Não há registo de violações de dados pessoais nos seguros

A partir de 25 de Maio, com a entrada em vigor do regulamento geral de protecção de dados, vai ser obrigatório publicitar as quebras de segurança que afectem dados pessoais, o que vai aumentar os riscos reputacionais.
Não há registo de violações de dados pessoais nos seguros
Teresa Carvalho, directora jurídica & compliance officer da Liberty Seguros.
Filipe S. Fernandes 12 de abril de 2018 às 11:07
"Os dados mostram que mais de 25% das empresas em Portugal foram alvo de um ataque cibernético em 2016 mas apenas 14% teria adquirido um seguro para ciber-risco, a situação é de subseguro, cabendo às empresas fazer auto-seguros para os danos que irão resultar" refere Marco Perestrelo, chief technology officer da i2S.

Estes valores mostram que as empresas ainda não tinham a mesma preocupação em proteger os activos intangíveis como fazem com os tangíveis. Mas hoje há uma "crescente sensibilização das empresas para a frequência dos ataques pois são poucas as áreas de actividade onde não existe um risco de um ataque cibernético" admite Daniel Reis, sócio coordenador da equipa de telecomunicações, media e tecnologias de informação (TMT) da PLMJ.

Riscos reputacionais

Além disso, a partir de 25 de maio, com a entrada em vigor do regulamento geral de protecção de dados, "será obrigatório publicitar as quebras de segurança que afectem dados pessoais" refere Daniel Reis, o que vai expor qualquer empresa e aumentar sem dúvida os riscos reputacionais. "Num mundo em que os sistemas informáticos são essenciais para o desenvolvimento e continuidade dos negócios, o risco cibernético pode ser letal para uma empresa" acrescenta Teresa Carvalho, directora jurídica & compliance officer da Liberty Seguros. Também Jorge Lima, head of internal control, risk management & compliance na Generali, considera que "que as empresas que se destacarem pela negativa face a este novo paradigma podem estar sujeitas a danos graves à sua reputação".

A matéria-prima dos seguros são dados pessoais, uma vez que só estes caracterizam e identificam a esmagadora maioria dos riscos a segurar, é oportuno recordar que não há memória nem registo de violações de dados pessoais na actividade seguradora portuguesa. Teresa Carvalho
Directora jurídica & compliance officer da Liberty Seguros

O risco cibernético tornou-se uma das principais preocupações das empresas europeias porque a questão não é se vão sofrer um ataque cibernético, mas quando é que vai acontecer. "Os ataques são em grande parte automatizados, não se preocupam quanto à localização (Portugal ou outro) e há sempre uma forma de aproveitar uma quebra de segurança, seja pelas empresas alvo em si ou por poder lançar outros ataques a partir de activos alheios" diz Marco Perestrelo.

"A matéria-prima dos seguros são dados pessoais, uma vez que só estes caracterizam e identificam a esmagadora maioria dos riscos a segurar, é oportuno recordar que não há memória nem registo de violações de dados pessoais na actividade seguradora portuguesa" afirma Teresa Carvalho. O que pode ser coincidência ou proficiência das seguradoras no tratamento dos dados pessoais.

Big Data com limitações

A informação em geral e os dados pessoais em particular são as principais matérias-primas da nova economia. Mas a crescente protecção de dados pessoais pode ser combinada com a gestão de risco das seguradoras e até com o Big Data, embora se admitam que as novas regras possam gerar algumas limitações a desenvolvimentos e evoluções.

"As organizações vão ter de adoptar princípios de protecção dos dados "by design and by default", ou seja, a concepção de qualquer produto, serviço ou melhoria organizacional deve prever, desde o início, as medidas de protecção dos dados necessárias e garantir que a recolha de dados se adequa às finalidades, sem pedidos supérfluos ou ilegítimos" adverte Jorge Lima.

Como refere Teresa Carvalho, as técnicas actuariais desenvolvidas pelas seguradoras funcionam sem a necessidade de utilização de dados pessoais, e "a pseudonimização ou anonimização, que são procedimentos admitidos e recomendados no quadro normativo em vigor a partir de Maio, "permitem a continuidade de muito do que realmente interessa às seguradoras - análise de dados, seu comportamento e evolução".

Marco Perestrelo antecipa que "nos próximos anos é provável uma "inversão" da guarda de dados pessoais, passando para empresas externas e talvez o aparecimento de serviços baseados em "permissioned blockchain" que devolvem o controlo sobre dados pessoais e acesso por terceiros aos clientes finais, evitando que as empresas tenham que, de uma forma duplicada entre elas, guardar e gerir dados pessoais".