R EGULAMENTO G ERAL DE P ROTEÇÃO DE D ADOS

A implementação do novo regulamento demonstrou ser um desafio constante para a MDS.

Primeiramente, criou-se o Grupo de Trabalho Data Protection, constituído por cinco colaboradores da MDS, tanto da área jurídica como tecnológica, incluindo a Dr.ª Ana Cristina Borges, para assegurar a conformidade. Este Grupo de Trabalho trabalhou em parceria com uma equipa de consultores, (nomeadamente da MLGTS e da Delloitte), com o levantamento, avaliação e definição de um plano de ação para mitigar as atuais limitações face aos requisitos do RGPD, e adoção das medidas de transformação para assegurar a monitorização contínua associada à proteção de dados. Tornou-se obrigatória a consulta ao Grupo antes do desenvolvimento de projetos ou parcerias, tendo sido criado um endereço de e-mail específico para qualquer questão levantada pelos parceiros, fornecedores ou clientes. Tomou-se a atitude de autorregulação imposta pelo novo regulamento.

Adicionalmente, foram realizadas ações de formação “Data Protection” nesta matéria. Para um nível mais básico, foi feita para todos os colaboradores, de caráter obrigatório, sujeita a uma avaliação de conhecimentos, com os princípios gerais de proteção de dados. Para um nível intermédio, para colaboradores com envolvimento superior em matéria de dados pessoais, foi feita uma formação de aprofundamento dos procedimentos subjacentes ao RGPD. Para um nível avançado, para as equipas técnicas, houve uma formação de tratamento especializado de dados pessoais, como acessos aos sistemas, hardware, gestão de crises.

Outrossim, uma revisão do arquivo foi obrigatória. Todos os documentos com dados pessoais sem finalidades foram destruídos, tendo em conta o prazo de conservação admitido pelas seguradoras.

Foi também fundamental, em primeira instância, verificar quais os departamentos que tratam dados pessoais, para que se pudesse definir claramente as finalidades que englobam o tratamento de dados da empresa. Posteriormente, qual a sua base de licitude

e os prazos de conservação associados, de acordo com cada legislação em cada caso concreto.

Após estas análises, criou-se a nova “Política de Privacidade” 174 da empresa, que foi enviada por correspondência eletrónica para todos os clientes. Esta encontra-se enquadrada no corpo normativo para a proteção de dados pessoais da MDS, estabelecendo orientações para a adoção de padrões de segurança e definindo os tratamentos, finalidades, bases de licitude, direitos dos titulares e o período de conservação dos dados. Esta nova Política vai de encontro à Proteção, Confidencialidade, Privacidade e Disponibilidade dos dados pessoais. O mesmo aconteceu com a “Política de Cookies” 175, que teve a sua devida alteração por forma a proporcionar um acesso seguro, personalizado e eficiente aos utilizadores do website.

A implementação per si passou por várias etapas, dividindo-se em duas análises: (i) Clientes, (ii) Recursos Humanos, sendo que a última ainda está em curso. Primeiro, foi criado um framework com a análise/inventário de todos os tratamentos de dados na MDS, com a identificação das condições de tratamento e recursos ainda a implementar para alcançar um nível de conformidade total com as exigências conjeturadas no RGPD. Segundo, após identificação das áreas que carecem de melhoria, ou seja, das lacunas existentes em cada área, iniciou-se o processo de remediação, com as medidas organizativas transversalmente aplicadas a todos os tratamentos de dados pessoais da MDS, sejam clientes, colaboradores ou terceiros. Aqui, verifica-se o nível de desconformidade entre o que está a ser feito e as normas do RGPD, elaborando uma estratégia de conformidade e definindo um modelo jurídico, procedimental e tecnológico para a relação entre as diversas empresas do Grupo. Os normativos internos foram revistos e novas políticas foram elaboradas, com a revisão de todos os consentimentos existentes e contratos com subcontratantes, adaptando-os para o RGPD.

Sendo assim, chegou-se ao seguinte quadro final, relativa à implementação nos Clientes:

174 _{Vide MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de privacidade de} clientes [Em linha]. Porto : MDS Group, 2018a.

175 _{“Os cookies são ficheiros informáticos (software) de reduzida dimensão que são armazenados no} Dispositivo do utilizador, através do seu navegador de internet, por ocasião do acesso ao website.” Vide

MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de cookies [Em linha]. Porto : MDS Group, 2018b.

Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação Registo e Prova de Transações Comerciais e Informações Pré- contratuais 70, 71

Dados de gravação de chamadas; dados de identificação do tomador e pessoas seguras, lesados e beneficiários; dados

identificação do objeto seguro

Diligências pré- contratuais

No que respeita aos prazos do branqueamento de capitais, sugerimos que esta referência seja feita apenas na finalidade de cumprimento de obrigações legais, já que poderá causar confusão e levar a que os dados acabem por ser conservados para outros fins. Por outro lado, neste caso concreto, o prazo em causa apenas seria aplicável se fossem recolhidos os dados previstos na Lei n.º 83/2017, de 18 de agosto, durante a gravação de chamadas. Assim, e de acordo com a deliberação, os prazos seriam (i) 90 dias desde a gravação da chamada, como prazo geral, (ii) no caso de celebração de contratos à distância, o prazo de duração do contrato, admitindo-se a conservação até ao cumprimento de todas as obrigações emergentes do contrato.

Os 3 meses dizem respeito às gravações que impliquem transações comerciais. As gravações que impliquem transações de operações financeiras são 7 anos, mas as que sejam sem e com períodos de fidelização são 6 meses após o período de vigência do contrato*. No que diz respeito às gravações de chamadas são os tais 6 meses.

Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação

Acompanhamento da Gestão e Execução do

Contrato

64-71, 73

Dados de identificação do tomador, pessoas seguras, e beneficiários, dados

identificação do objeto seguro

Execução do contrato Duração contrato seguro

Deliberação n.º 7680/214 da CNPD e Código Comercial Art.º 40.º, Lei 83/2017 Art.º 51.º, Código IRC Art.º 123 Arquivo digital do contrato de seguro 10 Anos após cessão do Contrato. O prazo de retenção que se colocaria só e apenas, seria o da relação contratual acrescidos dos tais 6.

Prospeção comercial

70 e 71

Dados de identificação do titular, pessoas seguras e beneficiários; dados

identificação do objeto seguro.

Consentimento 1 ano

Marketing e Comunicação

70 e 71

Dados de identificação do titular, pessoas seguras, e beneficiários; dados

identificação do objeto seguro.

Interesses legítimos 1 anos após cessação do contrato/1 Ano (Worksites Particulares)

Art.º 51.º da Lei n.º 83/2017, de 18 de agosto, Art.º 40.º Código Comercial, Art.º123º Código IRC. Os 7 anos dizem respeito ao worksite para empresas e 1 ano para particulares.

Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação

Gestão de Reclamações/ Processos Judiciais

64-71, 73

Dados de identificação do tomador, pessoas seguras, lesados e beneficiários; dados de registo de sinistros no ramo vida; dados de registo

de sinistros no ramo saúde; dados de registo de sinistros no ramo acidentes

de trabalho; dados de registo de sinistros no ramo acidentes pessoais; dados de registo de sinistros no ramo

automóvel; dados de registo de sinistros noutros ramos; dados de saúde

e hábitos de vida

Interesses legítimos Duração do Litigio/Duração da reclamação

Melhoria Qualidade Serviço

70

Dados de identificação do tomador, pessoas seguras, lesados e beneficiários; dados de gravação de

chamadas.

Interesses legítimos 12 meses e 3 meses para gravação de chamadas

Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação

Cumprimento das Obrigações Legais

64 ao 73

Dados de identificação do tomador, pessoas seguras, beneficiários, dados

de cobrança

Cumprimento de obrigações legais

10 anos*, 7 Anos para o cumprimento de obrigações em matéria de prevenção do branqueamento de capitais e financiamento

do terrorismo.

Deliberação n.º 1039/2017 da CNPD, Solicitado autorização CNPD 23/10/2017

*Prazo: acresce sempre o seguinte prazo de segurança: - 1 mês (para questões de notificações e citações);

- até 2 meses (para questões técnicas relacionadas com a eliminação, quando não for possível implementar uma rotina automática de eliminação; havendo esta rotina, acresce apenas o prazo necessário inerente à mesma, que será necessariamente mais curto);

Para além dos dados pessoais tratados pela empresa mencionados no quadro acima, a MDS trata, da mesma forma, os casos em que os titulares sejam menores de idade. No entanto, as categorias especiais referidas, são apenas tratadas enquanto subcontratante, eliminando em seguida os dados pessoais dos titulares após remissão para a seguradora. Nos casos de dados sensíveis, com questionários de vida ou saúde, a MDS deverá reencaminhá-los para o segurador, eliminando-os do sistema interno da empresa.

Tendo em conta a Política de Privacidade, a MDS tem dois papéis distintos: responsável pelo tratamento e subcontratante.

Nos casos em que esta é responsável pelo tratamento, define as finalidades. Primeiramente a MDS trata de dados para a execução de um contrato/realização de diligências pré-contratuais: para registo e prova de transações comerciais e informações pré-contratuais (como pedidos de simulação de propostas de seguro), ou para acompanhamento da gestão e execução do contrato. Seguidamente, para o cumprimento de obrigações legais a que a MDS está sujeita, como obrigações de retenção, pagamento, efeitos fiscais ou pedidos de autoridades públicas (Autoridade de Supervisão de Seguros e Fundos de Pensões), ou em matéria de prevenção e combate ao branqueamento de capitais. Posteriormente, tanto para a satisfação de interesses da MDS como para a satisfação de interesses dos clientes: para a melhoria da qualidade do serviço (e.g. estudos de mercado), nos casos do marketing e comunicação, na gestão de reclamações, e para prospeção comercial. Dever-se-á assim garantir a atualização do registo de todas as atividades de tratamento de dados pessoais.

A MDS age como subcontratante das seguradoras, quando procede ao tratamento dos dados por conta de outra entidade, sendo que as finalidades serão assim definidas pelas mesmas. O seu tratamento prende-se com o acompanhamento da gestão do contrato de seguro em que o titular de dados faça parte e a gestão de sinistros. Nestes casos, deverá conservar um registo de todas as atividades de tratamento de dados pessoais realizados em nome do responsável pelo tratamento, sendo este serviço formalizado através de contrato176. Após a cessação do mesmo, tem de ser assegurado o apagamento de todos os dados. Os serviços prestados pelos subcontratados serão revistos de acordo com o risco

que estes comportam. Para (i) baixo risco, são revistos de três em três anos; (ii) médio risco, anualmente; (iii) alto risco, semestralmente; (iv) risco crítico, trimestralmente.

Relativamente ao DPO, a MDS não terá um encarregado próprio, sendo que irá partilhar os serviços com a SONAE.

Relativamente à DPIA, foram adotadas medidas relativamente ao seu processo:

Figura 6 - Processo DPIA177

A avaliação preliminar tem o objetivo de avaliar se as condições em que o tratamento ocorre, obrigam à realização da DPIA. A caracterização do tratamento avalia o contexto, determinando os impactos dos riscos para os titulares dos dados. O cumprimento normativo pretende analisar os controlos aplicados pela MDS para garantir a conformidade com o RGPD. O risco de segurança avalia o risco de proteção dos dados com as medidas utilizadas pela empresa, nomeadamente no setor TI. A validação é a fase final, com o objetivo de documentar o processo e efetuar consultas prévias à Autoridade de Controlo. Durante a sua execução, o responsável pelo tratamento deverá envolver uma equipa constituída pelo departamento legal da MDS, o gestor de risco cibernético, nomeadamente a equipa de TI, e a administração.

Aquando de um incidente de segurança de dados pessoais, o colaborador que o identifique deverá comunicar o email interno da MDS para o efeito, do Grupo de Trabalho, com a informação descritiva do acidente, com o tipo de violação de dados pessoais, a origem do incidente, a natureza dos dados e a extensão do incidente, no máximo em 72 horas. Estes incidentes podem ser divididos em três violações: violação de confidencialidade (divulgação/acesso a dados não autorizada/acidental), violação de disponibilidade (perda/destruição não autorizada/acidental), violação de integridade (alteração dos dados).

177 _{MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - N7 - avaliação de impacto.} [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2018, p. 5.

Após uma violação, segue abaixo algumas medidas técnicas, aprovadas pela MDS, no âmbito da subcontratação:

• A alteração de passwords em sistemas operativos e/ou aplicações impactadas pela violação de dados pessoais;

• A revogação e geração de novos certificados digitais178_;

• A formatação e reinstalação de sistemas e aplicações em equipamentos impactados;

• A recuperação de informação através de backups existentes para o último estado considerado válido;

Da mesma forma, é possível verificar um aumento na procura de seguros cibernéticos por parte das empresas a partir do momento da implementação do RGPD. Em 2018, a subscrição aumentou 60% em relação ao ano de 2017, muitos com a justificação da entrada em vigor do novo regulamento, tendo surgido após maio de 2018.

Os custos operacionais, tanto administrativos como financeiros, para a implementação do RGPD foram bastante elevados. Primeiramente, o Grupo de Trabalho, durante os primeiros meses de 2018 focou-se intensamente neste projeto, ocupando grande parte do seu tempo, com reuniões (internas e externas), com a contratação de uma equipa externa para o auxílio (MLGTS e Delloite). Os custos em honorários, até à data de entrega do presente relatório, foram de 15.470 EUR, apresentando um impacto elevado no balanço da empresa.

Para as mediadoras/corretores, como a MDS, o esforço é ainda maior, uma vez que estas são subcontratadas das seguradoras, tendo que adaptar o seu tratamento à política de privacidade das seguradoras. Não obstante todos estes desafios na implementação, a MDS conseguiu e tem vindo a conseguir cumprir com as disposições no RGPD.

178 _{“Os certificados digitais são ficheiros electrónicos autenticados com assinatura digital, que garantem a} identificação de pessoas, bem como a realização das transacções electrónicas com segurança.” Vide INSTITUTO DOS MERCADOS PÚBLICOS, DO IMOBILIÁRIO E DA CONSTRUÇÃO - O que são

C

O risco cibernético transporta um conjunto de riscos subjacentes com elevados impactos e custos para as empresas, que reclamam da falta de apoios ao nível orçamental (e.g. interrupção/continuidade do negócio, a responsabilidades para terceiros, uma falha provocada por sistemas de fornecedores, despesas para responder ao incidente, custos de extorsão, danos à reputação), riscos esses que podem condicionar de forma determinante as demonstrações financeiras da empresa e, em alguns casos, a sua própria subsistência.

Relativamente ao setor segurador, podemos verificar duas vertentes:

a. Risco a enfrentar – em que os três maiores riscos para o setor se prendem com a violação de dados, perda de integridade de dados e indisponibilidade dos serviços. Pelo volume substancial de dados que partilham, tanto internamente, como com terceiros (pela terciarização presenciada), torna este setor bastante atrativo para ataques;

b. Risco a segurar – este setor pode potenciar a gestão deste risco, através da criação/comercialização de seguros cibernéticos, sendo uma oportunidade de crescimento, com o aumento no volume de prémios e carteira.

Subjacente às alterações globais que todos presenciamos, a Quarta Revolução Industrial está a avançar a um ritmo fulminante, com alterações no modelo de produção, na organização empresarial, no marketing e na relação com os clientes, demonstrando uma vantagem competitiva nas empresas que o implementam.

As InsurTech’s adquirem uma importância ainda mais significativa, com maior eficiência na subscrição de seguros, processamento de sinistros e análise de risco (com o tratamento e análise de um número infinito de dados, registando-se uma melhoria nas avaliações e previsões), alterando o modus operandi das empresas deste setor, com um papel mais focalizado na consultoria/gestão de risco. Surgem novos produtos, com soluções para segurar os novos riscos, como veículos autónomos. No entanto, é importante reforçar o elevado risco operacional e sistémico que a IA e o “Big Data” podem trazer, devido à elevada terceirização do setor.

a. Ramo Vida – a questão do envelhecimento da população transporta para as seguradoras um aumento de despesas, com população cada vez mais idosa. No entanto, com as alterações na categoria biológica e genética, os idosos conseguem viver com maior independência, reduzindo os custos para as seguradoras;

b. Ramo Não Vida – a automatização das máquinas poderá levar a uma menor frequência de acidentes, com novos tipos de monitorização. No entanto, nasce o problema da responsabilização numa falha tecnológica com a utilização de algoritmos. Provavelmente dever-se-á responsabilizar o criador do algoritmo.

Surgiu assim o RGPD, fruto da necessidade sentida de adaptação dos regimes de proteção em vigor aos atuais desafios do risco cibernético. De uma forma geral, contribui para o progresso económico e social e potencia o mercado único europeu de dados, apoiando o livre fluxo de dados pessoais na UE, estimulando a concorrência entre os responsáveis pelo tratamento e a cooperação internacional, entre as autoridades de controlo e a Comissão.

Para as Empresas, é adotada uma atitude de autorregulação, com novas regras de

accountability, que acarretam valores e tempo despendido por parte dos colaboradores.

Da mesma forma, a notificação obrigatória em 72 horas pode aumentar a exposição mediática negativa, obrigando a deteção imediata por parte da organização. A criação do DPO, será um custo novo e tangível para a empresa, no entanto poderá ser considerado uma vantagem competitiva para quem o contrata, na medida que este facilita a conformidade. As transferências de dados também revelam ser um desafio, uma vez que a política de comércio internacional ainda não está totalmente em linha com o regulamento: países como Angola não dispõem deste tipo de mecanismos exigidos, por exemplo; no entanto, os custos e os prazos envolvidos são reduzidos.

As coimas adquirem aqui o novo papel e a importância primordial neste regulamento. Caso exista uma violação dos direitos dos titulares ou das obrigações do responsável pelo tratamento, existirão coimas até 20.000.000 EUR ou 4% do volume de negócios, sendo considerado o maior impacto trazido pelo RGPD.

Os custos de adaptação serão muito elevados, desde formações específicas, revisão dos arquivos, até à contratação de auditorias especializadas na implementação, com encargos administrativos bastante elevados. Com todos estes investimentos, é possível que os custos sejam repassados para os clientes, com o aumento dos preços dos bens e serviços, por forma a compensar a diminuição da capacidade financeira da empresa.

Relativamente ao setor segurador, os maiores desafios prendem-se com a definição das finalidades e do período de retenção dos dados.

Assim, foi relevante dividir em três análises, com os respetivos impactos inerentes:

a. Corretoras

i. Duplo consentimento – Com a prestação de consentimento às corretoras e seguradoras, terá de existir uma adaptação do papel das corretoras a esta nova realidade, que poderá passar pelo enfoque na consultoria e não tanto na intermediação. Existe um aumento de burocracias, com maior exigência de assinaturas/informação, sendo que os potenciais clientes poderão não consentir apenas por questões de inércia.

b. Seguradoras

i. Decréscimo na oferta – aquando do término do contrato, a finalidade extingue-se, ou seja, é necessário pedir novo consentimento. Muitas vezes, como já mencionado, por questão de inércia e por toda a burocracia subjacente, os clientes não a prestam, ficando sem proteção;

ii. Categorias especiais de dados – requerem o consentimento explícito por parte dos titulares, sendo que é necessário eliminar todos os dados cujas finalidades já estejam extintas. Existência de um enorme vazio legal para esta questão, sem precaver estas situações para o setor;

c. Corretoras e Seguradoras – Setor Segurador

i. Profiling – o processo de subscrição engloba o perfil sistemático e

automático, sendo que com o direito à sua oposição, as finalidades e bases de licitude terão que ser claramente definidas por forma a ser considerado ou para execução contratual ou para interesse legítimo. Para efeitos de

marketing direto, o profiling acarreta vantagens para as empresas, uma vez

que permite a criação de negócio com a melhoria da divulgação de bens e serviços. Sendo assim, os novos direitos de oposição ao profiling, poderão trazer desvantagens económicas para as empresas, sem a maximização dos benefícios que este tratamento acarretava;

ii. Portabilidade de dados – uma vez que as seguradoras/corretoras dispõem de bases/sistemas de dados diferentes, um para subscrição e outro para gestão de sinistros, será necessário adaptar modelos para tratar eficazmente estes pedidos;

iii. Aumento da procura dos seguros cibernéticos por forma a cobrir as