dos dados; considera-se identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador: Nome Número de identificação Dados de localização (ex.: GPS, chamadas telefónicas) Identificadores por via eletrónica (ex.: IP address) Elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social 11

12 Definições Categorias especiais de dados ou dados sensíveis Dados pessoais que revelem: Origem racial ou étnica Opiniões políticas Convicções religiosas ou filosóficas Filiação sindical Dados genéticos Dados biométricos Dados relativos à saúde Dados relativos à vida sexual ou orientação sexual 12

13 Definições Tratamento Operação ou conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não automatizados, incluindo: Recolha Registo Organização Estruturação Conservação Adaptação ou alteração Recuperação Consulta Utilização Divulgação por transmissão, difusão ou qualquer outra forma de disponibilização Comparação ou interconexão Limitação Apagamento ou destruição 13

14 Definições Responsável pelo tratamento («controller» em inglês) Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais Subcontratante («processor» em inglês) pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes 14

15 Princípios Princípio da licitude, lealdade e transparência Os dados são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados Princípio da limitação das finalidades Os dados são recolhidos para finalidades determinadas, explícitas e legítimas e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades Princípio da minimização dos dados Os dados recolhidos são adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados Princípio da exatidão Os dados são exatos e atualizados sempre que necessário 15

16 Princípios Princípio da limitação da conservação Os dados são conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados Princípio da integridade e confidencialidade Os dados são tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas Princípio da responsabilidade O responsável pelo tratamento é responsável pelo cumprimento dos princípios anteriores e tem de poder comprová-lo 16

17 Bases de licitude Consentimento «Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento» Tem de haver prova de que foi dado consentimento Execução de um contrato ou diligências pré-contratuais Ex.: diligências pré-contratuais: pedido de simulação de prémio de seguro 17

18 Bases de licitude Cumprimento de uma obrigação legal Ex.: seguros obrigatórios Defesa de interesses vitais do titular dos dados Exercício de funções de interesse público ou autoridade pública Ex.: autoridades de supervisão Interesses legítimos do responsável pelo tratamento ou de terceiros 18

19 Direitos dos titulares dos dados Direito de informação Direito de acesso Direito à alteração ou retificação Direito ao apagamento («direito a ser esquecido») Direito à limitação do tratamento Direito à portabilidade Direito de oposição Direito a não ficar sujeito a decisões automatizadas O responsável pelo tratamento fornece ao titular as informações sobre as medidas tomadas no prazo de um mês a contar da data de receção do pedido 19

20 Data Protection Officer (DPO) É obrigatória a sua designação quando: O tratamento é efetuado por uma autoridade ou um organismo público As atividades principais consistem em operações de tratamento que exigem um controlo regular e sistemático dos titulares dos dados em grande escala As atividades principais consistem em operações de tratamento em grande escala de categorias especiais de dados (ex.: seguradoras Vida) Reporta diretamente ao mais alto nível da organização Desempenha as suas funções com independência Pode ser um elemento interno ou ser subcontratado 20

21 Coimas Coima = máx { EUR, 2 % do volume de negócios anual da empresa a nível mundial} em caso de incumprimento de: Algumas obrigações do responsável pelo tratamento e do subcontratante Obrigações do organismo de certificação Obrigações do organismo de supervisão 21

22 Coimas Coima = máx { EUR, 4 % do volume de negócios anual da empresa a nível mundial} em caso de incumprimento de: Princípios básicos do tratamento, incluindo as condições de consentimento Direitos dos titulares dos dados Disposições relativas à transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional Uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo 22

23 Principais tarefas a realizar Documentação e registo de atividades de tratamento Revisão de impressos de recolha de informação Revisão de políticas Política de privacidade Política de cookies Revisão de procedimento para garantir o exercício dos direitos dos titulares Revisão de contratos de subcontratação 23

24 Principais tarefas a realizar Adoção de medidas técnicas e organizativas adequadas que garantam a confidencialidade e a integridade dos dados Segurança Encriptação Anonimização Controlo de acessos Avaliação de impacto sobre a proteção de dados (DPIA) Deve ser efetuada quando haja um certo tipo de tratamento (ex. que utilize novas tecnologias) que é suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares 24

25 Notificação de uma violação de dados Em caso de violação de dados pessoais, o responsável pelo tratamento notifica a autoridade de controlo competente até 72 horas após ter tido conhecimento da mesma Exceto se a violação dos dados pessoais não for suscetível de resultar num risco para os direitos e liberdades das pessoas singulares É necessário desenhar procedimentos internos para lidar com violações de dados É necessário implementar sistemas que permitam a deteção, identificação e investigação de situações relacionadas com a violação de dados 25

26 Relação entre países da UE e países terceiros Transferência de dados pessoais para países terceiros ou organizações internacionais deve assegurar que não é comprometido o nível de proteção das pessoas singulares Transferências de dados com base numa decisão de adequação Transferências sujeitas a garantias adequadas As decisões judiciais e as decisões de autoridades administrativas de um país terceiro que exijam que o responsável pelo tratamento ou o subcontratante transfiram ou divulguem dados pessoais só são reconhecidas ou executadas se tiverem como base um acordo internacional 26

27 Relação entre países da UE e países terceiros Transferências de dados com base numa decisão de adequação Se a Comissão Europeia decidir que o país terceiro, o território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado A adequação é decidida após análise de vários fatores tais como: Acesso das autoridades públicas a dados pessoais Regras para transferências ulteriores Autoridades de controlo independentes 27

28 Relação entre países da UE e países terceiros Transferências sujeitas a garantias adequadas A transferência de dados pessoais para um país terceiro ou organização internacional só pode acontecer se: Tiverem sido apresentado garantias adequadas Os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes 28

29 Relação entre países da UE e países terceiros Transferências sujeitas a garantias adequadas Transferências sem necessidade de autorização da autoridade de controlo Instrumento juridicamente vinculativo entre autoridades ou organismos públicos Regras vinculativas aplicáveis às empresas (dentro de um grupo) Cláusulas-tipo de proteção de dados adotadas pela Comissão Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão Código de conduta aprovado Procedimento de certificação aprovado 29

30 Relação entre países da UE e países terceiros Transferências sujeitas a garantias adequadas Transferências que requerem autorização da autoridade de controlo Cláusulas contratuais para envio de dados a responsáveis pelo tratamento, subcontratantes ou destinatários dos dados pessoais no país terceiro ou organização internacional Disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos 30

31 Desafios da aplicação do RGPD no mercado segurador da UE 1 A legislação de proteção de dados pessoais na Europa 2 3 Desafios para o setor segurador

32 Desafios para o setor segurador O RGPD acarreta desafios para o setor segurador Os dados de saúde (dados sensíveis) constituem uma das matériasprimas de alguns seguros (ex.: Vida, Doença ou Acidentes Pessoais), mas o RGPD não previu o tratamento destes dados no contexto do setor segurador Solução A proibição de tratamento de categorias especiais de dados pessoais não é absoluta, havendo exceções, nomeadamente, na obtenção do consentimento por parte do titular dos dados Em Portugal a questão está a ser analisada a lei nacional de implementação do RGPD ainda não foi aprovada e estão a ser analisadas soluções de Direito comparado 32

33 Desafios para o setor segurador O RGPD acarreta desafios para o setor segurador O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis (ex.: telemática) Solução No caso dos modelos que envolvam inteligência artificial e machinelearning será necessário explicar aos titulares dos dados o funcionamento dos algoritmos subjacentes 33

34 Desafios para o setor segurador O RGPD acarreta desafios para o setor segurador Dependendo do modelo de negócio, pode ser necessária a aplicação do RGPD a alguns mediadores, caso estes sejam subcontratantes, ou seja, tratem os dados por conta do responsável pelo tratamento Solução Pode ser necessária a revisão dos contratos vigentes (inclusão de cláusulas de proteção de dados pessoais) 34

35 Desafios para o setor segurador O RGPD acarreta desafios para o setor segurador A gestão dos prazos de conservação pode acarretar alguns constrangimentos, por exemplo, no caso da prevenção de fraudes No setor segurador são necessárias longas séries de dados para efetuar análises históricas Solução O sistema criado pelo RGPD dispõe, naturalmente, de válvulas de escape em diversos dos seus aspetos mais restritivos, nomeadamente, e neste enquadramento, a pseudonimização (ex.: utilização de nomes fictícios) ou a anonimização 35

36 Desafios para o setor segurador mas também pode ser uma oportunidade! Desenhar e documentar processos Conhecer melhor a organização Tornar alguns processos mais eficientes Rever políticas e estratégias no que respeita à proteção de dados Maior transparência permite estabelecer uma relação de confiança Implementar medidas de cibersegurança Medidas de segurança física Medidas de segurança tecnológica 36

37 37