Lei Geral de Proteção de Dados Pessoais - LGPD...©2019 Deloitte Touche Tohmatsu. Todos os...
Transcript of Lei Geral de Proteção de Dados Pessoais - LGPD...©2019 Deloitte Touche Tohmatsu. Todos os...
2019
Lei Geral de Proteção de Dados Pessoais - LGPD Enrico De Vettori - Partner, Life Sciences & Healthcare - Deloitte Brazil
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 2
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 3
A comunicação e as informações sempre estiveram presentes e em constante evolução, independente dos meios
<3500 AC
3000 AC
1400 AC
100 DC
1944 DC
1981 DC
1973 DC
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 4
Desta forma, entra em pauta a Lei Geral de Proteção de Dados Pessoais (LGPD), buscando proteger os direitos de liberdade e privacidade das pessoas
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
Lei sobre a tipificação de crimes cibernéticos;
PL sobre o tratamento de dados pessoais.
Consulta pública pelo Ministério da
Justiça
Fonte: SERPRO, 2019
Lei de acesso à informação – LAI;
PL das diretrizes para uso da internet.
PL sobre o tratamento e uso de dados pessoais.
Entra em vigor o Marco Civil da Internet.
Aprovado pelo CCT a PL sobre o tratamento e uso
de dados pessoais.
Aprovada a GDPR na Europa;
Nova consulta pública do MJ, que resulta na PL
nº5.276.
Tramitação no Congresso de dois
projetos de lei: Nº5.276/16 e Nº330/13.
Escândalo “Facebook Cambridge – Analytica”;
Entra em vigor a GDPR na Europa;
Sancionada a LGPD
]
Aprovada ANPD;
Em discussão a PEC nº17.
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 5
A LGPD (Lei Nº 13.709) dispõe sobre o tratamento e a proteção de dados pessoais, protegendo os direitos fundamentais das pessoas
“Ao colher o dado de usuários, todo e qualquer estabelecimento deve ponderar se há a necessidade de solicitação daquela informação para viabilizar a oferta do produto ou serviços aos usuários.”
Lei Geral de Proteção de Dados
LGPD
A LGPD, de um modo simplificado, exige que o controlador solicite consentimento do titular do dado para poder tratá-lo, informando, inclusive a destinação que será dada.”
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 6
A LGPD (Lei Nº 13.709) dispõe sobre o tratamento e a proteção de dados pessoais, protegendo o direitos fundamentais das pessoas
Esta lei foi promulgada em 14 de agosto de 2018 após mais de 8 anos de debates.
Entrada em vigor das principais disposições dar-se-á em 16 de agosto de 2020.
Os dados deverão ter imediata exclusão após atingida a finalidade pela qual eles foram coletados.
É baseada no General Data Protection Regulation (GDPR), regulamento de proteção de dados da União Européia.
Lei Geral de Proteção de Dados
LGPD
Os dados deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos titulares
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 7
Com a finalidade de nortear a comunicação e o tratamento de dados pessoais, a LGPD apresenta dez princípios fundamentais que devem ser considerados por todos que manipulam dados
Finalidade Necessidade Qualidade de dados
Segurança Não discriminação
Adequação Livre acesso Transparência
Responsabilização e prestação de
contas Prevenção
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 8
É importante considerar alguns conceitos utilizados pela LGPD, como: dados pessoais, dados pessoais sensíveis, dados anonimizados, controlador e operador
Dado Pessoal Informação relacionada a pessoa natural identificada ou identificável
Dado Pessoal Sensível Dado pessoal sobre origem racial, étnica, religião, política, filiação a sindicato, filosófico ou político, dado referente à saúde, à vida sexual, dado genético, biométrico, vinculados a uma pessoa natural
Dado Pessoal Anonimizado Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento
Titular Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
Controlador Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É um agente de tratamento.
Operador Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. É um agente de tratamento.
Tratamento Toda operação realizada com dados pessoais, exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, dentre outras.
Uso compartilhado Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos públicos ou entre esses e entes privados.
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 9
Assim, a LGPD tem aplicação a qualquer pessoa, seja natural ou jurídica de direito público ou privado que realize o tratamento de dados pessoais, online e/ou off-line
Qualquer operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do
meio, do país de sua sede ou do país onde estejam os dados.
Desde que a operação de tratamento seja realizada no território nacional.
Desde que os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Desde que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de
indivíduos localizados no território nacional
Aplicabilidade
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 10
Realizado para fins exclusivos de segurança pública, defesa nacional, segurança do estado ou atividades de investigação e
repressão de infrações penais
Realizado exclusivamente para fins jornalísticos, artísticos ou acadêmicos.
Tratamento de dados realizados por pessoa natural para fins
exclusivamente particulares e não econômicos.
Porém, há particularidades de tratamento de dados pessoais em que a LGPD não se aplica
Dados provenientes de fora do território nacional e que não sejam
objeto de comunicação desde que o país de proveniência proporcione grau de proteção
de dados pessoais adequado.
Não se aplica
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 11
Há também particularidades de atuação para entidades específicas da área da saúde, as quais manejam dados pessoais sensíveis
Particularidades da área da
saúde
É vedada a comunicação com objetivo de obter
vantagem econômica.
Permitida a comunicação somente
para a prestação de serviços de
saúde.
É vedado às operadoras de saúde a
utilização dos dados para a seleção de
riscos nas contratações.
Para estudos em saúde pública, os órgãos de
pesquisa poderão ter acesso a bases de dados
pessoais.
A divulgação dos resultados não
poderá revelar dados pessoais.
O acesso aos dados é regulamentado
pelas autoridades nacionais e da área de
saúde e sanitária.
É vedado às operadoras de saúde a utilização dos
dados para a contratação e exclusão de
beneficiários.
Dados utilizados para as pesquisas
serão tratados exclusivamente
dentro do órgão de pesquisa.
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 12
Em caso de infrações às normas dispostas na LGPD, os agentes de tratamento de dados estão sujeitos à sansões administrativas
Advertência solicitando adequação
Multa simples de até 2% do faturamento,
limitada a R$50MM por infração.
Multa diária Publicação da infração após
apurada e confirmada a ocorrência.
Bloqueio dos dados pessoais da infração até a regularização.
Eliminação dos dados pessoais da
infração.
Sanções administrativas aplicáveis pela autoridade nacional
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 13
Os vazamentos de informações e as ações de hackers são mais frequentes do que imaginamos
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 14
Tim Cook (CEO da Apple)
De modo geral, todas as medidas devem ser tomadas com a finalidade de proteger os dados pessoais que circulam na sociedade
“Ataque de San Bernardino”
“Não compactuo com a ideia de colocar uma backdoor nos sistemas da Apple para que governos e/ou agências de
inteligência tenham acesso aos dados de usuários pois, uma vez que a brecha
esteja lá, ela poderia ser utilizada tanto
para o “bem” quanto para o “mal”.
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 15
Quando ataques e vazamentos de dados ocorrem, estes acarretam em diversos impactos, inclusive de custos, sendo que apenas 5% destes são analisados para a tomada de decisão e os outros 95% não são trabalhados
Fonte: Deloitte - Beneath the surface of a cyberattack - A deeper look at business impacts
Investigação Técnica
Notificação de violação ao cliente
Proteção ao cliente pós-violação Relações públicas
Melhorias na segurança cibernética
Aumento do prêmio do seguro Perda de propriedade intelectual
Aumento de custo para redução da dívida
Desvalorização do nome comercial
Impacto da destruição operacional Valor de receita de contrato perdido
Conformidade regulatória
Honorários jurídicos e litígios
Perda de valor no relacionamento com o cliente
Custos tangíveis
Custos intangíveis
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 16
Todos os impactos dos vazamentos de dados podem ser percebidos durante o ciclo de resposta de um incidente, sendo este dividido em três fases:
Triagem
Período: dias e semanas
Fase reacionária.
Ações a curto prazo:
• Comunicação com terceiros/clientes;
• Estratégia para continuidade das operações;
• Análise do acontecimento;
• Próximos passos para evitar novos incidentes;
• Remediação de emergência dos controles de segurança.
Gerenciamento do impacto
Período: semanas e meses
Fase de redução de impacto.
Ações a médio prazo:
• Estabelecer infraestrutura interna;
• Ajustar fluxos de trabalho;
• Reduzir danos aos stakeholders;
• Realizar auditoria;
• Entender os problemas;
• Responder as questões legais.
Recuperação do negócio
Período: meses e anos
Fase de remediação.
Ações a longo prazo:
• Reconstrução do modelo de negócio, dos sistemas, aplicações e outros ativos;
• Estratégia para reconstrução da reputação da empresa;
• Melhorias de segurança e sistemas de detecção de possíveis incidentes.
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 17
Para a estimativa do custo inerente a este tipo de incidente, analisam-se 14 fatores referentes à Instituição
Fonte: Deloitte - Beneath the surface of a cyberattack - A deeper look at business impacts
Case: Seguradora de saúde de grande porte
Renda anual de ~US$60 Bi.
50.000 funcionários
23,5 MM de beneficiários nos EUA (60% PJ)
Utiliza sistema de cuidados
com o paciente
Entrada de novos beneficiários
entre nov. e jan.
Regulado pelas autoridades estaduais e
federais
Planeja adquiri um sistema de
saúde por ~US$ 1 Bi.
Taxa anual de US$ 7 MM por seguro digital
de US$ 100 MM
Maio
Laptop contendo 2,8 milhões de informações pessoais foi roubado
5 d
ias
Seguradora foi notificada por um cliente que informações de alguns funcionários haviam sido listadas em sites criminosos
Notificado um aumento significativo no número de novas contas ativas
O histórico de mais de 1MM de pacientes foi baixado da database
Acesso ao sistema bloqueado por 2 semanas
Time de resposta a incidentes cibernéticos foi acionado
Investigação técnica revelou que os hackers haviam obtido acesso ao sistema usando credenciais do laptop roubado
Novos usuários tiveram que ser criados, houve a mudança de sistema e implantação de novos controles sistêmicos
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 18
Os custos apurados do incidente ocorrido com a seguradora de saúde de grande porte foi de mais do que US$ 1,6 Bi
Fonte: Deloitte - Beneath the surface of a cyberattack - A deeper look at business impacts
96
%
Do c
usto
tota
l
Custo total: US$ 1,67 Bi em 5 anos
~89% do impacto pode ser associado com 3 pontos específicos: • valor de contratos perdidos; • desvalorização do nome da companhia; e • perda de relações com consumidores.
Principais impactos tangíveis: • notificar consumidores; e • fornecer proteção de crédito pessoal.
Principais impactos intangíveis: • perda de IP ou contratos; • avaliação de crédito da empresa; e • desvalorização do nome da empresa.
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 19
Além disso, os impactos perduraram por 5 anos após o incidente, sendo que o número de novos beneficiários normalizaram somente após o 3º ano
Fonte: Deloitte - Beneath the surface of a cyberattack - A deeper look at business impacts
!
De
sc
ob
ert
a d
o in
cid
en
te
Suporte externo para resposta ao incidente foi contratado
A aplicação de cuidado ao paciente foi desligada e o call center teve demanda ampliada
Programas de notificação de vazamentos e de proteção ao consumidor são iniciados
Fase inicial das melhorias de segurança cibernética são iniciadas
Uma campanha visando melhorar a opinião pública foi iniciada, um pouco antes do período de inscrição
A taxa premium foi ajustada para o período de inscrições
Multa da HIPAA
Valores de
segurança
cibernética
aumentam Uma aquisição estratégica
é postergada devido ao
baixo rating de crédito
Pagamentos de processos
judiciais por roubo de
identidade se iniciam
Segunda fase de melhorias de
segurança se inicia
• Os números de novos
beneficiários
normalizaram após o 3º
ano do incidente;
• Os lucros a longo prazo
diminuíram;
• A imprensa fez com que
o vazamento de dados
estivesse
constantemente sob
judice na opinião pública;
• O poder de negociação
da empresa reduziu
frente aos clientes.
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 20
Na reação a um incidentes recomenda-se a resiliência, prática a qual demanda uma mudança de mentalidade
Fonte: Deloitte - Beneath the surface of a cyberattack - A deeper look at business impacts
Identifique os principais
riscos
Convoque a equipe certa
PRIMEIROS PASSOS ÚTEIS
Gastos adequados para reduzir o impacto
Modernizar o que “Estar preparado”
significa
Fazer mais do que
preparer-se
Ser resiliente requere transformação organizacional que engloba o escopo do envolvimento da diretoria da instituição e garanta o foco no risco para o negócio, não apenas o controle da tecnologia. Envolve a habilidade de redefinir prioridades e reinvestir no levantamento de possíveis cenários, baseados em um entendimento amplo das motivações dos hackers e na habilidade de antecipar cenários de alto impacto.
21
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Classificação: [Confidencial]
Grandes Apostas FY19 | Projeto “PHM”
CEO Glass
Principais indicadores financeiros e de
utilização da carteira e comparativo com
Benchmarking, possibilitando uma visão
geral sobre a situação da carteira.
Perfil da Carteira
Distribuição dos beneficiários por gênero,
faixa etária, titularidade, plano, localização,
etc., além de informações sobre quantidade
de vidas ativas mensalmente e continuidade
de contrato.
Sinistro
Distribuição dos custos com plano de saúde
por tipo de atendimento, prestador, região,
especialidade, etc., a fim de identificar o
perfil de utilização da carteira.
Perfil de Risco
Identificação de beneficiários que
apresentam perfil de risco para doenças
crônicas através de algoritmos que se
baseiam na utilização e nas informações
cadastrais dos beneficiários.
High Users e High Costs
Visualização da quantidade de
procedimentos e/ou do valor pago por
beneficiário, permitindo identificação dos
maiores utilizadores e gastadores do plano.
Internações Online
Acompanhamento das internações em
tempo real, permitindo conhecimento da
quantidade de internações em cada hospital.
Os hospitais são classificados pela
metodologia DRG de acordo com o tempo
médio de permanência realizado.
Population Health Management
https://www.deloitte.com.br/populationhealthmanagement-CEOGlass
https://www.deloitte.com.br/populationhealthmanagement-PerfilCarteira
https://www.deloitte.com.br/populationhealthmanagement-Sinistro
https://www.deloitte.com.br/populationhealthmanagement-HighRisk
https://www.deloitte.com.br/populationhealthmanagement-HighUsers
https://www.deloitte.com.br/populationhealthmanagement-InternacoesOnline
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 22
Consulta rede e plano
Agenda
consulta
Retorno e recom.
de cirurgia
Jornada de Paciente antes do PHM
Complicadores
Baixo conhecimento do perfil e risco da carteira
Aumento de desperdício por utilização desnecessária
Abusos, fraudes e desperdícios assistenciais
Alto volume de consultas e exames desnecessários
Utilização da rede com baixa custo-efetividade
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 23
Consulta
rede e plano
Agenda
consulta
Consulta
Médica
Exame
Mapa de
internações
Internação
hospitalar
Codificação DRG
admissão
Case
management
Acompanhamento
In loco imediato
DRG de
prorrogação
Probabilidade
de reinternação
Central de
Gestão das
Internações
Avaliação de
performance
da rede
Auditoria de
bancada
Jornada de Paciente com PHM
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 24
O que mudou após o PHM?
Paciente
*Junto às operadoras de saúde
Eficiência em campanhas
Devido ao conhecimento sobre o perfil de saúde de seus funcionários
Maior poder em negociações*
Com base em ferramentas e análises preditivas de sinistro e contas médicas
Redução de sinistro
Por meio do gerenciamento de rede e utilização assertiva, com minimização de perdas e desperdícios
Conscientização
Participa de campanhas voltadas para o seu perfil
Uso consciente do benefício
Economia
Possui incentivos para usar rede com melhor custo-efetividade
Saúde
A empresa promove a saúde e bem-estar por meio de ações focadas
©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados. 25
As principais acreditações requerem uma política interna que tenha como objetivo a segurança e integridade dos dados e das informações
Algumas recomendações são: • Um plano de backup diário;
• Um servidor interno e um externo;
• Encriptação;
• Ferramenta antivírus;
• Filtro de conteúdo;
• Firewall do sistema;
• Autenticação de acessos.
A Deloitte refere-se a uma firma-membro da Deloitte, uma de suas entidades relacionadas, ou à Deloitte Touche Tohmatsu Limited (“DTTL”). Cada firma-membro da Deloitte é uma entidade legal separada e membro da DTTL. A DTTL não fornece serviços para clientes. Por favor, consulte www.deloitte.com/about para saber mais.
A Deloitte é líder global em auditoria, consultoria empresarial, assessoria financeira, gestão de riscos, consultoria tributária e serviços correlatos. Nossa rede de firmas-membro, presente em mais de 150 países e territórios, atende a quatro de cada cinco organizações listadas pela Fortune Global 500®. Saiba como os 286.200 profissionais da Deloitte impactam positivamente seus clientes em www.deloitte.com.
Esta comunicação contém somente informações gerais e nenhuma das empresas Deloitte Touche Tohmatsu Limited, suas firmas-membro ou suas entidades relacionadas (coletivamente, a “rede Deloitte”) estão, por meio desta comunicação, prestando consultoria ou serviços profissionais. Antes de tomar qualquer decisão ou medidas que possam afetar suas finanças ou sua empresa, você deve procurar um consultor profissional qualificado. Nenhuma entidade da rede Deloitte será responsável por qualquer dano sofrido por qualquer pessoa em decorrência dessa comunicação.
© 2019. Para mais informações, contate a Deloitte Touche Tohmatsu Limited.
Obrigado!