Mariana Martins da Cruz Justo
RISCO CIBERNÉTICO E REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS:
ADAPTAÇÃO DAS EMPRESAS À NOVA REALIDADE
O Setor Segurador: Case-Study
Orientadores:
Professora Doutora Margarida Lima Rego, Professora da Faculdade de Direito da
Universidade Nova de Lisboa
Dr.ª Ana Cristina Borges, CEO MDS RE
Setembro 2018
Relatório de estágio curricular na
MDS RE com vista à obtenção do
grau de Mestre em Direito e
Mercados Financeiros
Mariana Martins da Cruz Justo
RISCO CIBERNÉTICO E REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS:
ADAPTAÇÃO DAS EMPRESAS À NOVA REALIDADE
O Setor Segurador: Case-Study
Orientadores:
Professora Doutora Margarida Lima Rego, Professora da Faculdade de Direito da
Universidade Nova de Lisboa
Dr.ª Ana Cristina Borges, CEO MDS RE
Setembro 2018
Dissertação com vista à
obtenção do grau de Mestre em
Direito e Mercados Financeiros
Relatório de estágio curricular na
MDS RE com vista à obtenção do
grau de Mestre em Direito e
Mercados Financeiros
III
DECLARAÇÃO DE COMPROMISSO ANTIPLÁGIO
Declaro, por minha honra, que o trabalho elaborado é original e da minha
exclusiva autoria. Toda a utilização de contribuições ou textos alheios está devidamente
referenciada. Tenho consciência de que a utilização de elementos alheios não
identificados constitui uma grave falta ética e disciplinar.
Lisboa, 14 de setembro de 2018
V
“Success is to be measured not so much by
the position that one has reached as by the
obstacles which he has overcome”
Booker T. Washington
VII
AGRADECIMENTOS
Em primeiro lugar, manifesto a minha gratidão à minha orientadora, a Professora
Doutora Margarida Lima Rego, pela sua disponibilidade constante durante a elaboração
deste relatório, às suas críticas pertinentes e à sua mina inesgotável de conhecimentos.
Agradeço também à Dr.ª Maria da Graça Canto Moniz, especialista em matéria de
Proteção de Dados, pela sua disponibilidade, reagindo em pronto auxílio. Da mesma
forma, agradeço à Dr.ª Catarina Graça, pela sua atenção e profissionalismo na construção
da forma da tese.
Em segundo lugar, agradeço a toda a equipa da MDS, a empresa que me permitiu
realizar este estágio curricular e que tão bem me acolheu, sempre predispostos a auxiliar,
com uma equipa de topo, salientando a Dr.ª Ana Cristina Borges, cheia de simpatia e boa
vontade diária.
Agradeço, de igual forma, aos meus amigos e colegas, que contribuíram,
voluntaria ou involuntariamente, com conselhos constantes e motivação diária para
superar este desafio. Em duas fases diferentes, sem dúvida que, duas colegas distintas
necessitam de uma palavra especial. Ana, a ela agradeço profundamente toda a
disponibilidade e entreajuda vivida durante este ano de escrita intensa da presente
dissertação. Rita, a ela agradeço por toda a ajuda, generosidade e contributo pertinente
para este relatório, estando constantemente disponível para todas as dúvidas ou crises que
pudessem surgir.
Por fim, deixo um agradeço especial à minha Família, pelo apoio incondicional
que me transmitiram ao longo da minha vida académica e profissional e por toda a
paciência que revelaram ter. Aos meus Sobrinhos, Afonso e Madalena, à minha Mãe, ao
meu Pai, às minhas Irmãs, aos meus Avós, ao Pedro, cada um com a sua contribuição de
forma particular.
IX
INDICAÇÕES DE LEITURA
I. MODO DE CITAÇÃO
O modo de citação utilizado neste texto, quer nas notas-de-rodapé, quer na
bibliografia final, faz-se de forma uniforme com a indicação do nome académico do autor,
o título da obra em itálico, edição, local de publicação, editor, ano da publicação,
seguindo-se o volume e páginas, não estando este último elemento na bibliografia final.
No caso de serem vários autores, o modo de citação será o mesmo, no entanto irá
apenas estar presente o nome de um dos autores com a indicação posterior “[et al.]”.
No caso de obras coletivas, o título é separado do subtítulo através da preposição
“in” e as obras são indicadas por ordem alfabética do último apelido do autor referido,
com as indicações iguais às mencionadas acima.
No caso de serem obras de publicação periódica, as citações são feitas com a
indicação do nome do autor, do título do artigo em questão, seguido do título da
revista/publicação, seguindo as indicações da numeração, data e paginação.
No caso em que exista uma citação indireta, ou seja, uma citação de uma citação,
utiliza-se a expressão “apud”, que significa “citado por”.
As expressões em latim ou em língua estrangeira serão apresentadas em itálico.
Esta dissertação foi escrita ao abrigo do Novo Acordo Ortográfico.
II. DECLARAÇÃO DE CARATERES
Declaro que o corpo da tese ou dissertação, incluindo espaços e notas, ocupa um
total de 181.323 carateres.
XI
LISTA DE ABREVIATURAS
Al. - Alínea
Art. - Artigo
Arts. - Artigos
ASF - Autoridade de Supervisão de Seguros e Fundos de Pensões
CMVM - Comissão do Mercado de Valores Mobiliários
CNPD - Comissão Nacional de Proteção de Dados
CRP - Constituição da República Portuguesa
DPIA - Data Privacy Impact Assessment - Avaliação de Impacto da
Privacidade de Dados
DPO - Data Protection Officer - Encarregado de Proteção de Dados
Ed. - Edição
EUA - Estados Unidos da América
IA - Inteligência Artificial
LCS - Lei do Contrato Seguro (Decreto-Lei n.º 72/2008, de 16 de Abril)
NIS - Network and Information Security - Segurança das Redes e da
Informação
P. - Página
PIB - Produto Interno Bruto
PME - Pequenas e Médias Empresas
Pp. - Páginas
RGPD - Regulamento Geral sobre a Proteção de Dados (Regulamento
2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de
2016)
Ss. - Seguintes
TFUE - Tratado de Funcionamento da União Europeia
TI - Tecnologias da Informação
TIC - Tecnologias da Informação e da Comunicação
TJUE - Tribunal de Justiça da União Europeia
UE - União Europeia
XIII
RESUMO
As TIC, aliadas ao risco cibernético, tornam as empresas mais expostas, não só
aos ataques das suas bases de dados, mas também ao aparecimento de novos custos e
riscos, com os danos à reputação e risco de interrupção de negócio inerentes. Os impactos
para as empresas, em especial do setor segurador, dividem-se em duas vertentes: risco a
segurar (com a proliferação dos seguros cibernéticos) e risco ao setor.
O aparecimento do novo Regulamento Geral da Proteção de Dados, com regras
uniformizadas na UE, vem dissipar o risco da presença de diferentes níveis de proteção
de privacidade e dos dados pessoais das pessoas singulares em cada Estado-Membro,
fortalecendo os valores da privacidade e proteção de dados dos cidadãos e potenciando o
mercado único da informação. No entanto, a entrada do RGPD, acarreta impactos para as
empresas, com a restruturação do seu modelo organizacional, e os consequentes custos
financeiros e operacionais, com as coimas a adquirirem uma nova dimensão. Para o setor
segurador, com a constante utilização de dados sensíveis e a existência de um vazio legal,
os impactos são ainda mais prementes.
Abordaremos estes temas no presente relatório de estágio, com o estudo de caso
da MDS, empresa do setor segurador, onde se observa uma estratégia de resiliência eficaz
no combate ao risco cibernético e um caminho ágil para a conformidade com o RGPD,
acompanhando as tendências deste mesmo setor.
Palavras-Chave: Risco Cibernético, RGPD, Setor Segurador
XV
ABSTRACT
ICTs, combined with cyber risk, make companies more exposed not only to
attacks from their databases, but also to the appearance of new costs and risks, with
damage for reputation and business interruption. The impacts for companies, especially
the insurance sector, fall into two areas: risk to be insured (with the proliferation of cyber
insurance) and the common risk to the sector.
The emergence of the new General Data Protection Regulation, with uniform EU
rules, will dispel the risk of different levels of privacy protection and personal data of
natural persons in each Member State, strengthening privacy and protection values of
citizens and enhancing the single information market. However, the entry of the RGPD
entails impacts for the companies, with the restructuring of its organizational model, and
the consequent financial and operational costs, with the fines acquiring a new dimension.
For the insurance industry, with the constant use of sensitive data and the existence of a
legal vacuum, the impacts are even more pressing.
We will address these issues in this report, with the case study of MDS, a company
from the insurance sector, where an effective resiliency strategy in cyber risk is observed,
and an agile path for the GDPR compliance, following the trends of this sector.
Keywords: Cyber Risk, RGPD, Insurance Sector
Introdução
Mariana Martins da Cruz Justo 17
INTRODUÇÃO
O aparecimento da Era Digital veio promover o papel da Internet como um
instrumento primordial para a evolução e aproximação de economias, regiões e culturas,
alterando a visão sobre os parâmetros de acessibilidade, disponibilidade e distância. O
Mundo, digamos assim, ganhou outra dimensão, que se reflete no quotidiano, tanto nas
tarefas mais simples como na área de negócios, especialmente no tema a que me proponho
investigar. Um espaço de comunicação global, de modo a transcender fronteiras, sendo
um recurso para oportunidades de crescimento, educação e informação para a sociedade,
com uma complexa ramificação das redes da informação.
Neste contexto digital, surgiu um novo “espaço”, sem dimensões, instantâneo, não
físico, idealizado e concetualizado à luz da internet: o ciberespaço1. No entanto, estas
novas potencialidades comportam também riscos e vulnerabilidades para a defesa e
segurança nacional. Inevitavelmente, o desenvolvimento das Tecnologias da Informação
e da Comunicação (TIC) suscita algumas apreensões, no que toca ao desenvolvimento de
conflitos e guerras, terrorismo e ameaças à segurança de infraestruturas.
Os contras têm desequilibrado, em grande medida, o peso da balança, traduzindo-
se em aplicações ilícitas (e.g. ataques cibernéticos, violação de dados) em todos os
setores. Assim, o risco cibernético está na ordem do dia. Trata-se do risco associado aos
sistemas de informação, aos dados que processam, transferem ou armazenam, sendo os
mais comuns o “acesso/utilização sem autorização, ataques de negação de serviços,
ciberespionagem, difusão de vírus/malware, destruição de recursos, violação de dados”2.
O número de ciberataques, relacionados com a segurança da informação e
operacionalidade dos sistemas informáticos e de comunicação, tem ascendido de uma
forma potencialmente catastrófica, sendo uma fonte de preocupação de todos os Estados
e organizações. Um ataque cibernético pode ser definido como “uma atividade nociva,
executada por um grupo (incluindo grupos de base ou grupos coordenados a nível
1 William Gibson na obra Neuromancer de 1984, designa hoje a rede global de infraestruturas de
tecnologias de informação interligadas entre si, especialmente as redes de telecomunicações e os sistemas
de processamento dos computadores, onde se faz referência a um espaço virtual composto por cada
computador e usuários conectados numa rede à escala mundial. In RODRIGUES, José Conde - O
ciberespaço e a ordem mundial. Observador [Em linha]. (8 nov. 2016). 2 SIMONS, Dawn - Ciber-risco : a sua empresa está protegida?. FullCover [Em linha]. N.º 3 (Abril 2011)
p. 125 128.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
18 Mariana Martins da Cruz Justo
nacional) através de computadores, sistemas de Tecnologias da Informação (TI) e/ou
internet, visando os computadores, infraestruturas de TI e presença de internet noutra
entidade”3.
Nesse sentido, e de modo a existir uma maior privacidade e integridade dos dados
dos titulares, houve a necessidade de se uniformizar o regime da proteção de dados em
toda a União Europeia (UE). O Regulamento Geral para a Proteção de Dados (RGPD) foi
a solução para este problema, encontrando-se em vigor desde 2016, mas sendo a sua
aplicação obrigatória desde 25 de maio de 2018. Foi revogada a lei anterior - Lei de
Proteção de Dados Pessoais (“que transpõe para a ordem jurídica portuguesa a Diretiva
95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à
proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à
livre circulação desses dados”4), visando homogeneizar as normas da UE e eliminando as
disparidades entre regimes jurídicos dos vários países.
O RGPD é muito protetor em relação ao titular de dados. No entanto, para as
empresas, há uma maior necessidade de delinear políticas de segurança e proteção de
dados mais eficientes, com uma atualização dos processos internos, para garantir a
conformidade com o novo regulamento. Na sua generalidade, estas não estão preparadas
para a nova regulação, sendo necessária uma reestruturação a fundo, com um impacto
financeiro de elevada dimensão. O setor segurador apresenta-se como um exemplo desta
situação. O regulamento trouxe determinados impactos tanto no orçamento, como no
governo interno do setor, como no negócio na ótica do cliente.
Na aplicabilidade das normas, este diploma exige bom senso na sua interpretação
e implementação, uma vez que é necessário considerar duas realidades (titular vs
empresa), evitando uma leitura fundamentalista do tema em questão. Sem descurar
qualquer uma delas, e da necessidade primária de proteger o titular e da livre iniciativa
económica, cada empresa necessita de adequá-lo à sua dimensão.
Este novo regulamento vem influenciar todo o tratamento e as repercussões da
violação de dados, designadamente, do risco cibernético. Para este risco real e ameaçador
3 TENDULKAR, Rohini - Cyber-crime, securities markets and systemic risk [Em linha]. Survey Grégoire
Naacke and Rohini Tendulkar. [S.l.] : IOSCO, 2013. 4 Vide LEI n.º 67/98. Diário da República [Em linha]. Série I-A, n.º 247/1998 (26-10-1998).
Introdução
Mariana Martins da Cruz Justo 19
é necessária uma gestão de risco qualificada. Desde logo, será necessária uma gestão geral
(através da formação de trabalhadores, com uma maior responsabilidade sobre os dados)
e, posteriormente, uma específica (mediante a definição de políticas padrão e
procedimentos operacionais). Trata-se de um risco estruturado que não pode ser analisado
isoladamente, exigindo uma coesão de departamentos a nível jurídico, financeiro e TI.
Na sequência do que foi referido anteriormente, importa enunciar a grande questão
que constitui o objeto deste estudo, que será o fio condutor da dissertação: Estará o setor
segurador preparado para fazer face aos impactos do risco cibernético e das novas
exigências consagradas no RGPD?
A pertinência deste tema baseia-se em inúmeros factos. Por um lado, o risco
cibernético está em constante crescimento, tratando-se de um risco emergente com
elevados custos e desafios para, não só, mas principalmente as empresas. Por outro, pela
anterior insuficiência de regulação para a proteção de dados dos cidadãos na UE e pela
posterior criação deste novo Regulamento: quais os seus impactos, alcance e nível de
adequação das empresas. É importante, nesta fase, estabelecer a ligação entre o risco
cibernético e o RGPD: o próprio regulamento surgiu, em grande medida, da necessidade
de adaptação dos regimes de proteção em vigor aos atuais desafios do risco cibernético.
Importa aqui também verificar as mudanças estruturais a que as organizações, num
cômputo geral, poderão submeter-se, os custos e quais as suas repercussões para o
consumidor. Questões como a participação de uma violação de dados em 72 horas, as
coimas de elevado valor, a necessidade de contratar encarregados para a proteção de
dados, implicam elevados encargos financeiros com uma revolução interna necessária.
Por último, porque a organização das empresas depende do seu setor, não seria
concretizável investigar apenas o impacto do regulamento e do risco cibernético na
generalidade das empresas. Assim, focamo-nos no setor segurador, que enfrenta
constantes desafios, desde a nova regulação, à digitalização da economia e à mudança
nos comportamentos dos consumidores.
Após a definição da preocupação inicial, optou-se por cingir a questão principal a
uma única empresa: a MDS, e através desta, retirar conclusões transversais ao mercado.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
20 Mariana Martins da Cruz Justo
No capítulo I, pretende-se definir o estágio curricular na MDS, que tem por base
o presente relatório. De forma sucinta, explana a empresa em si e o que foi realizado
durante o estágio.
Numa segunda fase, no capítulo II, pretende-se analisar este risco emergente – o
risco cibernético – quais os seus custos efetivos e responsabilidades/impactos para as
organizações e sociedade na sua generalidade. Dentro desta questão importa despertar
para a Quarta Revolução Industrial e todos os riscos e potencialidades inerentes.
Posteriormente, quais os seus impactos e desafios para as empresas com uma abordagem
específica para o setor segurador.
Destas análises, partiremos para capítulo III, respeitante ao novo Regulamento,
numa primeira fase, com a justificação da sua necessidade para a sociedade e a sua
análise, nomeadamente a leitura e extensão da aplicabilidade do mesmo. Numa segunda
fase, pretende-se despertar para os seus impactos e desafios a enfrentar para as
organizações, quais as modificações estruturais e os seus respetivos custos, as alterações
na governação interna e até que ponto estas sairão beneficiadas com o RGPD na ótica do
cliente. Verificaremos de que forma é que este se relaciona com o risco cibernético e
como estes se refletem nos outputs das organizações. Numa terceira fase, pretende-se
adaptar esta análise à realidade do setor segurador, aos seus impactos e desafios e às
perspetivas futuras deste setor.
Por conseguinte, e em jeito de desfecho, culminamos num estudo de caso, no
capítulo IV. Pretende-se verificar as adaptações de uma empresa, especificamente do
setor segurador, onde efetuei o estágio curricular – a MDS – à nova realidade conduzida
por estes dois fatores: Risco Cibernético e RGPD. Por um lado, no risco cibernético, em
que o objetivo passará por analisar a estratégia de resiliência cibernética da empresa,
demonstrando os custos e adaptações da mesma, com as modificações estruturais, e em
que medida é que os impactos estudados anteriormente se refletem na empresa. Por outro,
no RGPD, a sua implementação na empresa, os passos relevantes para esta adaptação,
com os respetivos impactos, tanto estruturais como financeiros. Pretende-se assim,
verificar como a MDS se adaptou a todos os desafios enunciados e em que medida é que
acompanha as tendências de alterações estruturais que acontecem no setor. Um estudo
teórico conduzirá a uma sustentação da prática, com a análise dos três componentes
principais desta dissertação: o risco cibernético, o RGPD e o Setor Segurador.
Metodologia e Problema de Estudo
Mariana Martins da Cruz Justo 21
METODOLOGIA E PROBLEMA DE ESTUDO
Este capítulo permite-nos uma melhor definição do objeto de estudo e o método
seguido ao longo da investigação. Inicialmente, foi realizada uma revisão bibliográfica,
com a intenção de conhecer exaustivamente a situação e o estado atual da problemática
do nosso estudo.
O problema de estudo definido, como referido na Introdução, será: “Estará o setor
segurador preparado para fazer face aos impactos do risco cibernético e das novas
exigências consagradas no RGPD?” No entanto, conforme já referido, optou-se por se
cingir o estudo à MDS, e não a “todas” as empresas do setor segurador.
No presente relatório, a metodologia de investigação utilizada por forma a retirar
as conclusões relativamente às adaptações das empresas, foi maioritariamente qualitativa.
Segundo FORTIN5, “O investigador que utiliza o método de investigação qualitativa (...)
observa, descreve, interpreta e aprecia o meio e o fenómeno tal como se apresentam, sem
procurar controlá-los.”. FREIXO6, indica que: “O objectivo desta abordagem de
investigação utilizada para o desenvolvimento do conhecimento é descrever ou
interpretar, mais do que avaliar. (...) é uma extensão da capacidade do investigador em
dar sentido ao fenómeno.”
Por outro lado, é possível também verificarmos, em momentos pontuais, uma
análise metodológica quantitativa. Segundo FORTIN7, “O método de investigação
quantitativa é um processo sistemático de colheita de dados observáveis e quantificáveis.
É baseado na observação de factos objectivos, de acontecimentos e de fenómenos que
existem independentemente do investigador.” Isto acontece quando são recolhidos dados
reais, custos e números concretos que nos permitem retirar conclusões relativamente aos
impactos inerentes.
Ainda, de acordo com FREIXO8, este relatório assenta também no método
descritivo: “Este método assenta em estratégias de pesquisa para observar e descrever
5 FORTIN, Marie-Fabienne - O processo de investigação : da concepção à realização. 3.ª ed. Loures :
Lusociência, 2003, p. 22. 6 FREIXO, Manuel João Vaz - Metodologia científica : fundamentos, métodos e técnicas. Lisboa : Instituto
Piaget, 2009, p. 146. 7 FORTIN, Marie-Fabienne - O processo de investigação…, p. 22. 8 FREIXO, Manuel João Vaz - Metodologia científica, p. 106.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
22 Mariana Martins da Cruz Justo
comportamentos, incluindo a identificação de factores que possam estar relacionados com
um fenómeno em particular.”
Este estudo está dividido em duas partes distintas. Por um lado, no capítulo II,
relativo ao risco cibernético, determinam-se os custos, numa abordagem mais
quantitativa, e posteriormente analisam-se impactos e as perspetivas futuras, numa
abordagem mais qualitativa e descritiva com uma subjacente análise socioeconómica. Por
outro lado, no capítulo III, relativo ao RGPD, analisa-se o regulamento per si, com uma
análise jurídica, identificando-se novamente os respetivos impactos e as perspetivas
futuras, utilizando a mesma abordagem e análise que no capítulo anterior.
Por fim, culminamos num estudo de caso. Segundo VILELAS9, “Os estudos de
casos enquadram-se numa abordagem qualitativa e são frequentemente utilizados para a
obtenção de dados na área dos estudos organizacionais, (...) são um tipo de estudos muito
particulares e que, para serem eficientes, terão de ter o seu objecto bem definido, devendo
o caso escolhido ser representativo do problema ou fenómeno a estudar, os materiais e
dados ser recolhidos com precaução, a sua linguagem, clara e homogénea, e as conclusões
produzidas ser bem explícitas, constituindo novas informações.”
O objetivo final do estudo de caso será, por um lado, verificar a estratégia de
resiliência da MDS relativamente ao risco cibernético, os seus custos e as mudanças na
empresa; por outro, verificar a estratégia de implementação da empresa do RGPD e,
novamente, os seus custos e as mudanças existentes, abordando-se assim as duas
dimensões e culminando num estudo jurídico-financeiro. Após identificação, descrição e
análise maioritariamente qualitativa dos impactos destas duas realidades – a um nível
geral, empresarial e depois, resignados a um setor específico – comprova-se, através deste
estudo de caso, em que medida é que eles se coadunam com a realidade desta empresa.
9 VILELAS, José – Investigação : o processo de construção do conhecimento. Lisboa : Edições Sílabo,
2009, pp. 140 e 148.
Estágio Curricular
Mariana Martins da Cruz Justo 23
CAPÍTULO I – ESTÁGIO CURRICULAR
1. A MDS RE
A MDS, constituída em 1984, é atualmente um dos maiores grupos de corretagem
no mundo. Tem sede no Porto e é detida pela Sonae e pela Suzano, a maior multinacional
privada portuguesa e um grupo industrial brasileiro, respetivamente. As suas atividades
principais prendem-se com as áreas de consultoria de seguros, consultoria de risco e
resseguro & wholesale, marcando presença igualmente forte no Continente Africano.
Este grupo é fundador da BrokersLink, uma empresa global de corretagem;
acionista da Ed. Brooking (a anterior Cooper Gay Swett & Crawford), o maior corretor
de resseguro independente do mundo; e um “Lloyd’s Broker”, permitindo um acesso
pleno aos mercados internacionais e, consequentemente, uma maior capacidade para
soluções melhoradas para os clientes. Detém um portfolio diversificado e uma posição
relevante a nível mundial, ocupando o ranking dos três melhores corretores mundiais.
A MDS fundou a Herco, uma empresa especializada em consultoria de risco e
Enterprise Risk Management, e inclui serviços como modelização de riscos catastróficos,
serviço de gestão de cativas10, planos de continuidade de negócio e gestão de crise, gestão
de sinistros, propriedade intelectual, riscos cibernéticos, rapto e resgate, avaliação de
património, consultoria de employee benefits e consultoria jurídica laboral.
A MDS RE (MDS Reinsurance), é uma sociedade do grupo MDS, especializada
no desenvolvimento e negociações de corretagem de resseguro, serviços de consultoria
de seguros a nível de riscos tradicionais e emergentes, com operações de Project Finance
e due dilligence técnico. Opera fortemente em Portugal e em África, beneficiando da
extensa rede internacional e de acesso privilegiado ao Lloyd’s e à Ed.
2. O ESTÁGIO
No âmbito do protocolo existente para o Mestrado de Direito e Mercados
Financeiros, entre a Faculdade de Direito da Universidade Nova de Lisboa e a MDS RE,
foi-me permitido, após um processo de seleção, efetuar um estágio curricular, com
10 Gestão de companhias de seguradoras e resseguradoras que são criadas por um grupo empresarial para
subscreverem os seus próprios riscos, tratando-se de um instrumento alternativo de gestão de risco. Vide
AON - Gestão de cativas [Em linha]. Lisboa : AON, 2018.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
24 Mariana Martins da Cruz Justo
duração efetiva de quatro meses, entre 15 de setembro de 2017 e 14 de janeiro de 2018,
com a realização de um relatório de estágio com vista a obtenção do grau mestre.
Durante este período, fiquei alocada à área de Resseguro, elaborando slips11,
desempenhando o papel de corretora12, com a oportunidade de contactar,
maioritariamente, com o mercado Angolano, dispersando os riscos pretendidos.
Auxiliei também na prestação de serviços de consultoria de seguros a grandes
empresas, sociedades de advogados e fundos de investimento, criando propostas e
análises comparativas. Nestes serviços de consultoria, as análises eram focadas na área
de linhas financeiras, participando nas áreas de responsabilidade civil profissional,
responsabilidade civil administradores e diretores e responsabilidade civil geral. O
objetivo não seria oferecer apenas o produto certo, mas também, através de um serviço
adequado de consultoria, ajudar o cliente a compreender a utilidade desse mesmo produto.
Junto destas áreas analisei e contactei também com um grande risco emergente: o
risco cibernético, sendo que, de acordo com a Dr.ª Paula Rios, administradora da MDS,
“as empresas ainda não estão devidamente protegidas, em termos tecnológicos, de cultura
de mitigação de riscos e na proteção financeira através de seguros”.
O presente relatório não tem apenas a pretensão de detalhar as tarefas dirigidas
durante o estágio e as questões jurídicas e financeiras que foram refletidas, mas sim
abordar uma questão específica, também investigada e trabalhada durante estes quatro
meses, aprofundando e debruçando-me assim sobre o tema do novo RGPD, entrado em
vigor neste mesmo ano, e a sua relação com as empresas, com o setor segurador e com o
risco cibernético.
11 Documento criado pela Corretora de Resseguro, que contém os termos e condições do contrato de
resseguro proposto. 12 Papel de intermediária entre Seguradora e Resseguradora de colocação de riscos no mercado.
Risco Cibernético
Mariana Martins da Cruz Justo 25
CAPÍTULO II – RISCO CIBERNÉTICO
1. CONTEXTUALIZAÇÃO: PANORAMA DO CIBERESPAÇO
MARSHALL MCLUHAN, sociólogo oriundo do Canadá, um dos precursores da
teoria da comunicação, formulou, na década de sessenta do século XX, o conceito de
aldeia global: uma sociedade interconectada e tomada pelos meios de comunicação que
atuariam por via eletrónica.13 NICHOLAS NEGROPONTE, fundador do Media Lab do
Massachussetts Institute of Technology, conseguiu prever a transformação do mundo
físico no mundo digital, em que “bits se tornam átomos”14 e em 1982, WILLIAM
GIBSON15 utiliza o termo “ciberespaço” com a sua primeira definição.
Sublinhe-se a definição de ciberespaço de LINO SANTOS e ARMANDO
MARQUES GUEDES: “Tal como noutros termos afins como sejam cibernauta,
ciberguerra ou ciberarma, o prefixo “ciber-” apela ao imaginário do virtual e transporta o
recetor para o contexto das tecnologias da informação e da comunicação (TIC). Diferentes
sectores da sociedade usam o termo ciberespaço para se referirem a coisas tão distintas
como a rede planetária de computadores, a possibilidade de realizar atividades através da
Internet, ou o armazenamento de informação na cloud, pelo que, numa perspetiva
abrangente, podemos definir ciberespaço como o conjunto “[d]as diferentes vivências do
espaço associado as tecnologias e a computação” (Strate, 1999, p. 383).” 16
2. DADOS REAIS: CUSTOS E RESPONSABILIDADES
“Um “risco” é um cenário que descreve um acontecimento e as respetivas
consequências, estimado em termos de gravidade e probabilidade. Por outro lado, a
13 McLUHAN, M. - Os meios de comunicação como extensão do homem. [S.l.] : Editora Cultrix, 1998. 14 “(…) Consider a modern newspaper. The text is prepared on a computer; stories are often shipped in by
reporters as e-mail. The pictures are digitized and frequently transmitted by wire as well (…). This is the
step where bits becomes atoms. (…) You may elect to print them at home for all conveniences of hard copy
(…). Or you may prefer to download them into your laptop, palmtop, or someday into your perfectly flexible,
one-hundredth-ofan-inck-tick, fullcoolor, massively high-resolution, large-format, waterproof display
(…)” NEGROPONTE, Nicholas - Being digital. London : Hodder & Stoughton, 1995, p. 56. 15 “On the Sony, a twodimensional space war faded behind a forest of mathematically generated ferns,
demonstrating the spacial possibilities of logarithmic spirals; cold blue military footage burned through,
lab animals wired into test systems, helmets feeding into fire control circuits of tanks and war planes.
“Cyberspace”. A consensual hallucination experienced by billions of legitimate operators. (…)
Unthinkable complexity. (…)” GIBSON, William – Neuromancer. Nova Iorque : Ace Books, 1984. 16 SANTOS, Lino ; GUEDES, Armando Marques - Breves reflexões sobre poder e ciberespaço = Brief
thoughts on power and cyberspace. RDeS – Revista de Direito e Seguranca. N.º 6 (julho-dezembro 2015)
pp. 190-191.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
26 Mariana Martins da Cruz Justo
“gestão do risco” pode ser definida como as atividades coordenadas que visam
direcionar e controlar uma organização no que toca ao risco.”17
O risco cibernético18 é um risco emergente19 20, intangível, com efeito sistémico21
de rápida dissipação e crescimento, provocando perda de dados, roubo de identidades,
falhas nas TI ou crimes cibernéticos, como a extorsão.
Aquando de um evento cibernético, no cômputo das empresas, existem custos
imediatos e custos indiretos22: os imediatos são inevitáveis, incluindo-se os custos legais
e de investigação forense, os custos de notificação ao cliente, custos potenciais de
interrupção do negócio, custos de fraude, de extorsão, de danos físicos; os custos indiretos
variam consoante a gravidade do evento, incluindo o impacto e os custos a longo prazo.
Entre estes, destacam-se as despesas de litígios de terceiros, despesas de reputação, multas
ou sanções regulamentares devidas, impactos no preço das ações, perdas de vantagem
competitiva e, consequentemente, perdas futuras de receita.
Os crimes cibernéticos evoluíram do roubo de informações pessoais e cartões de
crédito (ativos de informação) para ataques coordenados em infraestruturas críticas, com
17 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações relativas à Avaliação de
Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar
num elevado risco» para efeitos do Regulamento (UE) 2016/679 [Em linha]. Bruxelas : Comissão Europeia,
2017. 18 “Cyber risk covers the risks of doing business, including managing and controlling data, in a digital or
“cyber” environment.”, in PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and
the role of insurance [Em linha]. Amsterdam : CRO Forum, 2014, p. 3.
“O risco cibernético cobre os riscos de fazer negócios, incluindo gestão e controlo de dados, num ambiente
digital ou "cibernético".” 19 “Emerging risk is a novel manifestation of risk or type that has not been experienced previously”, in
MARSH ; RIMS - Emerging risks : anticipating threats and opportunities around the corner [Em linha].
Report analysis and review Brian C. Elowe, Carol Fox. [S.l.] : MARSH; RIMS, 2016, p. 2 “O risco
emergente é uma nova manifestação de risco ou tipo que não tenha sido experimentado anteriormente.” 20 “Global and emerging risks are complex, usually exogenous, threats and uncertainties that may have
significant, unexpected impacts on company earnings and market positioning. As new phenomena or
familiar challenges sharply aggravated by changing conditions, they often take shape at the intersection of
several fundamental trends and can crystallize with sudden shifts in velocity.”, in MARSH ; RIMS -
Emerging risks : anticipating threats and opportunities around the corner [Em linha]. Report analysis and
review Brian C. Elowe, Carol Fox. [S.l.] : MARSH; RIMS, 2016, p. 2.
“Os riscos globais e emergentes são complexos, geralmente exógenos, ameaças e incertezas que podem ter
significados, impactos inesperados sobre os ganhos da empresa e posicionamento no mercado. Como novos
fenómenos ou desafios familiares acentuadamente agravados pela mudança das condições, eles geralmente
tomam forma na intersecção de várias tendências fundamentais e podem cristalizar com mudanças súbitas
na velocidade.” 21 "Os eventos de risco sistémico podem ser súbitos e inesperados, ou a probabilidade da sua ocorrência se
desenvolver ao longo do tempo, com a ausência de respostas adequadas às políticas [de tecnologia e / ou
administração]" in GROUP OF TEN - Report on Consolidation in the Financial Sector [Em linha]. [S.l.] :
BIS [et al.], 2001, p. 126. 22 LLOYD’S - Closing the gap : insuring your business against evolving cyber threats [Em linha]. In
association with KPMG and DAC Beachcroft. [S.l.] : Lloyd’s, 2017, p. 22
Risco Cibernético
Mariana Martins da Cruz Justo 27
o foco em plataformas de tecnologia e informação ainda mais valiosa. As organizações
estão cada vez mais interligadas, com maior retenção de informação e dados pessoais,
mais flexíveis na troca de conhecimentos e interdependentes. Com base em dados reais,
é possível constatar que, em 2016, mais de 3,4 mil milhões de pessoas estavam online.
Estima-se que, em 2025, mais de 5 mil milhões de pessoas tenham este acesso, com
aumento de 30% em apenas 10 anos.23
Existe assim, um aumento do apetite ao crime cibernético, com hackers24 mais
sofisticados, cuja progressão persiste em complexidade e magnitude financeira, com
eventos desde vazamentos políticos durante eleições nacionais, ataques de resgate em
saúde, educação e setores públicos. Os impactos financeiros são superiores e os
reputacionais atingem a grande preocupação para as empresas.
Um relatório da Lloyd’s25, em parceria com a KPMG, revela que o setor de
serviços financeiros é o principal alvo para os atacantes, mas outras empresas como
sociedades de advogados ou de contabilidade, hospitais, media e entretenimento
verificam-se também alvos apetecíveis por estarem associadas a bases de dados mais
robustas. O setor público e o setor das telecomunicações estão, também, expostos à
vulnerabilidade dos ataques cibernéticos, principalmente espionagem e extorsão, sobre
pessoas politicamente expostas, propriedade intelectual ou futuros investimentos
estratégicos, com informações confidenciais de elevado valor atrativo para os criminosos.
23 INTERNATIONAL TELECOMMUNICATION UNION - ICT Facts and Figures 2016 [Em linha].
Geneva : ITU, 2016 24 “A hacker is an individual who uses computer, networking or other skills to overcome a technical
problem. The term hacker may refer to anyone with technical skills, but it often refers to a person who uses
his or her abilities to gain unauthorized access to systems or networks in order to commit crimes.” Vide
SJOHOLM, Hans ; ROSENCRANCE, Linda – Hacker [Em linha]. Posted by: Margaret Rouse. Newton,
MA : TechTarget, 2017.
“Um hacker é um indivíduo que usa o computador, a rede ou outras habilidades para ultrapassar um
problema técnico. O termo hacker pode-se referir a alguém com habilidades técnicas, mas geralmente, trata-
se de uma pessoa que usa as suas habilidades para obter acesso não autorizado a sistemas ou redes para
cometer crimes.” 25 Pesquisa da Lloyd's com 350 decisores seniores em toda a Europa, produzida em associação com a
KPMG no Reino Unido, escritório de advocacia internacional DAC Beachcroft e as seguradoras da Lloyd's,
Vide LLOYD’S - Closing the gap : insuring your business against evolving cyber threats [Em linha]. In
association with KPMG and DAC Beachcroft. [S.l.] : Lloyd’s, 2017.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
28 Mariana Martins da Cruz Justo
Figura 1 – Riscos Críticos26
Segundo a pesquisa da Marsh, empresa de corretagem e gestão de risco, 61% dos
700 líderes globais que responderam a este estudo, apontaram que este risco passou a ser
prioridade nas agendas das empresas sendo que, de seguida, surgem as novas
regulamentações, com 58%. Conforme verificamos no gráfico acima e no estudo em
apreço, os ataques cibernéticos são a área de destaque de onde resultam os riscos críticos
para a empresa (nomeadamente riscos cibernéticos) e a pressão regulatória (onde se insere
o RGPD, que terá o seu devido capítulo).
De acordo com o relatório da AON, corretora de seguros e resseguros, em parceria
com um estudo desenvolvido pela Ponemon Institute27, 46% das empresas tiveram um
incidente informático nos últimos dois anos, com uma média de impacto financeiro de 4
milhões de dólares. Um caso real aconteceu em dezembro de 2013, com uma violação de
segurança na Target. Esta violação expôs aproximadamente 45 milhões de números de
cartão de crédito e dados pessoais de 110 milhões de clientes, acarretando um custo
estimado de USD 148 milhões, compensados parcialmente por USD 38 milhões em
cobertura de seguro.28 Da mesma forma, uma empresa de telecomunicações no Reino
Unido29 sofreu uma violação de dados em 2015, afetando mais de 100,000 clientes, com
a perda de informações pessoais. Outrossim, a empresa sofreu o crime de extorsão
26 MARSH ; RIMS - Emerging risks : anticipating threats and opportunities around the corner [Em linha].
Report analysis and review Brian C. Elowe, Carol Fox. [S.l.] : MARSH; RIMS, 2016. 27 Ponemon Institute apud TEIXEIRA, Andreia - Mecanismos de gestão do risco e mitigação do impacto
: como avaliar a prevenção à resposta [Em linha]. Lisboa : AON, 2017, p. 10. 28 PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of insurance [Em
linha]. Amsterdam : CRO Forum, 2014, p. 10. 29 Vide ADVISEN - European cyber losses 2011-2017 [Em linha]. New York : Advisen, 2018.
Risco Cibernético
Mariana Martins da Cruz Justo 29
cibernética, sob a ameaça de publicar informações. Tudo isto resultou em perdas de 85
milhões de dólares, em receitas (22 milhões), em resposta ao incidente (64 milhões), com
um elevado risco reputacional com a perda de mais de 100,000 clientes.
O custo anual do cibercrime é de cerca de 600 mil milhões de dólares, sendo um
valor muito superior à maioria do PIB dos países, equivalendo a 0,8% do PIB mundial.30
Isto demonstra o valor elevado e impactante do custo de crimes cibernéticos: o custo anual
para as empresas a nível mundial do cibercrime consegue superar a soma de todos os bens
e serviços produzidos em, por exemplo, Portugal, com PIB em dezembro de 2017 de
217,57 mil milhões de dólares31.
Em conformidade com o estudo conduzido pela EY - consultora financeira - ao
longo dos últimos dois anos, 87% dos conselheiros e diretores não confiam no nível de
cibersegurança das suas empresas.32 61% indicam as limitações orçamentais como um
desafio, conforme gráfico abaixo, seguindo-se a falta de recursos capacitados, com 56%.
O facto de não existir apoio suficiente a nível orçamental e de recursos, tanto humanos
como financeiros, denota a falta de consciencialização por parte das chefias das empresas.
Figura 2 - Quais os principais obstáculos ou razões que desafiam a contribuição e o valor da sua
operação de segurança da informação para a organização?
30 Vide OLIVEIRA, Déborah, ed. - Cibercrime gera prejuízo de quase US$ 600 bilhões para economia
mundial [Em linha]. Rio de Janeiro : ITF 365, 2018. 31 Vide SOUSA, Antonio J. Fernandes, dir. ; FEDEC, Anna, dir. - PIB - lista de países [Em linha]. New
York : IECONOMICS, 2018. 32 ERNST & YOUNG GLOBAL LIMITED - O caminho para a ciber-resiliência : perceção, resistência,
reação : 19ª pesquisa global de segurança da informação EY 2016-17 [Em linha]. [S.l.] : EY, 2017, p. 15.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
30 Mariana Martins da Cruz Justo
Os custos e as responsabilidades, para as empresas, associadas às falhas de
segurança da informação, como podemos observar, são reais e de elevado valor. As
empresas não estão, de todo, preparadas para enfrentar este risco, afirmando que não
confiam com a sua capacidade de gestão de risco cibernético. Isto verifica-se desde o
setor retalhista, às instituições financeiras, hospitais, media e tecnologia, à consultoria e
serviços profissionais, à industria manufatureira e transportadora, até ao Governo. Na
grande maioria dos casos, o problema é comum a todos os setores: a violação de dados
confidenciais.
Existe, portanto, a necessidade constante, tanto de transferir, como de regular este
risco emergente, quer para pequenas, quer para grandes empresas, onde a interação
humana pode surgir, muitas vezes, como um grande fator de vulnerabilidade.
3. IMPACTOS, DESAFIOS E RECOMENDAÇÕES
Se por um lado, o ciberespaço trouxe consigo novas realidades e impactos
positivos, por outro, trouxe novos crimes (contra os sistemas informáticos), com técnicas
complexas e sofisticadas; e potenciou outros já existentes (extorsão, devassa da vida
privada, propriedade intelectual). Este tipo de operações apresenta um papel de
importância crítica na segurança cibernética: continuidade do negócio, danos à reputação,
interrupção nos canais de distribuição, custos de extorsão, são alguns dos exemplos que
ultrapassam apenas a resolução do ataque. Estes danos podem ser categorizados em ativos
e reputação.33 Ativos incluem a integridade, disponibilidade e segurança de dados, redes
conectadas, continuidade de negócio, comprometimento da propriedade intelectual.
Reputação rege-se pela confiança na organização, consequente perda de clientes,
parceiros, proprietários, acionistas, funcionários, de investimentos/financiamentos.
Podemos verificar, de acordo com o gráfico infra, que existe uma relação
proporcional positiva entre o PIB de um país e o seu índice de desenvolvimento das TIC.
33 WORLD ECONOMIC FORUM - Risk and responsibility in a hyperconnected : world pathways to global
cyber resilience [Em linha]. Prepared in collaboration with Deloitte. Geneva : World Economic Forum,
2012, p. 14.
Risco Cibernético
Mariana Martins da Cruz Justo 31
Figura 3 - Relação entre o PIB per capita e o índice de desenvolvimento das TIC34
Se existe uma relação proporcional positiva entre a produção de bens e serviços
de um país e o nível de desenvolvimento das TIC, podemos inferir que estas contribuem
diretamente para o aumento da produção de um país. De forma indireta, as TIC, podem
contribuir da mesma forma para o crescimento da eficiência (uma vez que produtividade
e a eficiência têm uma relação direta entre si) da economia em geral, através da sua
incorporação progressiva.
Com esta crescente interdependência e interconectividade do sistema financeiro,
um ataque cibernético pode afetar as plataformas de negociação, os
agentes/intervenientes do mercado (investidores, intermediários financeiros, empresas de
gestão)35, encadeando uma falha na capacidade de uma instituição de cumprir as suas
obrigações de pagamento e liquidação. Isto poderá levar a uma rutura prolongada e
sistémica de um sistema central de pagamento, afetando assim vários mercados de valores
mobiliários por todo o mundo, disseminando-se pelos sistemas e mercados de forma
global.
34 HUGHES Barry B. [et al.] - ICT/Cyber benefits and costs : reconciling competing perspectives on the
current and future balance. Technological Forecasting & Social Change [Em linha]. Vol. 115 (February
2017) p. 122. 35 Risk Outlook [Em linha]. Comissão do Mercado de Valores Mobiliários, ed. Lisboa : CMVM, Autumn
2016, p. 28.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
32 Mariana Martins da Cruz Justo
De acordo com a CMVM36, a manipulação dos valores que estão a ser
transacionados obstruirá o funcionamento dos mercados. Passando para o ponto de vista
de proteção ao investidor, os ataques cibernéticos podem resultar em vazamento de
informações confidenciais, na apropriação indevida de ativos dos investidores, na
clonagem de informações de intermediários, prejudicando a integridade do próprio
sistema.
Focando-nos no setor económico, nomeadamente no emprego e na sua natureza,
verifica-se que, segundo o World Economic Forum37 47% dos empregos dos EUA estão
em risco de automatização. A natureza do mercado de trabalho está em alteração, dando
lugar a empregos temporários que impedem o planeamento de investimentos a longo
prazo por parte das famílias, como compra de casa, planos de poupança reforma. Tudo
isto traz impactos elevados para a sociedade global que necessitam de ser considerados,
como problemas sociais, instabilidade e tensões sociais, políticas e económicas. Pelo
elevado controlo e monitorização que as TI permitem, pode existir também uma restrição
de novas oportunidades para a democracia de expressão e mobilização.
“(…) in a global economy based on neoclassical models of capitalism, mass
unemployment spells depression, not utopia.”38
A conetividade global e os modelos online tendem a conduzir à monopolização
da internet, causando elevadas despesas em segurança ao nível preventivo, com o
respetivo impacto no caso de eventos cibernéticos. Os desafios ao nível da coesão social
e de legitimidade de decisores políticos são incomensuráveis – é necessário,
impreterivelmente, a colaboração daqueles, para a criação de formas mais ágeis a nível
local, nacional e global de governação e gestão de risco.
Assim, “assegurar a integridade, segurança, eficiência e continuidade”39 das redes
é uma questão fundamental para a economia mundial.
36 Risk Outlook [Em linha]. Comissão do Mercado de Valores Mobiliários, ed. Lisboa : CMVM, Autumn
2016, p. 28. 37 WORLD ECONOMIC FORUM - The global risks report 2017 [Em linha]. 12th ed. Geneva : World
Economic Forum, 2017. 38 WORLD ECONOMIC FORUM. Global Agenda Council on the Future of Software & Society - Deep
shift : technology tipping points and societal impact [Em linha]. Geneva : World Economic Forum, 2015,
p. 32. “(…) numa economia global baseada em modelos neoclássicos do capitalismo, o desemprego em
massa provoca a depressão e não a utopia.” 39 WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience - Understanding systemic
cyber risk [Em linha]. Geneva : World Economic Forum, 2016, p. 10.
Risco Cibernético
Mariana Martins da Cruz Justo 33
3.1. AS EMPRESAS
Hodiernamente, a pressão exercida sobre as empresas é elevada. É necessário
evidenciarem crescimento, de modo a satisfazer os acionistas e obrigacionistas;
apresentarem inovação através de novos produtos e serviços e com uma adequada
prestação dos mesmos, de modo a satisfazer as necessidades dos consumidores finais;
incentivar e formar os funcionários, de modo a aumentarem a produtividade e a sua
motivação; mitigar o impacto no meio ambiente; mitigar o risco cibernético, de modo a
diminuir os impactos no negócio e na segurança do mesmo.
Os modelos de negócio têm-se alterado, não só como resultado da evolução da
utilização e aplicação dos dados, mas também fruto da pressão regulatória europeia (com
o desenvolvimento do novo RGPD e da Diretiva NIS, analisados em diante).
A resiliência cibernética40 adquire uma importância crescente. “Many
organizations need to evaluate their digital risk and focus on building resilience for the
inevitable.”41. Verifica-se a capacidade de uma empresa em identificar/detetar, prevenir
e responder a processos ou falhas tecnológicas e, ainda recuperar e minimizar os danos a
todos os níveis: do cliente, reputacional e de perdas operacionais e financeiras de elevado
impacto. A fase da perceção prende-se com a “capacidade das organizações de prever e
detetar cyber ameaças”42. A fase da resistência trata-se do “escudo de defesa corporativa
(corporative shield)”43. A última, da reação, é acionada caso a perceção não funcione ou
haja uma falha na resistência.
De acordo com a AON44, a capacidade de preparação do risco das organizações
está a diminuir. Apesar da perceção e avaliação do risco cibernético e a subscrição do
seguro estarem em crescimento, a preparação organizacional está em declínio, passando
40“Cyber resilience is a broader approach that encompasses cyber security and business continuity
management, and aims not only to defend against potential attacks but also to ensure your organization’s
survival following an attack.”, in IT GOVERNANCE - Cyber resilience [Em linha]. Cambridgeshire : IT
Governance, 2018. “A resiliência cibernética é uma abordagem mais ampla que engloba a segurança
cibernética e a gestão da continuidade do negócio, e visa não apenas defender-se de potenciais ataques, mas
também garantir a sobrevivência de sua organização após um ataque.” 41 Sean Joyce apud CASTELLI, Christopher [et al.] - Strengthening digital society against cyber shocks :
Key findings from The Global State of Information Security® Survey 2018 [Em linha]. Hong Kong : PwC,
2017. p. 4. Sean Joyce é o US Cybersecurity and Privacy Leader, na PwC. “Muitas organizações necessitam
de avaliar o seu risco digital e de se concentrar na construção de resiliência para o inevitável”. 42 ERNST & YOUNG GLOBAL LIMITED - O caminho para a ciber-resiliência : perceção, resistência,
reação : 19ª pesquisa global de segurança da informação EY 2016-17 [Em linha]. [S.l.] : EY, 2017, p. 5. 43 ERNST & YOUNG GLOBAL LIMITED - O caminho para a ciber-resiliência …, p. 5. 44 AON - Global risk management survey 2017 [Em linha]. London : AON, 2017, p. 78-79.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
34 Mariana Martins da Cruz Justo
de 82% em 2015 para 79% em 2017. Isto pode dever-se a duas razões: as empresas
utilizam técnicas cada vez mais sofisticadas na gestão de risco cibernético, descobrindo
assim novos aspetos anteriormente desconhecidos neste risco, tendo que aumentar
constantemente a sua preparação; a evolução constante da transformação digital cria
maiores vulnerabilidades, provocando uma maior exposição da empesa e sendo um
desafio maior implementar estratégias mais eficazes.
Portanto, segundo o World Economic Forum45 o principal desafio e recomendação
será a compreensão do risco de ataques cibernéticos de grande escala e de outras ameaças
cibernéticas. Assim, a Global Agenda Council on Risk and Resilience46, aconselha as
entidades a integrarem os riscos cibernéticos na avaliação dos riscos críticos globais da
organização, com uma abordagem realizada através da formação – para clarificar as
causas, os efeitos e os impactos destes ataques nas organizações. Nesta avaliação, deverão
estar incluídos os riscos específicos para a confidencialidade, disponibilidade e
integridade da informação crítica, devido às consequências reputacionais, de confiança e
de continuidade do negócio. A grande questão central passa pela prevenção/deteção de
violações de dados, que prejudicam a integridade e a privacidade dos seus titulares.
Adicionando a estes termos, a estipulação de diretrizes concretas, incentivando
um maior investimento em abordagens, com uma análise relativamente ao custo-
benefício na alocação de recursos e modelagem de gestão de risco, sendo necessária uma
colaboração público-privada, com partilha de informações47. O reforço do investimento,
o aumento da responsabilização, através de penalizações, e a exploração do uso do seguro
de risco cibernético, reduzindo/transferindo o risco, são também algumas das
recomendações anunciadas.
Para PEDRO MOURA FERREIRA, é necessário melhorar a avaliação dos riscos
cibernéticos nas empresas, fomentar mais formações educacionais e de
consciencialização de todos os colaboradores, promover medidas de prevenção e
implementação de melhores práticas para a proteção do risco, a definição de protocolos
45 WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience - Resilience insights [Em
linha]. Geneva : World Economic Forum, 2016, pp. 14-17. 46 WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience - Resilience insights…,
pp. 14-17. 47 WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience - Resilience insights…,
pp. 14-17.
Risco Cibernético
Mariana Martins da Cruz Justo 35
de forma a dar uma resposta mais rápida e recuperar de forma eficiente após um incidente
cibernético, a subscrição de seguros que permitam a mitigação destes riscos.48
Segundo a AON49, existem vários passos para se constituir um plano de proteção
e um plano de recuperação para uma possível violação de segurança cibernética. No
entanto, garantir o cumprimento deste plano não é o equivalente a proteger a empresa
contra os ataques. Deve existir uma supervisão por parte dos administradores das
infraestruturas. Uma abordagem holística é indispensável para analisar e identificar o
nível do risco e proteger os ativos críticos da empresa.
Numa primeira fase, é fundamental discutir qual o perfil de risco da empresa,
desmistificando o setor de atividade, a dimensão, o volume de negócio, a localização das
operações, tratamento dos dados. Numa segunda fase, é necessário verifica o hardware50
e as infraestruturas de TI, com a análise dos sistemas de segurança implementados, o nível
de encriptação dos dados. Numa terceira fase, o software51 e as aplicações de TI são
analisadas: qual o nível de acesso dos diferentes colaboradores aos sistemas, as
autorizações para downloads e instalações. Após estas observações verifica-se a gestão
de privacidade de dados, por parte da empresa, o nível de conformidade com as políticas
implementadas nos termos da proteção de dados e a exposição da empresa a ataques
informáticos/violação de dados qual o seu histórico, com a análise das políticas de gestão
da empresa e os planos de contingência.
Importa sublinhar que, nem todos os fatores são tecnológicos para o risco
cibernético nas empresas. O fator humano tem um papel bastante importante na defesa da
empresa, podendo enfraquecer consideravelmente os níveis de segurança da mesma.
Muitas vezes, os colaboradores deixam disponíveis, de forma intencional ou negligente,
informações confidenciais, colocando em risco os clientes e a própria empresa. Outro
desafio, principalmente em contexto de grandes empresas, prende-se com a existências
48 Vide BIT MAGAZINE - Instituições e empresas não estão protegidas contra o crime cibernético. Bit
Magazine [Em linha]. (21 Dez. 2017). 49 Vide RODRIGUES, Miguel Videira ; ESTEVES, Pedro - Ataques informáticos. As empresas portuguesas
estão preparadas?. Observador [Em linha]. (26 mar. 2017). 50 O hardware é a parte pertencente a todos os componentes da estrutura física do computador. 51 O software são os programas que permitem realizar atividades específicas num computador.
“Computer hardware is any physical device used in or with your machine, whereas software is a collection
of code installed onto your computer's hard drive”. “O hardware do computador é qualquer dispositivo
físico usado em ou com a máquina, enquanto que o software é uma coleção de códigos instalado no disco
rígido do computador.” Vide COMPUTER HOPE - What are the differences between hardware and
software? [Em linha]. Utah : Computer Hope, 2018.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
36 Mariana Martins da Cruz Justo
de diversos acionistas, cada um com a sua perspetiva e contribuição, o que muitas vezes
complica o processo de implementação de padrões para a segurança cibernética.
Em termos globais, a custo prazo, os custos das TIC podem ser superiores aos
benefícios. No entanto, os benefícios são cumulativos, ou seja, os benefícios das TIC (e.g.
a produtividade, como verificado na figura 3) são suportados através do tempo. Sendo
assim, a longo prazo, os benefícios deverão superar os custos. Uma rápida reação, permite
mitigar os impactos, principalmente os custos imediatos, de uma violação cibernética,
reduzindo a empresa gradualmente a exposição aos custos indiretos da empresa. A falta
de investimento em segurança, a falta de consciencialização e de informação transversal,
ou carências na análise de risco são os principais fatores que necessitam de ser alterados.
3.2. SETOR SEGURADOR
A indústria seguradora presencia uma rápida evolução, com uma pressão
crescente para gerir e diversificar da melhor forma o risco, num mercado em constante
mudança, com “(…) o desafio da exigente regulação (…), mas também da inovação, da
digitalização da economia e da mudança de comportamentos dos consumidores (…)”52.
A missão da (res)seguradora passa pela assunção de um risco, mitigando-o ou
eliminando-o. Com o passar do tempo, estes riscos tornam-se “domáveis”, caindo as
margens e diminuindo os seus custos.53 Sendo assim, a característica básica do setor
segurador é a probabilidade de que o evento inesperado aconteça, baseado em cálculos
matemáticos e estatísticos. É necessário, portanto, uma preparação por parte das
companhias de seguro, e um acompanhamento das tendências e dinâmicas,
nomeadamente dos processos de integração, que englobam a globalização, consolidação
e convergência; acontecimentos catastróficos e o surgimento dos novos riscos, causados
pelas tecnologias emergentes.54
52 OLIVEIRA, José Galamba de – Editorial. In ASSOCIAÇÃO PORTUGUESA DE SEGURADORES -
Panorama do mercado segurador 16/17 [Em linha]. Lisboa : APS, 2017, p. 7. 53 PEIGNET, Victor - Technology : shaping the risk landscape. Focus [Em linha]. N.º 22 (April 2017) p.
34 54 NJEGOMIR, Vladimir ; MAROVIĆ, Boris - Contemporary trends in the global insurance industry.
Procedia - Social and Behavioral Sciences [Em linha]. Vol. 44 (2012) p. 134-142.
Risco Cibernético
Mariana Martins da Cruz Justo 37
É, neste sentido, possível analisar o risco cibernético e o seu impacto no setor
segurador em duas vertentes: como uma ameaça à segurança do próprio setor e como um
risco a segurar55.
Por um lado, os riscos associados à implementação das TIC podem afetar muitos
outros setores, sendo imprescindível para as seguradoras a sua adaptação a este
desenvolvimento. Após um evento catastrófico, os seguros permitem a injeção de capital,
estimulando a liquidez da economia. Portanto, este novo panorama criará oportunidades
de desenvolvimento, embora seja necessária a capacidade de identificar, avaliar e
determinar as suas próprias capacidades para rejeitar ou aceitar a subscrição desses
mesmos riscos. A possibilidade de oferecer um seguro com cobertura cibernética, que
cubra as perdas financeiras inesperadas causadas por um evento cibernético, encontra-se
agora disponível, transferindo o impacto severo de eventos deste tipo. Isto traduz-se na
criação de valor para as seguradoras, com um aumento na procura deste tipo de seguros
e um aumento do volume de prémios e cobertura, desenvolvendo assim a sua carteira.
As seguradoras, no entanto, enfrentam elevadas dificuldades na modelização do
risco cibernético e na sua quantificação.56 Isto acontece por inúmeras razões: (i) o
ambiente cibernético está em constante evolução, sendo que os dados históricos não
refletem o ambiente atual; (ii) existem poucos métodos e dados atuariais para quantificar
o valor económico sobre as perdas de informações/violação de dados dos segurados; (iii)
a interconectividade dos sistemas das TI, que dificulta a monitorização deste risco (o
mesmo ataque pode envolver diversas soluções de seguro); (iv) as estratégias dos ataques
estão em crescimento constante, afetando as cláusulas presentes nos contratos de seguro;
(v)57 o valor financeiro das empresas modernas está cada vez mais conexo aos seus ativos
intangíveis58, sendo que as seguradoras deverão concentrar-se em avaliar e quantificar a
propriedade intelectual e os danos à reputação; (vi) ainda não estão totalmente claras as
necessidades exatas das empresas em termos de cobertura, não existindo ainda
55 INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper on cyber risk to
the insurance sector [Em linha]. [Basel] : IAIS, 2016. 56 PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of insurance [Em
linha]. Amsterdam : CRO Forum, 2014, p. 20. 57 PARSOIRE, Didier ; HEON, Sébastien - State of the cyber (re)insurance market. Focus [Em linha]. N.º
22 (April 2017) p. 28. 58 Ativos sem existência física, como softwares, patentes.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
38 Mariana Martins da Cruz Justo
clausulados dos contratos de seguro cibernético totalmente definidos (com ausência de
definições específicas).
No entanto, tendo em conta que o risco cibernético está em constante crescimento,
a probabilidade de as seguradoras terem que pagar indemnizações por sinistros ocorridos
ao abrigo do seguro cibernético, é superior. Existe, portanto, aqui um contrabalanço: se
por um lado as seguradoras beneficiarão pela maior oferta e equivalente procura de
seguros cibernéticos, por outro, pagarão elevados montantes de indemnização. Não
obstante, o negócio das seguradoras não seria rentável se pagasse mais pelos sinistros do
que o que recebesse a nível dos prémios, existindo, portanto, uma margem suficiente para
a sua proteção.
Por outro lado, os avanços tecnológicos podem levar a incidentes de segurança
cibernética dentro das companhias de seguros. Os três riscos maiores riscos para as
seguradoras, relacionados com o risco cibernético, são a indisponibilidade de serviços
dos TI, violação de dados e perda de integridade de dados.59
Independentemente do tamanho ou das linhas de subscrição, todas as seguradoras
recolhem, armazenam e processam volumes substanciais de dados, incluindo informações
pessoais (como nome, data de nascimento, registos de saúde privada, etc.) e, muitas vezes,
confidenciais dos tomadores de seguro (dados dos investimentos dos clientes, para os
planos de pensão e seguros de vida, dados bancários, ou o património dos clientes para
os ramos das responsabilidades), tornando esta indústria bastante atrativa para os ataques
cibernéticos e, com elevadas partilhas de informação com terceiros. Isto acontece pela
elevada rede de conexão com outras instituições no mercado (e.g. resseguradores,
investimentos financeiros, prestadores de serviços, terciarização de serviços). Para além
deste facto, as mudanças na estrutura corporativa, através de fusões e aquisições, podem
da mesma forma afetar a exposição da empresa ao risco cibernético, com desafios
adicionais para integrar os processos.
As informações obtidas junto das seguradoras, podem ser utilizadas para obter
outro tipo de ganhos financeiros, através do crime cibernético, como extorsão, roubo de
59 PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of insurance [Em
linha]. Amsterdam : CRO Forum, 2014, p. 8.
Risco Cibernético
Mariana Martins da Cruz Justo 39
identidade ou apropriação indevida de propriedade intelectual.60 Para além disto, com as
novas coberturas de responsabilidade cibernética, as seguradoras dispõem de dados como
os controlos de segurança na rede de determinados segurados. Isto resulta em danos
graves para os segurados, no caso de um ataque cibernético, repercutindo-se na reputação
e na capacidade de condução de negócios da própria seguradora, com perdas financeiras
e de clientes, custos legais e operacionais de recuperação muito substanciais. Sendo que
os seguros se baseiam bastante na confiança, - que os dados do tomador de seguro sejam
protegidos, que os sinistros sejam pagos - quando ocorre uma violação de dados ou um
incidente de segurança cibernética (não sendo possível proceder ao pagamento dos
sinistros), esta confiança acaba por ser abalada, existindo um elevado dano de reputação.
Para aumentar a capacidade de resiliência61 do setor aos riscos cibernéticos, é
necessário um papel mais ativo dos supervisores das seguradoras na investigação (com
um papel relevante da ASF). O supervisor deve abordar este risco através de
regulamentação e de uma política de supervisão que envolva a segurança das informações
privadas detidas pelas seguradoras e outros intermediários que intervenham nestes
processos. Para além destas práticas, aquelas mencionadas no tópico supra, referente às
empresas, valem de igual forma para as empresas deste setor.
De acordo com PHILIPPE COTELLE, não são as seguradoras que percorrerão
este caminho, mas sim "regulation, as well as pressure from investors for more
transparency with regard to cyber risk management is what will motivate companies to
improve”62
4. PERSPETIVAS FUTURAS
A estrutura das sociedades em rede e a construção do ciberespaço traduzem-se em
características inerentes ao novo século, com o contínuo crescimento do risco cibernético
e dos seus riscos subjacentes.
60 INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper on cyber risk to
the insurance sector [Em linha]. [Basel] : IAIS, 2016, p. 9-10. 61 INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper on cyber risk…,
p. 13-14. 62 SCOR - Summary of the panel discussion on cyber risks and insurance for corporates : a true global risk
management approach and a need for further dialogue. Focus [Em linha]. N.º 22 (April 2017) p. 33.
“A regulamentação, assim como a pressão dos investidores para mais transparência no que diz respeito à
gestão do risco cibernético, é o que motivará as empresas a melhorar.”
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
40 Mariana Martins da Cruz Justo
4.1. QUARTA REVOLUÇÃO INDUSTRIAL
O mundo, num cômputo geral, enfrenta um período desafiante. A indústria está
em transformação, a uma velocidade vertiginosa, de forma transversal, falando-se de uma
nova Revolução Industrial, com a premissa de aumentar o rendimento global e melhorar
a qualidade de vida das populações.
Esta Revolução, a Quarta, está a provocar alterações profundas. Com base na
conectividade digital e com o uso massivo da internet, deparamo-nos com novas
potências emergentes a todos os níveis (tecnológico, económico e industrial) como a
China e a Índia. Através da interligação em rede de máquinas e sistemas de produção e
equipamentos, existe a criação de redes inteligentes e independentes ao longo da cadeia
de valores63 das empresas, controlando os processos de produção.
Também denominada como a Revolução 4.0 implicou uma mudança de
paradigma, quer nos sistemas de produção, quer nos modelos de negócio, em que a
“Internet das Coisas”64 65, a Inteligência Artificial66, a robótica, a biotecnologia,
nanotecnologia, veículos autónomos, o “Big Data”67, armazenamento de energia e a
impressão 3D são as questões fulcrais. O Big Data “can be a source of significant value
63 Michael Porter, na obra de Competitive Advantage de 1985, designa a cadeia de valores como a ideia de
ver uma organização como um sistema com subsistemas com inputs, processos de transformação e outpus.
Trata-se, portanto, do conjunto de atividades desempenhadas no processo das organizações, encontrando-
se as relações com fornecedores, ciclos de produção e de venda, até à distribuição final ao consumidor. 64 “É um conceito que significa interligar os aparelhos do dia-a-dia, máquinas, equipamentos de transporte,
eletrodomésticos, e mesmo pequenos objetos de uso diário à internet, interagindo entre si e “lendo” o
ambiente à sua volta através de sensores (temperatura, humidade, presença, etc), transformando objetos
estáticos em elementos dinâmicos de uma rede integrada, cujas centrais utilizarão essa informação de forma
inteligente. Prevê-se que esta forma de ligação digital estimule o surgimento de novos produtos e serviços
diferenciados.”, Vide PINHEIRO, Vanda Cardoso - Indústria 4.0 a quarta revolução industrial [Em linha].
Lisboa : Compete 2020, 2016. 65 Com a relação triangular entre as coisas-serviços-pessoas, através das plataformas digitais. 66 “AI encompasses all intelligent “agents” (computer systems) that have the capacity to learn, adapt and
successfully operate in dynamic and uncertain environments. They are mostly immaterial, or machines
without motor functions”, In KESSLER, Denis - How artificial intelligence will impact the (re)insurance
industry. Focus [Em linha]. (March 2018) p. 10. “A Inteligência Artificial engloba todos os “agentes”
inteligentes (sistemas computacionais) que têm a capacidade de aprender, adaptar e operar com sucesso em
ambientes dinâmicos e incertos. Eles são principalmente imateriais, ou máquinas sem funções motoras.” 67 Trata-se dos “sistemas informáticos que existem hoje em dia, os computadores de elevada capacidade e
as redes de comunicação abrangentes e de baixo custo, que fazem com que seja possível armazenar com
rapidez uma grande quantidade de informação, que depois de tratada e analisada em tempo real, facilitará
tomar decisões com base nessa informação de valor com mais precisão e confiança”, In PINHEIRO, Vanda
Cardoso - Indústria 4.0 a quarta revolução industrial [Em linha]. Lisboa : Compete 2020, 2016.
Risco Cibernético
Mariana Martins da Cruz Justo 41
for society, enhancing productivity, public sector performance and social
participation”68.
Segundo SCHWAB, escritor pioneiro sobre esta revolução, “O futuro do emprego
será feito por vagas que não existem, em indústrias que usam tecnologias novas, em
condições planetárias que nenhum ser humano já experimentou”. A substituição de
trabalhadores por máquinas pode trazer um aumento dos empregos que tragam maior
gratificação e segurança aos trabalhadores. De acordo com o estudo Man and Machine in
Industry 4.0: How will Technology Transform the Industrial Workforce Through 202569,
existirá um aumento de 6% no número de empregos até 2025 na Alemanha, na área das
TI e softwares.
No entanto, segundo os economistas ERIK BRYNJOLFSSON e ANDREW
MCAFEE,70 existe um risco de aumento de desigualdade. Com o conjunto limitado de
competências técnicas no mercado de trabalho, estima-se que, nos próximos cinco anos,
as principais economias mundiais irão perder aproximadamente cinco milhões de
empregos71, com alterações nas remunerações: cargos cognitivos e recreativos com
elevados salários, contrastando com ocupações manuais com diminuídos salários, que se
espera que acelere nos próximos anos em setores maioritariamente não-industriais. O
capital substituirá a mão-de-obra no setor dos serviços, observando-se aqui o fosso entre
os retornos do capital vs trabalho (sendo que os retornos de capital intelectual e físico,
com inovação, são bastante superiores aos retornos da mão-de-obra).
A Quarta Revolução Industrial revela a interdependência de redes de
infraestruturas críticas, incluindo transportes, energia, comunicações, água, resíduos
sólidos, trazendo grandes oportunidades para a inovação e riscos complexos inerentes.
Uma maior rede pode contribuir para o aumento da resiliência e aproveitamento das
economias de escala: com os ganhos já referidos em eficiência e produtividade, com a
68 COUNCIL OF EUROPE. Consultative Committee of Convention for The Protection of Individuals With
Regard to Automatic Processing of Personal Data - Guidelines on the protection of individuals with regard
to the processing of personal data in a world of big data [Em linha]. Strasbourg : Council of Europe, 2017.
“Pode ser uma fonte de valor significativo para a sociedade, aumentando a produtividade, o desempenho
do setor público e a participação social”. 69 LORENZ, Markus [et al.] - Man and machine in industry 4.0: how will tecnology transform the industrial
workforce through 2025 [Em linha]. Boston : Boston Consulting Group, 2015. 70 SCHWAB, Klaus - The fourth industrial revolution : what it means, how to respond [Em linha]. Geneva
: World Economic Forum, 2016. 71 CANN, Oliver - Five million jobs by 2020 : the real challenge of the fourth industrial revolution [Em
linha]. Geneva : World Economic Forum, 2016.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
42 Mariana Martins da Cruz Justo
expansão contínua dos transportes e comunicações que levará a uma diminuição dos seus
custos. Isto permite a abertura a novos mercados com o impulsionamento do crescimento
económico. Para a sociedade, facilitará o acesso a volumes de informação e
conhecimento, comunicação e expressão da opinião, mobilizando o apoio social,
ambiental e político. Não obstante, a margem para falhas sistémicas aumenta, afetando a
sociedade relativamente a ataques cibernéticos.
4.1.1. AS EMPRESAS
Esta nova revolução, apesar de garantir mais e melhores oportunidades de
negócio, implica uma adoção de profissionais habilitados e preparados para auxiliar e
lidar com estes novos paradigmas, cujo valor central passará a estar na informação e nos
dados.
Segundo SCHWAB, as principais mudanças verificam-se no modelo de produção
e organização empresarial e no marketing e relação com o cliente, nomeadamente
“alterações nas expectativas dos clientes”, “produtos mais inteligentes e mais
produtivos”, “novas formas de colaboração e parcerias”, “transformação do modelo
operacional e conversão em modelo digital”.72 Com o surgimento de plataformas globais
e novos modelos de negócio urge a necessidade de adaptação imediata da cultura e forma
organizacional de cada empresa.
“A questão para todas as indústrias e empresas, sem exceção, deixou de ser “haverá
rutura em minha empresa?” mas sim, “quando ocorrerá a rutura, quando irá demorar e
como ela afetará a mim e a minha organização?””73
Portanto, o grande desafio para as empresas em relação aos recursos humanos, na
posição deste autor, passará por manter hierarquias flexíveis, com o poder menos
centralizado e com mais camadas a tomarem decisões, obter novas formas de
recompensar e medir desempenho. Dever-se-á apostar na qualificação dos recursos
humanos para estes novos processos e capitalizar as empresas para que consigam
implementar estas modificações e não ficarem em desvantagem competitiva.
A cadeia de valores ganha também uma nova forma, com um novo “ecossistema
digital” com uma troca constante e infinita de dados e informações, não só ao nível de
72 SCHWAB, Klaus - The fourth industrial revolution. Geneva : WEF, 2016, p. 7. 73 SCHWAB, Klaus - The fourth industrial revolution..., p. 21.
Risco Cibernético
Mariana Martins da Cruz Justo 43
fornecedores, mas também de clientes. Estes últimos deixam de ter uma experiência
passiva e passam a influenciar diretamente na conceção de soluções no mercado. Aqui,
será possível reduzir os custos logísticos, pois a troca de informações conduzirá a uma
maior difusão de conhecimentos e necessidades/pedidos, levando consequencialmente, a
um equilíbrio entre a oferta e a procura. Focando-nos do lado da oferta, as empresas
conseguirão antecipar-se à procura dos consumidores (pois dispõem de informação
adicional que anteriormente não dispunham), produzindo apenas o necessário,
controlando os stocks e evitando perdas. Adicionalmente, a eficiência no uso das
máquinas e o tempo de produção dos equipamentos melhora substancialmente,
reduzindo-se, portanto, os custos e otimizando os processos (com um aumento da rapidez
e qualidade da produção). Muito destes resultados deve-se a fatores como o
desenvolvimento do marketing, das vendas e dos canais de distribuição. Por outro lado,
relativamente à procura, os consumidores tornaram-se mais exigentes, com novos padrões
de consumo, construídos muitas vezes, através da opinião em massa potencializada com
o acesso às redes. Os clientes tornam-se assim no núcleo da economia, com os objetivos
a passarem pelo melhor atendimento dos mesmos por forma a corresponder às suas
expectativas. Concluindo, com este equilíbrio, os consumidores tiveram a possibilidade
de, através da tecnologia, ganhar novos produtos e serviços, capazes de aumentar a
eficiência e o prazer pessoal de cada um.
“Digital strategy and the integration of digital technologies into companies’
strategies and operations in ways that fundamentally alter the value chain is emerging as
a significant source of competitive advantage and driving dramatic changes in the
products and services companies bring to market, as well as how they do business”74
4.1.2. SETOR SEGURADOR
A seguradora, enquanto subscritora de um risco, tenta extrair o máximo de dados
possíveis, através de questionários e dados estatísticos, por forma a inferir o
comportamento do segurado. Por outro lado, o segurado pretende manipular o risco,
74 Radding apud WORLD ECONOMIC FORUM. Global Agenda Council on the Future of Software &
Society - Deep shift : technology tipping points and societal impact [Em linha]. Geneva : World Economic
Forum, 2015, p. 9. “A estratégia digital e a integração das tecnologias digitais nas estratégias e operações
das empresas de forma a alterar fundamentalmente a cadeia de valores, está a emergir como uma fonte
significativa de vantagem competitiva e a gerar mudanças dramáticas nas empresas de produtos e serviços
trazidas para o mercado, bem como as suas maneiras de fazer negócios.”
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
44 Mariana Martins da Cruz Justo
através da ocultação/deturpação de informação e manipulando os preços. Tudo isto
remonta-se à assimetria da informação existente neste setor.
No entanto, com os desenvolvimentos entusiastas da IA e do Big Data, as
informações são abrangentes, acessíveis a partir de diversas fontes e disponíveis em
tempo real e a menor custo75. A informação pode agora ser vista como um produto.
Produto esse, comercializável e processado através da IA, diminuindo assim a assimetria
da informação.
A InsurTech (tecnologia no setor de seguros) trata-se da digitalização da indústria
seguradora, com a utilização da IA, por forma a trazer valor acrescentado para a sua
cadeia de valores. Esta nova tecnologia acarreta novos canais de distribuição e um
aumento da concorrência, com uma vantagem competitiva para as empresas que a
utilizam. Segundo MICHAEL BRUCH,
“There is huge potential for Artificial Inteligence to improve the insurance value
chain. Initially, it will help automate insurance processes to enable better delivery to our
customers. Policies can be issued, and claims processed, faster and more efficiently”.76
Os benefícios prendem-se com uma melhoria da eficiência e precisão desde a
subscrição de seguros (de forma automatizada) e processamento de sinistros, até à análise
de risco, atenuando a carga administrativa e aumentando a capacidade das seguradoras
para monitorizar os riscos em evolução, com uma deteção de fraude e resposta a
reclamações mais eficaz. O conhecimento e perceção sobre os riscos aumenta, o que
permite a criação de novos produtos, personalizados, adequados às necessidades
crescentes dos clientes, com uma melhor correspondência entre o risco e o respetivo
preço, redefinindo a proposta de valor e redirecionando os colaboradores para uma função
mais comercial – o valor central é o cliente e a sua fidelização.
Segundo MICHAEL COOK77, consultor de sinistros na PWC,
75 KESSLER, Denis - How artificial intelligence will impact the (re)insurance industry. Focus [Em linha].
(March 2018) p. 8. 76 Michael Bruch, Head of Emerging Trends na AGCS. Vide SHEEHAN, Matt - Artificial intelligence risks
may outweigh benefits, reports Allianz. Reinsurance News [Em linha]. (29 mar. 2018).
“Existe um enorme potencial para a inteligência artificial melhorar a cadeia de valor dos seguros.
Inicialmente, ajudará a automatizar os processos de seguro para permitir uma melhor entrega aos nossos
clientes. As políticas podem ser emitidas e as reclamações processadas de maneira mais rápida e eficiente”. 77 Vide SHEEHAN, Matt - Digitalisation will ‘redefine’ insurance claims handling: PwC. Reinsurance
News [Em linha]. (12 Jul. 2018).
Risco Cibernético
Mariana Martins da Cruz Justo 45
“The future role of a claims professional will largely be driven by the type of claim –
simpler settlements will be dealt with through technology, freeing up time for experts to
work on more complex claims. New roles will also be created including a customer
concierge, new product development such as parametric driven insurance for climate
change, and the provision of loss prevention services.”78
Não obstante, este setor enfrenta também um elevado risco operacional. Este risco
advém, em grande parte, da terceirização do setor. De outra forma, o risco sistémico
também está aqui presente. Sendo que a IA é constituída por algoritmos, existe o risco de
todas as seguradoras/resseguradoras confiarem nos mesmos algoritmos, com os mesmos
inputs (inputs esses importados pelos Humanos) para os mesmos fluxos de dados. Isto
culmina num acumular de perdas para o setor caso todos os algoritmos tenham a mesma
falha. Desta forma, seria relevante efetuar análises/auditorias frequentes aos algoritmos,
com medidas de mitigação incorporadas.
Outrossim, existe uma preocupação particular para este setor que, para além de
interiorizarem nos seus métodos operacionais a IA, as seguradoras também irão,
tendencionalmente, segurar este risco, obrigando a uma análise e processamento da
informação, sinistros, por forma a conseguir avaliar e quantificar o mesmo. O
desenvolvimento destes algoritmos capazes de processar e extrapolar um volume infinito
de dados, permitiu o desenvolvimento de muitos serviços (e.g. acesso a crédito,
comercialização de seguros), descurando de um custo indireto valioso, a privacidade,
custo esse discutido devidamente no próximo capítulo.
Debruçando-nos no ramo Vida, as alterações são bastante significativas. Por um
lado, com o envelhecimento da população, as despesas médicas, os cuidados de longa
duração são superiores para as seguradoras. O mesmo acontece, com o perfil dos
segurados, que serão, à partida, mais “conservadores” à subscrição de novos métodos e
novos tipos de apólices, perturbando as relações com os segurados mais idosos. Por outro
lado, com as alterações na categoria biológica, como as inovações no campo da genética,
as pessoas idosas podem viver de forma independente e com maior longevidade, com
78 “O papel futuro de um profissional de sinistros será, em grande parte, impulsionado pelo tipo de sinistro
– os mais simples serão resolvidos por meio da tecnologia, permitindo maior tempo para que os especialistas
trabalhem em tipos de sinistros mais complexos. Também serão criados novos cargos, incluindo um
concierge do cliente, desenvolvimento de novos produtos, como seguros paramétricos para mudanças
climáticas, e o fornecimento de serviços de prevenção de perdas."
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
46 Mariana Martins da Cruz Justo
menor despesas e maior qualidade de vida, reduzindo os internamentos, custos e as taxas
de mortalidade para as seguradoras.
Relativamente ao ramo Patrimoniais, sendo que o erro humano se prende como a
principal causa dos sinistros, a automatização das máquinas poderá levar a uma menor
frequência de acidentes. No entanto, aqui nasce o problema da responsabilização: quem
é o responsável quanto existe uma falha na tecnologia? Provavelmente, o criador do
algoritmo, sendo que o erro humano estará sempre subjacente a todas estas novas
questões.
Quando falamos dos ramos acidentes de trabalho e acidentes pessoais, as
alterações são também notórias. Primeiro, através da IA, surgem novos tipos de
ferramentas de monitorização, com a substituição de maquinaria em situações mais
propícias a sinistros (e.g. refinarias, construção civil). Esta nova forma de subscrição
permite prever os riscos com mais precisão (novamente pelo enorme volume de dados),
reduzindo assim as perdas subjacentes e aumentando a exatidão no preço.
Destacando o risco financeiro, as novas tecnologias permitem auxiliar as
seguradoras a gerir o risco de liquidez e de crédito das suas atividades de investimento.
Repetidamente, pela análise e tratamento de um volume infinito de dados, é possível
melhorar as avaliações e previsões probabilísticas do comportamento dos fundos
financeiros analisando de melhor forma estes riscos e ainda os deveres e obrigações
regulamentares enfrentadas pelos gestores destes fundos.
A indústria seguradora era o setor dos dados. Hoje, o panorama mudou, e o
verdadeiro setor de dados é o setor TI79. A “Internet das Coisas” e o Big Data permitem,
com a enormidade de quantidade de dados existentes, uma maior gestão e interpretação
dos mesmos, sendo possível avistar um novo papel por parte das re/seguradoras e,
principalmente, das corretoras: um papel com maior peso em consultoria financeira e
gestão de risco, ao invés da simples subscrição/transferência de risco. Assim, pretende-se
combinar o Homem e a Máquina. Com esta junção, combina-se a criatividade e
79 KESSLER, Denis - How artificial intelligence will impact the (re)insurance industry. Focus [Em linha].
(March 2018).
Risco Cibernético
Mariana Martins da Cruz Justo 47
sensibilidade humana com a análise automatizada e sintetizada de grandes volumes de
dados (“Man Machine Learning”)80.
Não obstante todos estes benefícios, este tipo de modelo comporta-se de forma
semelhante aos modelos tradicionais, dependendo dos dados e de comportamentos
passados para prever riscos futuros. A única diferença é que é mais rápido e eficiente que
os modelos anteriores, pois lida com um volume de dados nunca antes medido. No
entanto, com os recentes desenvolvimentos dos riscos emergentes, deparamo-nos com
falta de informação passada sendo, na mesma medida, dificultada a sua análise. Espera-
se que, com os desenvolvimentos entusiastas da Quarta Revolução Industrial, e com o
desenvolvimento de aquisição de informação, no futuro, este tipo de modelo seja
amplamente bem-sucedido.
80 KESSLER, Denis - How artificial intelligence..., p. 8.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
48 Mariana Martins da Cruz Justo
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 49
CAPÍTULO III – REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
1. ENQUADRAMENTO LEGAL: NOVO REGULAMENTO
Com a evolução tecnológica, qualquer indivíduo consegue aceder a dados
pessoais de qualquer ser humano, possibilidades essas a serem frequentemente utilizadas
de forma errada e abusiva. Neste sentido, e para garantir a segurança dos dados pessoais
e o direito à reserva da vida privada, exigiu-se a evolução do Direito, ainda obsoleto.
“Dados pessoais são qualquer informação, de qualquer natureza e
independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa
singular identificada ou identificável”81
Em primeiro lugar, a CRP consagra constitucionalmente a proteção de dados
pessoais, nos artigos 26.º e 35.º, prevendo como um “direito fundamental de cada cidadão
o acesso aos respetivos dados informativos, bem como retificação, a atualização, e ao
conhecimento da finalidade a que se destinam (…)”82.
Em segundo lugar, a Lei 43/2004 de 18 de agosto veio regular a Lei da
Organização e Funcionamento da Comissão Nacional da Proteção de Dados, sendo que a
Lei 32/2008 de 17 de julho “transpõe para a ordem jurídica interna a Diretiva nº
2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à
conservação de dados gerados ou tratados no contexto da oferta de serviços de
comunicações eletrónicas publicamente disponíveis ou de redes públicas de
comunicações”.83 Em terceiro lugar, a Lei 67/98 de 26 de outubro, a Lei de Proteção de
Dados Pessoais, “transpõe para a ordem jurídica portuguesa a Diretiva n.º 95/46/CE, do
Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das
pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre
circulação desses dados”84.
81 Conceito definido no art. 3.º, al. a) LPD (Lei de Proteção de Dados Pessoais, n.º 67/98, de 26 de outubro),
que transpõe para a nossa ordem jurídica a Diretiva nº 95/46/CE, do Parlamento Europeu e do Conselho,
de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados. 82 PEREIRA, Alexandre Libório Dias - Big data, e-health e «autodeterminação informativa» : a lei 67/98,
a jurisprudência e o regulamento 2016/679 (GDPR). Lex Medicinae – Revista Portuguesa de Direito da
Saúde [Em linha]. N.º 29 (2018), p. 3. 83 Vide LEI n.º 32/2008, de 17 de Julho : Conservação de dados gerados ou tratados no contexto oferta de
serviços de comunicações electrónicas. In PGDL : Procuradoria-Geral Distrital de Lisboa [Em linha].
Lisboa : PGDL, 2018. 84 Vide LEI n.º 67/98. Diário da República [Em linha]. Série I-A, n.º 247/1998 (26-10-1998).
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
50 Mariana Martins da Cruz Justo
Tendo em conta este progresso, e por se tratar de um problema transfronteiriço,
surgiu a necessidade de existir uma uniformização e homogeneização das normas
estabelecidas em todos os estados membros da União Europeia, emergindo assim o
“Regulamento Geral da Proteção de Dados”. Este Regulamento prende-se com o reforço
do direito fundamental à proteção de dados, como previsto na Carta dos Direitos
Fundamentais da UE e no Tratado de Funcionamento da UE, contribuindo para progresso
económico e social e consolidação e convergência, com a confiança necessária, das
economias no mercado interno.85
O RGPD teve aplicação obrigatória a 25 de maio de 2018, revogando assim em
Portugal, a Lei n.º 67/98, de 26 de outubro (que transpõe para a ordem jurídica Portuguesa
a anterior Diretiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro
de 1995). Importa clarificar que esta revogação não implica uma quebra entre os dois
sistemas, mas sim uma extensão de deveres e definições da anterior Diretiva para o
RGPD. Aplica-se assim a todas as pessoas singulares, independentemente da sua
nacionalidade ou residência (Considerando 14), remetendo-se para as jurisdições
nacionais a adequação do regulamento localmente.
Assim, segundo o artigo 3.º do RGPD, “o presente regulamento aplica-se ao
tratamento86 de dados pessoais efetuado no contexto das atividades de um
estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no
território da União, independentemente de o tratamento ocorrer dentro ou fora da União”.
Quanto às empresas não estabelecidas na UE, a legislação alarga o seu alcance territorial.
Desde que a sua atividade de tratamento de dados se prenda com a oferta de bens e
serviços aos titulares de dados pessoais da UE, aplica-se o disposto no regulamento.
O artigo 4.º n.º1 altera e amplia o conceito de dados pessoais: “informação relativa
a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada
85 Considerando 1, 2 e 7. 86 Também no regulamento, deparamo-nos com a definição de “Tratamento”, no Artigo 4.º, n.º 2:
“Tratamento, uma operação ou um conjunto de operações efetuadas sobre os dados pessoais ou sobre
conjunto de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo,
a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a
utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a
comparação ou interconexão, a limitação, o apagamento ou a destruição”. A lei abrange assim tratamento
de dados pessoais efetuados em território português ou dados pessoais situados no território português e
com base em videovigilância (Art.º 4.º n.º 4).
Aplica-se assim a dados automatizados e não automatizados. Se se aplicasse apenas aos dados
automatizados, deixar-se-ia uma abertura fácil de contornar as restrições do RGPD.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 51
identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em
especial por referência a um identificador, como por exemplo um nome, um número de
identificação, dados de localização, identificadores por via eletrónica ou a um ou mais
elementos específicos da identidade física, fisiológica, genética, mental, económica,
cultural ou social dessa pessoa singular”.
Após análise do Artigo 5.º, verificamos assim os princípios elencados pelo RGPD.
Primeiramente, o princípio de “Responsabilidade”, através da criação da figura do
Encarregado de Proteção de Dados87, e pelo facto do responsável pelo tratamento ter que
responder por toda a implementação e conformidade com o Regulamento. Estabelece
também o princípio da “Licitude, Lealdade e Transparência”, com um tratamento
transparente, de forma lícita e legítima88, baseado no consentimento do titular dos dados.
De seguida, estabelece o princípio da “Limitação de Finalidade”, em que os dados
pessoais só poderão ser tratados para os fins determinados89, sendo que a legitimidade do
tratamento de dados pessoais dependerá também da finalidade do tratamento. Outrossim,
estabelece o princípio de “Minimização dos Dados”, sendo que os dados recolhidos
devem ser os necessários, pertinentes e limitados relativamente às finalidades para os
quais são tratados. O princípio da “Precisão e Exatidão” está também presente, com os
dados pessoais exatos, e atualizados, sempre que imprescindível90, assim como, o
princípio de “Limitação da Conservação”, em que os dados pessoais deverão ser
conservados de forma a identificar as pessoas durante o período acordado e necessário e
para os fins acordados91. Por último, dispomos do princípio de “Integridade e
Confidencialidade”, sendo que deverá ser garantida a segurança dos dados pessoais contra
o tratamento ilícito, bem como a sua integridade92. Analisando o Artigo 1.º detetamos a
referência ao princípio da “Livre Circulação”, como base de existência do regulamento:
proteger o tratamento de dados pessoais e a sua livre circulação.
O tratamento é lícito quando existe: (i) consentimento; (ii) a execução de um
contrato ou diligências pré-contratuais (do qual o titular dos dados é parte); (iii)
87 Remissão para os artigos 77.º (para apresentação de reclamação), 82.º e 83.º RGPD 88 Remissão para os artigos 6.º e 9.º 89 Remissão para o Artigo 26.º. Considerando 39. 90 Remissão para o Artigo 16.º 91 A conservação por períodos mais longos que o necessário poderá ser importante desde que seja para fins
de interesse público ou investigação científica, sendo obrigatória a adoção de medidas adequadas que
salvaguardam os direitos, liberdades e garantias do titular dos dados. 92 Remissão para os Artigos 32.º-34.º
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
52 Mariana Martins da Cruz Justo
cumprimento de uma obrigação jurídica por parte do responsável pelo tratamento de
dados; (iv) proteção dos interesses vitais do titular dos dados; (v) a prática de funções de
interesse público ou a prática da autoridade pública responsável; (vi) os interesses
legítimos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os
direitos e liberdades fundamentais do titular cuja proteção dos dados pessoais se exige.93
Neste contexto, caso exista já uma relação pré-estabelecida com os clientes, é defensável
o tratamento dos dados com base no interesse legítimo do responsável do tratamento.
Assim, pela perspetiva comercial e organizacional, não será necessário requisitar o novo
consentimento, não sendo este o meio de licitude mais adequado.
Engloba assim novos conceitos, com as seguintes mudanças e adaptações:
i. Necessária a existência de uma base legal e de uma finalidade específica e lícita
para controlar e processar os dados pessoais (artigos 6.º e 7.º), incluindo o
consentimento9495 direto, específico e voluntário do titular dos dados, em
conformidade com as obrigações legais da entidade e dos deveres de informação
(artigos 7.º e 8.º da Carta dos Direitos Fundamentais da UE):
a) Este lê-se como uma declaração ou um ato positivo inequívoco, aceite pelo
titular dos dados a que estes sejam objeto de tratamento, de livre vontade,
de forma informada e explícita (Art.º 4.º, al) 11));
ii. Condições aplicáveis ao consentimento de crianças: só com idade igual ou
superior a dezasseis anos podem dar consentimento válido em relação aos
serviços da sociedade da informação (Art.º 8.º, n.º 1, Considerando 38):
a) No entanto, o regulamento admite que os Estados-Membros definam a
idade com que as crianças podem ter acesso aos serviços das TI, variando
entre os 13 e os 16 anos.
iii. Condições especiais para o tratamento de categorias especiais de dados
pessoais (Art.º 9.º, Considerando 51): “É proibido o tratamento de dados
pessoais que revelem a origem racial ou étnica, as opiniões políticas, as
93 PEREIRA, Alexandre Libório Dias - Big data, e-health e «autodeterminação informativa»…, p. 8. 94 Considerando 32 95 Apesar do consentimento existir na anterior diretiva, com o Regulamento, veio a adquirir uma maior
dimensão, com um alargamento do seu conceito.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 53
convicções religiosas ou filosóficas, ou a filiação sindical, bem como o
tratamento de dados genéticos, dados biométricos para identificar uma
pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida
sexual ou orientação sexual de uma pessoa”;
a) Os dados de saúde, incluindo dados genéticos (Art.º 4.º al) 13),
Considerando 34), são considerados dados sensíveis;
b) O tratamento é proibido em princípio, exceto se existir: (i) consentimento
explícito do titular ou caso os torne públicos; (ii) cumprimento de
obrigações e direitos em matéria de legislação laboral, segurança social e
proteção social com base no direito da União ou dos Estados-Membros por
motivos de interesse público; (iii) defesa de direitos vitais do titular; (iv)
tratamento realizado por fundação, associação ou organismo sem fins
lucrativos, políticos, filosóficos, religiosos ou sindicais; (v) exercício ou
defesa de um direito num processo judicial; (vi) efeitos de medicina
preventiva ou do trabalho, diagnóstico médico, prestação de cuidados ou
tratamentos de saúde de ação social, por força de um contrato com um
profissional de saúde - sob reserva de sigilo profissional; (vii) interesse
público para investigação científica ou histórica para fins estatísticos.
iv. Direito à informação, em que o responsável pelo tratamento de dados deve
obter informação transparente e de fácil acesso e fornecê-la de forma
concisa, com linguagem clara e simples (Art.º 13.º);
v. Direito ao acesso, em que o titular pode solicitar ao responsável do
tratamento de dados a confirmação se os seus dados são objeto de tratamento
de dados, assim como tem o direito de aceder às informações como a
finalidade e a categoria dos dados pessoais em questão (Art.º 15.º);
vi. Direito de retificação, em que o titular pode solicitar a retificação dos seus
dados pessoais inexatos (Art.º16.º), sendo que lhe terá de ser comunicada a
retificação, apagamento ou limitação por parte do responsável pelo
tratamento, com o respetivo Direito à notificação (Art.º 19.º);
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
54 Mariana Martins da Cruz Justo
vii. Direito ao esquecimento96, em que um cidadão pode exigir a destruição
permanente dos seus dados pessoais. No entanto, apenas quando se justifique
um dos motivos enumerados nas alíneas do n.º 1 (Art.º 17.º): (i) deixaram de
ser necessários para as finalidades que motivaram a recolha ou tratamento;
(ii) o titular retira o consentimento que motiva o respetivo tratamento, e não
exista outro fundamento jurídico; (iii) o titular exerce o direito de oposição
nos termos do artigo 21.º, n.º 1 e/ou do n.º 2; (iv) os dados foram tratados
ilicitamente; (v) tem que ser cumprida uma obrigação jurídica decorrente do
Direito da União Europeia ou de um Estado-membro e (vi) os dados foram
recolhidos no âmbito do artigo 8.º, n.º 1;
viii. Direito de oposição/limitação ao tratamento dos dados97, em que o
cidadão pode exigir o não tratamento dos seus dados pessoais, mesmo ao
nível de campanhas de marketing (Art.º 18.º/21.º). No caso da oposição, deve
existir um equilíbrio entre os interesses do responsável pelo tratamento e do
titular dos dados;
ix. Direito à portabilidade dos dados, em que os titulares podem exigir a
migração dos seus dados de uma empresa prestadora de serviços para outra,
complementando o direito de acesso, em formato de leitura automática e uso
corrente (Art.º 20.º):
a) “O novo direito à portabilidade dos dados visa dar mais poderes aos
titulares dos dados em relação aos seus próprios dados pessoais, dado que
viabiliza a sua capacidade para transferir, copiar ou transmitir facilmente
dados pessoais de um ambiente informático para outro”98,
96 Considerando 65. 97 Para restringir/limitar o tratamento de dados pessoais pode-se recorrer a diversos métodos, como a
transferência temporária para outro sistema de tratamento, indisponibilização do acesso, retirada temporária
da Web. Considerando 67. 98 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações sobre o direito à
portabilidade dos dados [Em linha]. Bruxelas : Comissão Europeia, 2017.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 55
x. Direito de oposição à definição de perfis automatizados99/profiling100,
não ficando o titular dos dados sujeito a nenhuma decisão tomada com base
no tratamento automatizado dos dados (Art.º 22.º, Considerando 71).
xi. Direito a ação administrativa e judicial contra os responsáveis pelo
tratamento dos dados, ou contra as decisões da autoridade de controlo,
podendo os titulares invocar danos patrimoniais e morais (Art.º 78.º-79.º);
xii. Accountability, elencado com o Princípio da Responsabilidade (Art.º 5.º, n.º
2), com a introdução de novas premissas de tratamento de dados: “Privacy
by Design” e “Privacy by Default”, que se tratam de medidas de minimização
de impacto e de segurança nos produtos e serviços oferecidos, com a
promoção de uma cultura de proteção de dados tanto na “conceção” como
por “defeito”. Relativamente ao primeiro, significa que, em cada novo
processo de negócios de serviços que utiliza dados pessoais, a organização
deve tomar uma posição de proteção desde o início do seu decurso (e.g.
pseudonimização; minimização do tratamento). Relativamente ao segundo,
quando um cliente obtém um novo serviço ou produto, as informações serão
apenas guardadas durante o tempo necessário. Ou seja, apenas serão tratados
os dados pessoais relativos às finalidades específicas e previamente definidas
(Art.º 25.º);
a) Pseudonimização, é uma técnica de reforço de privacidade, que vem
definida no art.º 4.º al) 5) e permite substituir as características de
identificação de dados com um pseudónimo, ou seja, em algo que não
identifique o sujeito diretamente (Considerando 28);
99 Remissão para Artigo 4.º n.º 4º. Forma de tramento automático dos dados pessoais para avaliar aspetos
pessoais relacionados com o titular dos dados (e.g. interesses, situação económica, saúde, localização). 100 “Broadly speaking, profiling means gathering information about an individual (or group of individuals)
and evaluating their characteristics or behaviour patterns in order to place them into a certain category
or group, in particular to analyse and/or make predictions about (…)”, in ARTICLE 29 DATA
PROTECTION WORKING PARTY - Guidelines on automated individual decision-making and profiling
for the purposes of regulation 2016/679 [Em linha]. Brussels : European Commission, 2018, p. 7.
“Recolha de informações sobre um individuo (ou grupo de indivíduos) por forma a avaliar as suas
características ou padrões de comportamento para colocá-los em uma determinada categoria ou grupo,
especialmente para analisar e / ou fazer previsões.”
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
56 Mariana Martins da Cruz Justo
xiii. Todas as atividades terão que ser devidamente registadas (Art.º 30.º),
prevendo-se uma exceção a essa obrigação, quando uma empresa emprega
menos de 250 colaboradores;
xiv. O responsável pelo tratamento de dados é o organismo que determina as
finalidades e os meios do tratamento. É a entidade que controla os dados e
pode recorrer a subcontratantes (Art.º 28.º). Uma vez que são equiparados
aos responsáveis pelo tratamento, e tendo que prestar todas as informações e
assistência necessárias ao mesmo, as obrigações dos responsáveis são
aplicáveis aos subcontratantes (Considerando 95), com um princípio de
responsabilidade solidária entre eles:
a) As responsabilidades do responsável e do subcontratante prendem-se com
o dever de segurança de tratamento, dever de notificação de uma violação
de dados pessoais à autoridade de controlo competente ou dever de
comunicação da violação ao titular dos dados (Art.º 32.º-33.º),
b) Estes devem adotar orientações internas por forma a estar em conformidade
e aplicar medidas que acompanhem os princípios de accountability,
procedendo à DPIA (Art.º 35.º), à consulta prévia (Art.º 36.º, Considerando
94) e designando o DPO (Art.º 37.º): “Tais medidas podem incluir (…)
transparência no que toca às funções e ao tratamento de dados pessoais, a
possibilidade de o titular dos dados controlar o tratamento de dados e a
possibilidade de o responsável pelo tratamento criar e melhorar medidas de
segurança.” (Considerando 78);
xv. É obrigatória a comunicação dos responsáveis pelo tratamento de dados à
Autoridade de Controlo Competente, de uma violação de dados101, até 72
horas após conhecimento do ataque (Direito de notificação em caso de
violação de dados pessoais, Art.º 33.º-34.º). Apesar de não ser necessário
avisar a autoridade supervisora e notificar o indivíduo se a violação de dados
não representar um risco para os direitos e liberdades dos indivíduos (e.g.
101 Remissão para Art.º 4.º, n.º 12, “(…) uma violação da segurança que provoque, de modo acidental ou
ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais
transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 57
discriminação, perdas financeiras, prejuízos para a reputação102). É
necessária uma “justificação fundamentada” caso exista um atraso na
comunicação.
xvi. Avaliação de Impacto sobre a Proteção de Dados (DPIA) é uma avaliação
de risco, verificando o impacto das ameaças com a sua probabilidade de
ocorrência, efetuando uma auditoria dos processos organizacionais, para a
definição de estratégias de tratamento de dados pessoais. Esta é da
responsabilidade do responsável do tratamento e existe a obrigação de a
realizar quando o tratamento for “suscetível de implicar um elevado risco
para os direitos e liberdades das pessoas singulares”, quando existe
tratamento automatizado (incluindo definição de perfis) ou de dados
sensíveis, e em larga escala (Art. 35.º, Considerando 90). Inclui103:
a) uma descrição do tratamento,
b) a necessidade e da proporcionalidade do tratamento,
c) os riscos para os direitos e liberdades das pessoas em causa,
d) as salvaguardas e medidas para proteger contra esses riscos;
xvii. Figura do Encarregado de Proteção de Dados (DPO)104, designado pelo
responsável pelo tratamento e subcontratante, que deverá ter um forte
conhecimento da legislação e das operações de tratamento de dados, sendo
um pilar essencial nas empresas para o cumprimento no regulamento e na
criação de garantias para as organizações (Art. 37.º-39.º). Este pode ser um
colaborador da empresa ou contratado para o efeito. A nomeação é
obrigatória para as autoridades públicas, e para atividades em que tenham o
seu negócio central em tratamento de dados, que necessitam de
102 Considerando 75. 103 O Grupo de Trabalho 29 recomenda que a avaliação tenha em conta os seguintes critérios: (i) o tipo de
violação; (ii) a natureza, sensibilidade e volume de dados pessoais; (iii) facilidade de identificação de
indivíduos; (iv) gravidade das consequências para os indivíduos; (v) características especiais do indivíduo
(e.g se é criança); (vi) características especiais do controlador de dados; (vii) o número de indivíduos
afetados. Vide ARTICLE 29 DATA PROTECTION WORKING PARTY - Guidelines on Personal data
breach notification under Regulation 2016/679 [Em linha]. Brussels : European Commission, 2018, p. 24-
26. 104 Esta figura já havia sido identificada, ainda que a título facultativo, nos Arts.º 18.º, n.º 2 e 20.º, n.º 2, da
Diretiva 95/46/CE.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
58 Mariana Martins da Cruz Justo
monitorização regular e sistemática dos indivíduos em larga escala (volume,
âmbito geográfico alargado), ou em categorias especiais de dados
(Considerando 97). O DPO tem um estatuto de independência e autonomia
dentro da organização e (i) deve cooperar com a autoridade de controlo
aplicável, com os titulares de dados; (ii) monitorizar as DPIA; (iii) informar
e aconselhar o responsável pelo tratamento ou o subcontratante; (iv)
controlar a conformidade com o regulamento (Art.º 39.º, n.º 1, b));
xviii. Extinção do mecanismo de autorização prévia pela Autoridade de
Controlo, a Comissão Nacional de Proteção de Dados (Art.º 28.º, Lei n.º
67/98, 26 de outubro), por originar cargos administrativos e financeiros
elevados, mas sem visibilidade em melhorias na proteção dos dados105. O
seu papel passa pela fiscalização do cumprimento das regras do RGPD e pela
promoção da sensibilização, compreensão e prevenção. Tem estatuto de
independência (Art.º 52.º) e é responsável pela cooperação com as
autoridades de controlo de proteção de dados dos outros Estados-Membros.
Dever-se-ão ser-lhe dados recursos financeiros e humanos e instalações
necessárias ao seu bom funcionamento106. O controlo financeiro a que cada
autoridade de controlo está sujeita nos termos do direito nacional não deve
afetar a sua independência107;
xix. Mecanismo de balcão único (“one-stop-shop”), para organizações que
tenham delegações em mais do que um país na UE, permitindo concentrar
uma única autoridade de controlo local para casos de tratamentos
transfronteiriços de dados. Aqui, insere-se a Autoridade de Controlo
Principal (Art.º 56.º), que tem como responsabilidade fundamental gerir a
atividade de tratamento transfronteiriço de dados. Para esta autoridade, é
necessário identificar o estabelecimento principal do responsável pelo
tratamento (onde se encontra a administração central108):
105 Considerando 89. 106 Considerando 120. 107 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -
Handbook on european data protection law [Em linha]. Luxembourg : Publications Office of the European
Union, 2018, p. 194. 108 Remissão para o Artigo 4.º, n.º 16. Considerando 127.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 59
a) Para estas transferências pode-se declarar que o país terceiro oferece um
nível de proteção adequado (Decisão de Adequação), existindo a
transferência dos dados sem qualquer obtenção de autorização (Art.º 45.º),
b) Caso não exista uma decisão de adequação:
1. Não é necessária a obtenção de autorização da autoridade de controlo
quando existam (ii) instrumentos jurídicos vinculativos aplicados às
empresas, (iii) cláusulas-tipo de proteção de dados adotadas pela
Comissão Europeia, (iv) código de conduta, (v) procedimento de
certificação.
2. É necessário a obtenção de autorização da autoridade de controlo
competente através de (i) cláusulas contratuais vinculativas entre os
responsáveis pelo tratamento e os destinatários no país terceiro, (ii)
disposições nos acordos administrativos com os direitos concretos e
oponíveis aos titulares dos dados (Art.º 46.º);
xx. Promoção de códigos de conduta aprovados pela (Arts.º 40.º-41.º) e
mecanismos de certificação reconhecidos pelas autoridades de controlo por
forma a ficar comprovada a conformidade de todas as operações e
intervenientes com o RGPD (Arts.º 42.º-43.º, Considerando 100).
xxi. Criação do Comité Europeu para a Proteção de Dados (Art.º 68.º,
Considerando 139), com personalidade jurídica e um presidente, e composto
pelos diretores de cada uma das autoridades de controlo, por forma a
controlar e assegurar a correta e uniforme aplicação do regulamento,
aconselhar as comissões, emitir diretrizes, recomendações e melhores
práticas.
O não cumprimento das normas emergentes/decorrentes do Regulamento terá um
grande impacto: o responsável pelo tratamento é obrigado a indemnizar a pessoa que
tenha sofrido danos materiais ou imateriais. Está sujeita à aplicação de coimas pela
respetiva autoridade de controlo que podem ir até 20.000.000EUR ou até 4% do volume
de negócios da empresa (no caso de pessoas coletivas), consoante o montante mais
elevado, caso exista uma violação de princípios e direitos e incumprimento de ordens
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
60 Mariana Martins da Cruz Justo
impostas pela autoridade de controlo109. Caso haja um incumprimento de obrigações,
mencionadas no artigo 83.º n.º 4 ou n.º 5110, nomeadamente das obrigações do responsável
pelo tratamento e subcontratante ou do organismo de certificação e supervisão, é aplicada
uma coima até “10 000 000 Eur ou, no caso de empresa, até 2% do seu volume de
negócios anual a nível correspondente ao exercício financeiro anterior (…)”.
Porém, importa clarificar as exceções à aplicação do RGPD e aos direitos dos
titulares: a segurança do Estado e defesa e segurança pública; objetivos de interesse
público geral, nomeadamente económicos ou financeiros, de políticas de saúde ou
segurança social; a defesa do titular dos dados ou dos direitos e liberdades de terceiros111.
Relativamente às questões da liberdade de expressão ou tratamento jornalístico, cabe aos
Estados-Membros estabelecer regras específicas para estes casos, sendo obrigatória a
notificação à Comissão dessas disposições112. O acesso público aos documentos oficiais
para fins de interesse público investigação científica ou fins estatísticos deve ser
ressalvado dentro das normas do direito da UE. O tratamento destes dados deve ser feito
com medidas técnicas e organizativas que assegurem o Princípio da Minimização dos
Dados113. Partindo para o tratamento de dados pessoais no contexto laboral e verificando
o art.º 88.º n.º 1, os Estados-Membros podem estabelecer regras específicas para o
tratamento de dados pessoais neste caso114. Regras essas que regulam as condições para
situações de recrutamento, contrato de trabalho, saúde e segurança, igualdade, direitos e
benefícios e cessação de contrato. De outra forma, a Lei 87/2017, que estabelece as
medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo,
permite facilitar o acesso das autoridades judiciárias a informações de natureza fiscal,
sendo uma exclusão ao RGPD.
1.1. NECESSIDADE DA REFORMA REGULATÓRIA
O fenómeno da recolha de dados tem-se tornado uma realidade cada vez mais
frequente ao abrigo das novas tecnologias, sendo o seu tratamento, uma questão vital em
diversas dimensões da sociedade. O tratamento de dados é legítimo e necessário – tanto
109 Remissão para o artigo 83.º, n.º 5º e 6.º RGPD. 110 “Infrações menores” – Considerando 148 do RGPD. 111 Considerando 73. 112 Considerando 153. 113 Considerando 156. 114 Considerando 164.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 61
para as empresas, estados e para os cidadãos.115 Para as empresas, é necessário para
verificar as necessidades do mercado, conhecer hábitos de consumo, tendências,
necessidades e apresentar uma oferta indicada e eficiente. Relativamente ao Governo,
numa dimensão macro, permite combater a criminalidade e prevenir doenças, pois mais
dados traduzem-se em maior informação e, consequentemente, num tratamento mais
eficaz dos dados históricos existentes. Os cidadãos acabam por sair também beneficiados
colateralmente, com os impactos positivos impostos na sociedade.
ROBERT VAN DEN HOVEN VAN GENDEREN116, diz-nos que existem quatro
tipos de razões morais e éticas para a proteção dos dados pessoais: (i) a prevenção do
dano – o uso indevido de dados pessoais por terceiros pode prejudicar o titular dos dados;
(ii) a desigualdade informacional – os dados pessoais são um ativo para a economia, para
estudos do comportamento dos consumidores, sendo que os seus titulares não dispõem
dos mesmos meios que os operadores económicos para verificar a forma como estes são
tratados; (iii) a discriminação – o significado dos dados e do seu tratamento pode mudar
consoante o contexto (e.g. cuidados de sáude vs propostas de marketing), podendo colocar
o titular em situações discriminatórias; (iv) a autonomia – a falta de privacidade que
enfrentam os titulares dos dados pode limitar as suas escolhas, levando a uma menor
autonomia na capacidade de decisão.
A necessidade de reformular a legislação resultou de diversos fatores: “o aumento
dos fluxos transfronteiriços e, em consequência, uma cada vez maior integração
económica, fruto, sem dúvida, da criação do mercado único, mas também em resultado
de um intercâmbio de dados que se verifica cada vez mais entre setores público e privado,
de uma evolução tecnológica contínua (…)”117 Na medida em que, várias empresas
estrangeiras dispõem de um papel chave no mercado europeu, com milhões de clientes
na UE, seria necessário sujeitar essas mesmas organizações às regras de proteção de
115 SLOOT, Bart - Legal fundamentalism : is data protection really a fundamental right?. In LEENES, R.,
ed. [et al.] - Data protection and privacy : (in)visibilities and infrastructures. New York : Springer, 2017,
p. 16. 116 VAN DEN HOVEN VAN GENDEREN, Robert - Privacy and data protection in the age of pervasive
technologies in AI and robotics. European Data Protection Law Review [Em linha]. Vol. 3, i. 3 (2017) p.
338 – 352. 117 SALDANHA, Nuno - Novo regulamento geral de proteção de dados : O que é? A quem se aplica?
Como implementar?. Lisboa : FCA, 2018, p. 15.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
62 Mariana Martins da Cruz Justo
dados, alargando a proteção dos indivíduos e garantindo condições equitativas.118 Importa
aqui referir que, o RGPD se relaciona intrinsecamente com o risco cibernético, que tem
como maior impacto, conforme referido anteriormente, as violações de dados, questões
essas que o regulamento pretende regular.
O RGPD alinhou-se principalmente com a inevitabilidade de preservar os dados
pessoais e o seu valor, a sua recolha e gestão, sejam sistemas de gestão de capital humano,
sistemas de gestão da cadeia de abastecimento e sistemas de gestão de relacionamento
com clientes.119 Assim, a adoção deste enquadramento jurídico mais exigente, prende-se
com a necessidade primária, do direito fundamental de proteger o titular dos dados, a
todos os níveis, com o aumento da partilha de dados e a respetiva confiança das
organizações e os seus clientes e fornecedores; com uma imposição de novas obrigações
e novos direitos aos cidadãos, em contraponto com as obrigações impostas às entidades
das empresas e outras organizações públicas e privadas.
Surgiu assim uma nova economia, de rápido crescimento: a economia dos dados,
sem fronteiras digitais. Aqui, “os dados digitais são objeto de intercâmbio enquanto
produtos ou serviços obtidos a partir de dados em bruto”120, extraindo valor económico
intrínseco dos dados e criando aplicações para melhoria da vida em geral. O valor da
economia dos dados foi estimado em 272 mil milhões de euros em 2015, representando
1,87% do PIB da UE, estimando-se um aumento para 643 mil milhões até 2020121.
Confrontam-se aqui dois interesses, segundo MARIA EDUARDA
GONÇALVES122: o do indivíduo, que pretende ver as suas informações pessoais
salvaguardadas; das entidades públicas/privadas, que pretendem eficiência das novas
tecnologias, nas suas atividades, através da partilha e processamento de um maior número
de dados.
118 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -
Handbook on european data protection law [Em linha]. Luxembourg : Publications Office of the European
Union, 2018, p. 31. 119 Vide IDC PORTUGAL – IDC GDPR Fórum [Em linha]. Lisboa : IDC Portugal, 2018. 120 SMART, 2013/0063, CID, 2016 apud UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao
Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões
«Construir uma economia europeia dos dados» [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 2. 121 UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao
Comité Económico e Social Europeu e ao Comité das Regiões «Construir uma economia europeia dos
dados» [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 2. 122 GONÇALVES, Maria Eduarda - Direito da informação : novos direitos e formas de regulação na
sociedade de informação. Coimbra : Almedina, 2003, p. 82.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 63
“The choice is not with the company – the choice is with the people. It is for the
individual to judge. If the individual wants their data to be sold to third parties, searched
by advertisers – if an individual agrees to this, that is up to the individual. But the choice
is not with the company, the choice is with the people, that is European law.”123
2. IMPACTOS E DESAFIOS
O RGPD consiste na maior alteração dos últimos vinte anos na regulação europeia
referente ao tratamento de dados pessoais. Este apoiará o livre fluxo de dados pessoais na
UE e estimulará a concorrência equitativa entre os responsáveis pelo tratamento - entre
as empresas da UE e as empresas estrangeiras - tendo em conta que as normas utilizadas
no espaço europeu têm que ser igualmente aplicadas pelas empresas estrangeiras. Resulta
também num desenvolvimento do comércio e da cooperação internacional,124 pela fácil
mudança a nível de prestadores de serviços e estimulará o desenvolvimento de serviços
para o “Mercado Único Digital”125, aumentando a confiança dos consumidores.
O grande desafio passa por garantir o referido controlo sobre a privacidade dos
dados. A sociedade atual, com toda a proliferação de utilizadores – dependentes – da
Internet, redes sociais, do mundo digital, torna este controlo árduo, com a constante
partilha de dados pessoais. É necessária, adicionalmente, uma consciência de que, os
dados de localização, detetados em dispositivos portáteis e os endereços de IP, são dados
pessoais que identificam um indivíduo.
Um caso que acarretou uma enorme polémica envolveu o Facebook. Uma empresa
de análise de dados britânica utilizou os dados de milhões de utilizadores (cerca de 87
milhões), sem autorização prévia, para criar campanhas políticas personalizadas
(detetando esperanças, receios de cada um), com o objetivo de favorecer a campanha
eleitoral de Donald Trump, Presidente dos Estados Unidos da América e a decisão do
Brexit, favorecendo a saída do Reino Unido da União Europeia.126 Este grave problema
123 REDING apud ARTHUR, Charles - EU justice chief warns Google over 'sneaking' citizens' privacy
away. The Guardian [Em linha]. (1 mar. 2012). “A escolha não é com a empresa - a escolha é com as
pessoas. É para o indivíduo julgar. Se o indivíduo quiser que os seus dados sejam vendidos a terceiros,
procurados pelos anunciantes - se um indivíduo concordar com isso, isso depende do mesmo. Mas a escolha
não é com a empresa, a escolha é com as pessoas, isto é, a Lei Europeia.”. 124 SALDANHA, Nuno - Novo regulamento geral de proteção de dados : O que é? A quem se aplica?
Como implementar?. Lisboa : FCA, 2018, p. 133. 125 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações sobre o direito à
portabilidade dos dados [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 3. 126 Vide PEQUENINO, Karla - Facebook avisa cada utilizador que teve os dados expostos à Cambridge
Analytica. Público [Em linha]. (9 Abr. 2018)
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
64 Mariana Martins da Cruz Justo
despertou diversas violações do regulamento, que ainda não se encontrava em vigor.
Desde logo, a questão do consentimento - direto, específico e voluntário - que não foi
dado, à partida, pelos titulares dos dados. Outra questão que surge é o profiling, com a
definição de perfis automatizados, em que os titulares têm o direito à sua oposição.
Adicionalmente, a questão da transferência de dados pessoais para países terceiros, que
terá que ser realizada a decisão de adequação para verificar se o nível de proteção é
devidamente adequado. Caso o RGPD estivesse em vigor, e para com a empresa de
análise de dados britânica, os titulares dos dados teriam adicionalmente o direito de
oposição ou limitação do tratamento dos dados pessoais, bem como o direito ao
apagamento/esquecimento dos seus dados127 128.
Tal como verificado no caso descrito, a proliferação dos dados exige uma maior
consciência por parte dos titulares, sendo que a cooperação adquire também um papel
pertinente: as autoridades de controlo devem cooperar entre si e também com a própria
Comissão – Princípio da Cooperação e Assistência Mútua.129
Um conjunto elevado de responsabilidades, aplicadas ao responsável pelo
tratamento e/ou subcontratante, vem também subjacente ao tratamento de dados,
nomeadamente responsabilidades criminais, contraordenacionais, civil (com pedidos de
indemnização subjacentes), do foro disciplinar (com violação de deveres pelos
funcionários), social (com violações de ética)130.
2.1. AS EMPRESAS
Os impactos do RGPD fazem-se sentir de forma transversal, principalmente
quando falamos das organizações empresariais. Nesta questão, deve-se verificar o
conceito de empresa no TJUE, para aplicação dos artigos 101.º e 102.º do TFUE, sendo
uma unidade económica com empresa-mãe e eventuais filiais131.
127 Considerando 24 128 Apesar de já existir este direito na anterior Diretiva 95/46/CE, art.º 12.º. No entanto, atualmente, a
questão da responsabilização é que adquire um novo significado com o não cumprimento dos direitos dos
titulares. 129 SALDANHA, Nuno - Novo regulamento geral de proteção de dados…, p. 153. 130 SALDANHA, Nuno - Novo regulamento geral de proteção de dados…, p. 163. 131 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Diretrizes de aplicação e fixação de
coimas para efeitos do Regulamento 2016/679 [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 6.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 65
As Empresas, nas suas bases de dados, contêm um enorme montante de dados
pessoas, incluindo os dados dos colaboradores (com dados de recursos humanos e dados
sensíveis – Medicina do Trabalho), dos fornecedores e dos clientes. ARTURO
SALAZAR, Business Solutions Manager do SAS132, recomenda: “Aconselhamos que
comecem com uma sólida estratégica de governo de dados, para garantir que a tecnologia
e as políticas estão em vigor de forma a perceber onde os dados estão armazenados e
quem tem acesso a eles”.
Este novo regulamento faz com que as empresas prescindam de pedir autorização
de tratamento de dados junto da CNPD, que passa a ter um papel de mera supervisão,
diminuindo assim as atuais burocracias e custos e aumentando a sua responsabilidade
individual133. Passamos de um modelo de heterorregulação, com notificações e
autorizações obrigatórias por parte da CNPD para um modelo de autorregulação134. Este
modus operandi atual, permite, de igual forma, a construção de uma relação com o cliente
mais saudável e na base da confiança, com maiores níveis de transparência e proteção.
Com os deveres de consentimento, existem novas barreiras e regras mais
exigentes, obrigando as organizações a utilizarem alternativas e a correspondente
utilização de recursos, tanto humanos como financeiros, podendo existir aqui uma perda
de receita. Isto porque, os potenciais clientes poderão não consentir apenas por questões
de inércia e não porque o realmente não desejam consentir. Mas de facto, quando falamos
dos prospetos, o pedido de consentimento é a solução que menos risco comporta para o
responsável pelo tratamento, sendo que para os clientes atuais e antigos, o interesse
legítimo é uma condição de licitude válida para o responsável pelo tratamento. A
finalidade terá que ser claramente definida, sendo que os dados pessoais apenas serão
tratados quando existir uma finalidade claramente delimitada. Esta questão poderá
despertar aspetos negativos para os clientes: a burocracia aumentará, existirá mais papel
informativo, com maior exigência de assinaturas e, consequentemente, maior atenção por
parte de quem presta informações ao cliente e por parte do próprio que assina a
declaração.
132 Vide CARREIRO, Henrique, dir. - Mais de metade das empresas não compreendem consequências de
incumprimento do RGPD. IT Insight [Em linha]. (25 Out. 2017). 133 Considerando 89 do RGPD 134 A autorregulação é a capacidade de uma instituição regular-se a si mesma, ocorrendo a monitorização e
controlo, documentação da atividade, dentro das próprias instalações para estarem em conformidade.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
66 Mariana Martins da Cruz Justo
Outra questão que se levanta prende-se com a notificação obrigatória em 72horas,
de violações de dados com risco para o titular, obrigando a deteção imediata por parte da
organização, sendo, na minha perspetiva, algo irreal. Esta obrigatoriedade de informar
aumenta a probabilidade de exposição mediática negativa e, consecutivamente, do risco
reputacional. No entanto, a notificação da violação de dados deve ser vista como uma
ferramenta que permite melhorar a conformidade em relação à proteção de dados
pessoais, passando o ónus para as entidades sobre as quais recaem grandes
responsabilidades.
Para se adaptarem às novas regras de proteção, os custos poderão ser muitíssimo
significativos. A própria implementação do regulamento implica custos operacionais,
desde formações (específica, obrigatória e contínua, exigida no domínio da legislação135)
revisão dos arquivos atuais, subcontratação de auditorias para ajudar na implementação
dos deveres. Segundo JOÃO FRADE136, “Para uma PME, o custo nunca fica a menos de
3000 euros. (…) A nossa experiência em clientes de média e grande dimensão permite-
nos estimar esse esforço entre os 50 mil e os 500 mil euros”. Estes custos poderão colocar
as empresas com menos capacidade em desvantagem competitiva.
O DPO, por si só, será um custo acrescido e tangível para muitas pequenas e
médias empresas. Será pertinente verificar a questão da imparcialidade: deverá ser uma
pessoa interna ou uma nova entidade externa? Isso tudo dependerá da capacidade
financeira da empresa e da existência, ou não, de alguém competente para o cargo. Não
obstante, é possível verificar também uma vantagem competitiva para as empresas, pois
esta nova figura, além de facilitar a conformidade com o RGPD (com os novos
instrumentos de responsabilização – e.g. DPIA), serve de intermediário entre as
autoridades de controlo, as empresas e os titulares de dados.
Igualmente necessário será manter os registos sobre tratamentos de dados, com as
avaliações do impacto e adotar princípios exigidos de proteção: privacy by design e
privacy by default, obrigações essas, bastante onerosas, que tomam também bastante
tempo aos colaboradores. A DPIA também se insere nesta questão, como uma nova
realidade. A sua realização e constante revisão é bastante relevante para efeitos de
135 Remissão para os Artigos 34.º b), 39.º b), 47.º n), 70.º v) 136 É sócio da Delloite que trabalha na área de risco. Vide SÉNECA, Hugo - RGPD : regulamento de
proteção de dados pode custar meio milhão às maiores empresas. Exame Informática [Em linha]. (24 mai.
2018).
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 67
melhoria contínua e trata-se de um instrumento de apoio às tomadas de decisões relativas
ao tratamento dos dados, identificando os riscos e combatendo-os numa fase incial.
Com todos estes novos investimentos, com custos elevados para as empresas, para
além dos feitos em melhores soluções tecnológicas para responderem adequadamente aos
novos direitos dos cidadãos, estes serão, muito possivelmente, por forma a compensar a
diminuição da capacidade financeira da empresa, repassados para os seus clientes, através
do aumento do preço dos seus produtos e serviços. Por outro lado, para se alinharem com
o RGPD, pode existir um investimento e financiamento de recursos totalmente focado no
mesmo, descurando de outras áreas de defesa cibernética da organização, investindo
enfaticamente na conformidade com o regulamento e não apostando totalmente na
prevenção e mitigação do risco cibernético.
O grande alarme do RGPD prende-se com as coimas bastante avultadas, com a
CNPD a atuar em conformidade. A aplicabilidade destas coimas terá de ser de forma
consistente e coerente por todas as autoridades de supervisão para todas as violações
equivalentes e com impacto semelhante, sendo que estas constituem o elemento central
do novo regime e uma ferramenta de execução das autoridades de controlo137. A medida
utilizada por estas deve ser “efetiva, proporcionada e dissuasiva”138 e exige uma avaliação
individual para cada caso139. A coima pode também ser imputada a todas as empresas
constituintes (empresa-mãe e filiais), ou ainda tendo em consideração o volume de
negócios de todas as empresas constituintes (Art.º 83.º, n.º 4), o que aumenta
consideravelmente o valor final da coima.
Segundo PAULA PANARRA140, diretora geral da Microsoft Portugal, existem
três mitos relativamente ao RGPD: (i) que se traduz num obstáculo ao desenvolvimento
económico e ao negócio das empresas; (ii) que o seu impacto está circunscrito à área
tecnológica ou processual; (iii) que o regulamento é de difícil implementação. Segundo a
diretora, "é importante compreender que o RGPD é muito positivo na medida em que
137 O considerando 13 do RGPD diz-nos que a aplicação de sanções equivalentes em todos os Estados-
Membros, conjuntamente com uma cooperação entre todas as autoridades de controlo, serve para “evitar
que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno”. 138 Remissão para o Artigo 83.º, n.º 1 139 Remissão para o Artigo 83.º, n.º 2 140 Breaking GDPR: Become a Master – Vide MICROSOFT NEWS CENTER - Apenas 2,5% dos decisores
considera que a sua organização está preparada para lidar com o RGPD [Em linha]. [S.l.] : Microsoft,
2018.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
68 Mariana Martins da Cruz Justo
reforça os direitos individuais dos cidadãos em relação a uma área tão sensível como a
privacidade, é uma oportunidade para as empresas porque lhes permite reorganizarem
processos e revisitarem a sua política de dados criando condições para extraírem todo o
potencial e valor dessa informação, e permite à Europa posicionar-se como um espaço de
referência mundial para quem pretende viver e investir num ecossistema seguro em
termos de respeito por direitos individuais e por uma forma ética de fazer negócios".
Quanto aos desafios, a nomeação do DPO e uma Política de Privacidade que
garanta a proteção, confidencialidade, privacidade e disponibilidade dos dados pessoais
são fundamentais para o contexto das organizações. Para além desta nova figura, todas as
equipas das organizações deverão estar em conformidade com estas questões, passando
pela formação e sensibilização dos departamentos, desde os recursos humanos até ao
marketing e comercial, com auditorias internas para verificar o acompanhamento dos
requisitos de conformidade relacionados com a privacidade.
Quando falamos do profiling, para efeitos de marketing direto141, este poderá ser
considerado um interesse legítimo para o responsável de tratamento (Considerando 70),
uma vez que existe um interesse económico na realização do tratamento de dados,
refletindo-se numa melhoria na prestação de serviços e oferta de produtos (criando boas
oportunidades de negócio). O óbvio a evitar será o potencial discriminatório, reduzindo e
condicionando a capacidade de escolha dos titulares dos dados. Pelas vantagens que este
tratamento acarreta, pode trazer, da mesma forma, tentação por parte das empresas de
recolher largas quantidades de informação e trabalhá-las de forma incorreta, criando um
perfil íntimo e exaustivo do titular e afastando dois dos princípios que regem o tratamento:
Princípio da Minimização dos Dados e o Princípio da Conservação.
De igual forma relevante, é o direito à portabilidade de dados. Nestas situações,
os Estados-Membros têm a liberdade para estabelecer regras específicas, a aplicar no
direito nacional, reforçando as exigências aplicáveis, que garantam a defesa e proteção
dos titulares dos dados. Urge, portanto, a questão da existência de regras especiais na
141 Remissão para a Lei n.º 41/2004, que regula a realização de comunicações não solicitadas, entre elas o
marketing direto. Se verificarmos o art.º 13.º A, este diz-nos que é obrigatória a obtenção do consentimento
expresso e prévio do titular dos dados pessoais. Existem, no entanto, exclusões a esta questão (art.º 13.º A,
n.º 3), sendo que não é necessário consentimento caso o responsável pelo tratamento tenha obtido os dados
do cliente: (i) no contexto da venda de um produto ou serviço; (ii) a comunicação seja para fins de marketing
direto dos seus próprios produtos ou serviços análogos aos transacionados; (iii) desde que garanta aos
clientes em causa, clara e explicitamente, a possibilidade de recusarem.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 69
regulação desta transferência entre entidades que prestem serviços financeiros, banca,
seguros e de comunicações. Isto porque, com a portabilidade de dados de uma empresa
para outra, violações de dados, quebras de segurança, são sempre passíveis de acontecer.
O mesmo acontece com o direito a ser esquecido. É importante verificar também que,
tendo em conta a velocidade da circulação da informação, estes direitos muitas vezes
podem se tornar inaplicáveis, sobretudo quando envolve o ciberespaço. Verificando
também o setor da saúde, dever-se-á restringir este último direito, dado que para analisar
o historial médico de um paciente, os seus dados pessoais de saúde, não deverão ser
apagados, dependendo destes, muitas vezes, a vida futura de um doente.
A transferência de dados para países fora da UE e do Espaço Económico Europeu,
trará também alguns desafios, sendo que os dados pessoais não podem ser transferidos, a
menos que garantam o mesmo nível de proteção de dados142. Verifica-se aqui um grande
desafio na sua implementação, especialmente com empresas não europeias que lidam com
dados pessoais da UE, concluindo-se que a política de comércio internacional ainda não
está totalmente em linha com o RGPD. É um facto que, se os dados pessoais atravessam
as fronteiras da UE, o risco para os titulares aumenta, com menos capacidade de resposta
e proteção dos seus dados. É aqui necessária, uma cooperação ainda mais intensa entre as
autoridades de controlo.143
CARLOS FIGUEIREDO, Diretor de Specialties da Marsh, indica que a
implementação do RGPD é uma oportunidade que “permite ter uma visão mais ampla e
estratégica da gestão do risco cibernético. A conformidade com as novas regras,
transforma o que geralmente é visto como uma restrição numa vantagem competitiva”.144
De facto, o novo regulamento vem forçar as organizações a reverem toda a sua
gestão de risco cibernético. Este não se cinge apenas a questões jurídicas e de TI, sendo
necessário a implementação transversal nas organizações, de um sistema de gestão de
risco, de segurança da informação e a adoção de novos comportamentos. É necessária a
existência de formação especial, com uma consciencialização dos colaboradores para o
142 Considerando 101 143 Considerando 116, Artigo 50.º 144 BEXIGA, Sónia - Proteção de dados leva risco cibernético para o topo das preocupações das empresas.
Jornal Económico [Em linha]. (23 out. 2017).
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
70 Mariana Martins da Cruz Justo
cumprimento dos direitos dos cidadãos e um reforço nos requisitos de segurança de forma
a garantir os dados privados e uma deteção e resposta eficaz aos casos cibernéticos.
2.2. SETOR SEGURADOR
As obrigações mais desafiadoras para o setor segurador, tendo em conta o
tratamento dos dados, prendem-se com a especificação dos motivos para o tratamento,
qual o período de retenção de dados adequado, ou seja, qual o tempo que as seguradoras
podem armazenar/deter os dados dos seus clientes, e as questões da categoria especiais
de dados. Para este setor, toda a informação é necessária tanto para efeitos estatísticos
como para probabilísticos145, por forma a adaptar as coberturas e os limites de
indemnização às necessidades dos clientes e, para prever e analisar riscos.
É importante discriminar, dentro do setor segurador, os impactos para as
corretoras e, separadamente, para as seguradoras, uma vez que as corretoras são as
intermediárias e, muitas vezes, agem como subcontratadas das seguradoras.
No caso das seguradoras, prever-se um decréscimo na oferta, pelo simples facto
dos clientes, por inércia, não prestarem o consentimento, não existindo a renovação
automática de contratos de seguro, uma vez que quando o contrato termina, a finalidade
extingue-se. Assim, prevêem-se clientes menos informados, muitas vezes subseguros e
mais insatisfeitos por toda a burocracia necessária.
Para o tratamento de categorias especiais de dados (nomeadamente genéticos,
biométricos e de saúde), consagrados no artigo 9.º n.º 1, desenvolvidos tanto no ramo
Vida como ramo Não Vida, onde o tratamento de dados de saúde para fins de subscrição
de seguro é bastante frequente, torna-se necessária a obtenção de consentimento explícito
(requisitos do art.º 7.º). Assim, o pedido de dados pessoais sensíveis por parte das
seguradoras e corretoras torna-se agora mais restrito. O n.º 4 do artigo 9.º diz-nos que os
Estados-Membros têm a possibilidade de estabelecer condições e formalidades próprias
no tratamento deste tipo de dados, permitindo-nos questionar quais os limites do
estritamente necessário – que é, per si, um conceito indeterminado. A verdade é que não
145 Veja-se aqui a Lei dos Grandes Números, teorema fundamental para este setor. Este teorema diz-nos
que, sendo a amostra crescente, a média da amostra tenderá para a média da população. Isto significa que
a seguradora, com base na agregação de riscos e na Lei dos Grandes Números, pode diminuir os custos das
apólices, com a venda do maior número possível das mesmas, cobrindo assim as perdas. Vide PORTO
EDITORA - Lei dos grandes números [Em linha]. Porto : Porto Editora, 2018.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 71
é possível subscrever um produto de cobertura de risco vida/morte/doença/saúde, sem
dados clínicos do cliente. É, por isso, bastante alarmante o facto de se eliminar todos os
dados de saúde, deixando muitas pessoas “desprotegidas”. A grande questão para as
seguradoras prende-se pela existência de um enorme vazio legal. Enquanto se espera pela
legislação nacional, questões como o consentimento expresso para o acesso a dados de
saúde dos titulares e de pessoas falecidas encontram-se nesta zona cinzenta. Para os
seguros de vida, por exemplo, apenas após a morte do segurado é que os beneficiários
têm direito a receber a indemnização, tendo que ser comunicados os seus dados.
Ao destacarmos as transferências internacionais, verificamos uma mais-valia para
este setor. Os custos e os prazos envolvidos na transferência de dados são reduzidos,
sendo que as seguradoras com várias sucursais em diferentes países europeus,
necessitavam de notificações e aprovações demoradas para envio de dados para empresas
fora da UE. Com a questão do mecanismo de balcão único (“one-stop-shop”),
concentrando uma única autoridade de controlo local, torna-se o caminho administrativo
mais curto e menos dispendioso, com uma maior segurança jurídica para o setor. No
entanto, aquando de um evento de violação de dados, e visto que as autoridades de
controlo/supervisão de todos os Estados-Membros envolvidos precisam de ser
consultadas, este mecanismo acaba por não se mostrar tão eficiente. Não obstante, note-
se que, muitas vezes, no setor segurador, os requisitos para subscrição de seguros,
dependem da lei de cada Estado-membro, não existindo assim um intercâmbio tão grande
na oferta de bens e serviços pelas seguradoras ao nível internacional.
No que toca às corretoras de seguros, com estes novos pedidos de consentimento
prevê-se uma alteração do seu papel. Os clientes, por tanta questão burocrática (prestar
consentimento à corretora e à seguradora), com este duplo consentimento, poderão deixar
de contratar os serviços da corretora e deslocarem-se diretamente à seguradora. Terá que
existir uma adaptação do papel das corretoras a esta nova realidade.
Quanto aos impactos comuns, no caso do profiling, este permite, de certo modo,
uma maior eficiência e economização dos recursos. Assim, o novo direito de oposição à
definição de perfis acarreta algum impacto ao setor segurador, pois o processo de
subscrição engloba o perfil sistemático e automático de indivíduos. Podendo ser
considerado um contrato, as atividades de perfil para fins de subscrição poderão
permanecer permitidas. No entanto, quando se trata de marketing direcionado, para algum
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
72 Mariana Martins da Cruz Justo
tipo de solução de seguro, é necessário sempre um consentimento por parte do titular. É
imprescindível fazer uma análise exaustiva em cada empresa deste setor e verificar quais
as que requerem consentimento explícito.
O novo direito à portabilidade dos dados aplica-se a grande parte dos dados
pessoais detidos pela indústria seguradora. O problema surge pelo facto de que as
seguradoras ou corretoras dispõem da informação e dos dados de forma separada, ou seja,
para os processos de subscrição existe um sistema e, para os processos de reclamação e
gestão de sinistros, existirá outro sistema ou base de dados. Este setor necessita de se
preparar devidamente para este tipo de pedidos, através de códigos de conduta específicos
para estas situações, e para fornecer os dados dos clientes a outras empresas.
Com a nova cultura de proteção de dados por design e padrão, é necessário adaptar
todas as áreas de negócio e o planeamento do mesmo. Tudo isto acarreta um custo
adicional para o setor, com a formação dos funcionários. No entanto, a indústria
seguradora, por necessitar de gerir o seu risco operacional146, já dispõe de bastantes
mecanismos e sistemas apropriados para o tratamento de dados, com a anonimização dos
dados pessoais que já não são necessários e a pseudonimização.
Será relevante também formar códigos de conduta147 que verifiquem as
características do setor e, consequentemente, as necessidades de cada empresa
(especialmente das pequenas e médias), adequando essas mesmas realidades ao RGDP.
Com as elevadas coimas trazidas pelo regulamento, o risco cibernético e,
consequentemente o RGPD, trazem também novas oportunidades para este setor, com a
maior subscrição de seguros cibernéticos. O RGPD será bastante semelhante aos
regulamentos em vigor nos Estados Unidos da América148. Uma vez que estes têm sido
um fator importante para o crescimento da indústria de seguros cibernéticos, prevê-se o
mesmo para a UE. As empresas sentem a necessidade de cobrir este risco e transferi-lo
146 “O risco operacional é definido como o risco de perdas resultantes de procedimentos internos
inadequados ou deficientes, do pessoal ou dos sistemas, ou ainda de eventos externos, tais como a
subcontratação, catástrofes, legislação ou fraude externa, incluindo ataque informático. Esta definição
inclui os riscos jurídicos, mas, de uma perspetiva de requisito de capital, exclui os riscos resultantes de
decisões estratégicas e os riscos de reputação. O risco operacional também inclui o risco de verificação do
cumprimento e de conduta do Cliente.”, in ZURICH - COMPANHIA DE SEGUROS VIDA - Relatório
sobre a solvência e a situação financeira 2016 [Em linha]. Lisboa : Zurich, 2017. 147 Considerando 98 148 PARSOIRE, Didier ; HEON, Sébastien - State of the cyber (re)insurance market. Focus [Em linha]. N.º
22 (April 2017) p. 25.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 73
para o mercado segurador, aumentando assim a subscrição deste tipo de seguro –
indemnizando os custos e despesas incorridos pelos tomadores na sequência de violações
de dados. Não obstante, por outro lado, o risco de cobrir as empresas que processam
dados pessoais também aumenta, dada a elevada exigência para garantir o cumprimento
do regulamento.
Os impactos neste setor são superiores nas seguradoras em comparação com as
corretoras, sendo que, grande parte das vezes, com o acompanhamento da gestão
contratual feito por estas últimas, acabam por impactar consequencialmente, enquanto
subcontratadas das seguradoras. É necessária uma revolução interna por forma a
demonstrar conformidade e evitar as elevadas coimas.
3. PERSPETIVAS FUTURAS
No passado, a privacidade foi percebida como um direito de proteger os
indivíduos contra a interferência das autoridades públicas. Hoje, a privacidade pode ser
ameaçada pela interferência dos poderes das autoridades privados, com o uso da
tecnologia e análise preditiva nas decisões dos cidadãos.149
De um modo geral, com o RGPD prevê-se uma maior facilidade na resolução de
problemas cibernéticos no âmbito da violação de dados, pelo facto de existir uma base
mais sólida a nível de regulamentação. A segurança da proteção dos dados aumentará.
No entanto, os funcionários, em regra, não estão preparados e não dispõem de formação
necessária.
A nova “Era Tecnológica” trará, certamente, vantagens económicas significativas
para as empresas. Avista-se um possível aumento do volume de negócios, uma maior
facilidade na gestão de risco, um estímulo na economia e inovação, potenciando a sua
expansão e refletindo-se em benefícios reputacionais. Além de evitar a vinculação a um
único prestador de serviços, perspetiva-se a oportunidade de inovação e da partilha segura
de dados pessoais entre os responsáveis e os titulares.
149 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -
Handbook on european data protection law [Em linha]. Luxembourg : Publications Office of the European
Union, 2018, p. 349.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
74 Mariana Martins da Cruz Justo
Os procedimentos internos necessitam de ser revistos e assegurados, por forma a
existir uma conformidade com a aplicação da norma ISO 27001: Confidencialidade,
Integridade e Disponibilidade, sendo “o padrão e a referência internacional para a gestão
da Segurança da Informação”150. Esta tem como princípio a adoção pela organização de
requisitos específicos exigidos, processos e controlos para efetuar uma gestão e mitigação
do risco apropriada. Existe, portanto, um modelo para “estabelecimento, implementação,
operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da
Informação”151, com uma abordagem holística à segurança das TIC.
Outrossim, a Diretiva NIS, sobre segurança de redes e sistemas de informação,
veio também estabelecer uma uniformização da legislação na UE, relativamente à
cibersegurança e à prevenção de incidentes cibernéticos na Europa. Esta diretiva, à
semelhança do RGPD, visa aumentar a cooperação entre os Estados-Membros, criando
uma cultura de segurança, com notificações às autoridades públicas, que não comprometa
os serviços básicos e os setores críticos da sociedade. Impõe, da mesma forma, obrigações
aos serviços de energia, saúde, banca, etc., e aos provedores de serviços digitais por forma
a gerir riscos e a garantir a segurança das redes e sistemas de informação.
Da mesma forma, o Privacy Shield UE-EUA152, criado em 12 de julho de 2016,
declara que os EUA garantem um nível adequado de proteção de dados pessoais
transferidos da UE. No seguimento dos códigos de conduta e mecanismos de certificação,
este prevê-se como um mecanismo de elevada relevância.
A BEUC153, afirma que os novos conceitos de “privacy by design” e “privacy by
default” devem tornar-se em “fundamental guiding principles in the online
environment”154. Acrescentando também que, o legislador europeu, deve garantir uma
inovação contínua e “clareza quanto à aplicação prática e a interdependência de atos
jurídicos específicos”.155
150 Vide INTEGRITY - O que é a norma ISO 27001? [Em linha]. Lisboa : Integrity, 2018. 151 Vide INTEGRITY - O que é a norma ISO 27001? [Em linha]. Lisboa : Integrity, 2018. 152 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -
Handbook on european data protection law [Em linha]. Luxembourg : Publications Office of the European
Union, 2018, p. 257. 153 BEUC, The European Consumer Organisation. A Organização Europeia de Consumidores 154 “Princípios orientadores fundamentais no mundo online”. Vide JABLONOWSKA, Agnieszka -
Protecting privacy online : GDPR and e-privacy directive revisited [Em linha]. Bristol : Society for
Computers and Law, 2016. 155 Vide JABLONOWSKA, Agnieszka - Protecting privacy online…
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 75
Importa agora referir que as coimas avultadas subjacentes ao RGPD, sujeitam as
empresas e os indivíduos a criarem barreiras mais consistentes, a utilizarem alternativas
de diversificação do risco cibernético a que, no panorama atual, todos estamos sujeitos.
É necessária uma investigação profunda em cada violação de dados, por forma a apurar
os factos e tomar todas as circunstâncias em consideração. Assim, com o aumento do
risco cibernético e com as novas exigências regulamentares, prevê-se um aumento na
subscrição de seguros cibernéticos.
De igual forma, a sua interpretação revela-se também um desafio. O RGPD diz-
nos que as empresas deverão estabelecer um nível “razoável” de proteção de dados156,
existindo uma margem abrangente quando se avalia multas por violações de dados e a
não conformidade com o regulamento. É igualmente necessária a existência de um nível
único de proteção de dados para todos os Estados Membros, pois interpretações diferentes
do regulamento podem levar a níveis díspares de privacidade para cada empresa. É,
portanto, primordial que o bom senso oriente a interpretação deste regulamento. É por
isso que, cada Estado-Membro, tem que avaliar as “medidas técnicas e organizativas”
mais adequadas. No entanto, é também necessário um acompanhamento por parte do
legislador, em garantir que o regime jurídico acompanha a realidade que regula.
Segundo STEWART ROOM157, cyber security e data protection partner na PwC,
o RGPD,“(…) will impact every entity that holds or uses European personal data both
inside and oustide of Europe”158.
A proteção de dados tem uma importância primordial na nova época digital, mas
é importante não tornar a sua leitura demasiado fundamentalista. Dever-se-á manter o
objetivo primário da legislação: regular o uso e transferências de informação, existindo
um propósito legítimo para a sua utilização. Não se deve impedir o processamento e o
fluxo de dados sem uma justificação devida, comprometendo a livre prestação de serviços
e conduzindo a uma “fragmentação do mercado, diminuição da qualidade dos serviços e
156 Remissão para o artigo 32º do RGPD 157 Vide BUSINESSCLOUD - EU data protection rules will affect everyone [Em linha]. Manchester :
BusinessCloud, 2016. 158 “Terá impacto em todas as entidades que detêm ou utilizam dados pessoais europeus, tanto dentro como
fora da Europa”
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
76 Mariana Martins da Cruz Justo
enfraquecimento da competitividade dos prestadores de serviços de dados”159. Segundo
MICHAEL BOBEK160, “in sum, common sense is not a source of law. But it certainly
ought to guide interpretation of it. It would be most unfortunate if protection of personal
data were to disintegrate into obstruction by personal data.”
A proteção do tratamento dos dados pessoais é um dos principais objetos de
reflexão. Segundo JORGE MARTINEZ BATALHA, “cada entidade terá que avaliar
casuisticamente as medidas a tomar para mitigar os riscos inerentes a cada operação de
tratamento de dados pessoais”.161 Esta não pode ser transferida ou terceirizada, sendo
necessária a aplicação de políticas efetivas e apropriadas.
A questão da Quarta Revolução Industrial no RGPD desperta também algumas
preocupações futuras, nomeadamente na responsabilização por violações de dados.162 A
IA e as decisões automatizadas, que envolvem algoritmos, suscitam este tipo de questões
pois a identificação do responsável, pela complexidade e quantidade de dados gerados,
não é atribuída com total certeza. O RGPD dispõe de um quadro jurídico para
responsabilizar os responsáveis pelo tratamento, no entanto, os algoritmos e IA são
produtos. Nesse sentido, encontramo-nos novamente num vazio legal que deverá ser
colmatado, por forma a acompanhar as exigências trazidas pelo novo panorama
tecnológico. O mesmo acontece se pensarmos nos novos princípios do “Privacy by
Design” e “Privacy by Default”, que têm inerentes o princípio da minimização, limitação
e da precisão dos dados, algo que não se coaduna com o Big Data.
A conformidade com o regulamento não é uma escolha, mas sim uma obrigação
legal. As autoridades de controlo devem cooperar entre si e com a Comissão Europeia,
com um constante intercâmbio de experiências e informações. É fundamental o contacto
com parceiros especializados, como especialistas em TI, advogados e seguradoras,
159 UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao
Comité Económico e Social Europeu e ao Comité das Regiões «Construir uma economia europeia dos
dados» [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 4. 160 AG (Advocate General) BOBEK “Em suma, o senso comum não é fonte de lei. Mas certamente deve
orientar sua interpretação. Seria muito lamentável se a proteção de dados pessoais se desintegrasse em
obstrução por dados pessoais”. Vide HOPKINS, Robin - Don’t be a data protection fundamentalista. Local
Government Lawyer [Em linha]. (16 Feb 2017). 161 BATALHA, Jorge Martinez - Novos Desafios sobre a Proteção de Dados. ResPublica : Revista Lusófona
de Ciência Política, Segurança e Relações Internacionais [Em linha]. N.º 16 (2017) p. 201-217. 162 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -
Handbook on european data protection law [Em linha]. Luxembourg : Publications Office of the European
Union, 2018, p. 356.
Regulamento Geral de Proteção de Dados
Mariana Martins da Cruz Justo 77
distinguidos para compreender melhor os riscos subjacentes e dar o seu contributo,
através dos conhecimentos técnicos, para a mitigação dos mesmos e proteger os balanços
da empresa. Devem ser criados os recursos e estruturas adequadas à sua atividade,
evitando que o responsável pelo tratamento e o subcontratante invoquem a falta de
recursos para tornar legítimas as violações do RGPD.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
78 Mariana Martins da Cruz Justo
Case Study
Mariana Martins da Cruz Justo 79
CAPÍTULO IV - CASE-STUDY
1. RISCO CIBERNÉTICO
A MDS, enquanto empresa do setor segurador, atuando como corretora, enfrentou
alguns desafios para se adaptar ao emergente risco cibernético.
Os procedimentos internos relativos ao TI na MDS são diversos. Para o
armazenamento de informações/ficheiros internos, existem três diretórios: a pasta Pública
(X:), a Local (C:) e a Data (G:) – o último com os respetivos departamentos. Estes
diretórios têm backup automático diário. Tendo em conta as impressoras, é necessário
sempre digitar o código de segurança de cada colaborador e o e-mail é o meio de
comunicação “oficial” da MDS, em que cada colaborador tem disponível uma mailbox,
com um backup efetuado diariamente e de forma automática.
Se nos focarmos na questão relativa à ameaça do risco cibernético no setor
segurador, existiram algumas adaptações em conformidade com o que já foi apresentado
em cima. Primeiro, não se sentiu a necessidade de alterar o sistema informático pois, se
relacionarmos estas alterações com o RGPD, ainda não existem diretrizes específicas,
com um vazio legal sobre as medidas técnicas a tomar e as alterações ao sistema
informático a realizar. O hardware e as infraestruturas de TI apresentam um sistema de
segurança credível, com os computadores encriptados, pertencentes a cada um dos
colaboradores, com utilizadores e passwords individuais e não transmissíveis, com
renovação periódica mensal e com impossibilidade de repetição. O software e as
aplicações de TI apresentam, da mesma forma, um nível de segurança elevado, com
acesso restrito a colaboradores a cada “Pasta de Departamento” à qual estes não
pertencem. As autorizações para downloads são da mesma forma limitadas, sendo que,
qualquer instalação de software, carece de autorização pela equipa de TI. Informações
pessoais de titulares dos dados são expressamente proibidas de serem mantidas na Pasta
Pública/de acesso geral da MDS, no armazenamento em cloud pessoal (como a dropbox,
que não seja o Google Drive Corporativo) e no computador do colaborador. Os sistemas
têm proteção contra vírus, sistematicamente atualizados, com protocolos seguros de
transmissão de dados e acessos por terceiros à Organização. Existe também uma parceria
com a S21sec, uma empresa de cibersegurança líder na prestação de serviços de proteção
de infraestruturas críticas, softwares, dados pessoais. Os serviços que disponibilizam
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
80 Mariana Martins da Cruz Justo
incluem a avaliação da maturidade de uma organização para a segurança da informação,
auditorias técnicas, ações de sensibilização e formação, monitorização contínua de
segurança, equipas de resposta a incidentes críticos de segurança e análise forense.
Relativamente aos acidentes cibernéticos verificou-se uma resposta rápida e eficaz
durante o ano de 2017, como é possível verificar nos gráficos abaixo.
Figura 4 - Indicadores Cibernéticos Helpdesk 2017163
O OPEX164 do ano de 2017 foi quase de 21.000.000 EUR, sendo que para IT
correspondeu a 5,6% (cerca de 1.000.000 EUR), relevando aqui o elevado investimento
em prevenção e segurança cibernética165. Após análise do relatório de contas, constante
no anexo I relativo aos ativos intangíveis, é possível verificar que em 2016, o ativo
intangível no final do ano era de EUR 1.884.623,56, sendo que o ativo bruto de software
(manutenção e desenvolvimento) era de EUR 7.647.054,54, com um valor líquido166 de
626.446,35. Durante este ano houve o investimento nos ativos intangíveis de EUR
327.616,59, entre eles o da MDS Affinity. Já em 2017, o ativo intangível era de EUR
1.203.409,79, sendo que o ativo bruto de software era de EUR 7.677.335,81,
correspondendo a um valor líquido de 88.494,82. Os aumentos nesta rubrica dizem
respeito a investimentos no desenvolvimento de software operacional relativos à gestão
de carteiras e de prémios da empresa e na elaboração do portal de interação com os
clientes da empresa, verificando-se a adoção de uma política de resiliência desde 2016.
163 TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017, p. 3. 164Operational Expenditure – despesas operacionais para manter ou melhorar os bens físicos de uma
empresa, tais como equipamentos, propriedades e imóveis. In MAVERICK, J.B. - What is the difference
between CAPEX and OPEX? [Em linha]. New York : Investopedia, 2018. 165 TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017. 166 Valor líquido = Ativo bruto – Amortizações acumuladas
Case Study
Mariana Martins da Cruz Justo 81
Os principais projetos atingidos no ano de 2017 para a MDS, ao nível cibernético,
prendem-se com a utilização de novos servidores e serviços de impressão, com a
renovação/inovação das impressoras, permitindo um acesso mais simples. Foi também
implementado uma melhoria no Projeto CRM167, com a aposta na evolução do Proximity
e o Agility168 e um upgrade do SAP169. Se nos focarmos na questão da Quarta Revolução
Industrial e a aposta em novas plataformas e modelos de negócio, verificamos que a MDS
aposta na digitalização, com a utilização de sistemas como o Phoenix170 e o Proximity171,
e a utilização do Bitsight172. A InsurTech está cada vez mais presente na empresa.
Figura 5 - Principais Projetos 2017173
167 Customer Relationship Management - gestão do relacionamento com o cliente - é a identificação,
aquisição, desenvolvimento e retenção de clientes lucrativos, através de um relacionamento constante,
eficaz e eficiente com estes. 168 Agility é uma solução de gestão do relacionamento com o cliente (CRM), complementar ao Phoenix,
que irá atuar na gestão dos clientes atuais, prospects, no marketing comercial e que, cumulativamente, será
crucial para a consolidação da informação dos portais de parceiros e clientes. 169 SAP, sistema de gestão financeira da MDS. 170 Plataforma interna para colaboradores da MDS, que assegura o backoffice, a gestão dos clientes,
apólices, sinistros. Sistema totalmente em cloud. 171 Plataforma eletrónica para clientes MDS, que permite o acesso online, de forma rápida e segura, à
carteira de seguros da empresa, histórico de pagamentos, apólices em qualquer hora. 172 A BitSight transforma a forma como as empresas gerem o risco de terceiros, subscrevem políticas de
seguro cibernético, avaliam o desempenho de segurança e avaliam o risco agregado com os Ratings de
Segurança. Vide BITSIGHT TECHNOLOGIES – BitSight : the standard in security ratings [Em linha].
Cambridge : BitSight Technologies, 2018. 173 TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017, p. 5.
RGPD 21%
Integração de Seguradores
0%
Integração APP GIS14%
Segurança11%Storage
8%
Renovação / Inovação parque
20%
Upgrade SAP12%
Proximity 10%
reformulação Brandinsurance
4%
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
82 Mariana Martins da Cruz Justo
É possível concluir que, para o departamento de TI, a grande ocupação foi a
implementação do RGPD - caso analisado no próximo tópico – seguido da
renovação/inovação parque (impressoras).
Verificamos também que, com a tecnologia no setor segurador (InsurTech) cada
vez mais desenvolvida, o trabalho de corretagem pura está cada vez mais à margem da
prioridade da empresa. Neste momento, a preferência é a consultoria e gestão de risco
(com a Herco, focando-se na prevenção dos riscos catastróficos). A consultoria passa pela
análise do clausulado e coberturas, efetuando um trabalho exaustivo de recomendações e
alterações como melhorias às apólices em vigor, com prospetos e due dillingence.
Diversas formações e palestras foram também transmitidas pela MDS, por forma
a despertar a carência das empresas para a sua proteção cibernética.
Por outro lado, se nos focarmos na questão relativa ao risco cibernético como um
risco a segurar, a MDS, enquanto fundador e membro da Brokerslink, beneficia de uma
solução de seguros desenvolvida no mercado Lloyd’s, o Pocydon, que confere um grau
de proteção elevado na dimensão da responsabilidade perante terceiros e,
simultaneamente, em sede de danos próprios, tratando-se de um produto integrado, com
equipas de respostas a incidentes e peritos. A distribuição foi bastante bem-sucedida; os
clientes sentiram a necessidade de procurar um seguro que se adequasse às suas
necessidades cibernéticas e que garantisse ambas as coberturas, aumentando a procura
com o aumento subsequente das comissões da empresa e o seu ativo. Em 2016, apenas
dois clientes tinham pedido cotação para seguro cibernético, enquanto que em 2017 se
verificou um aumento para quatro clientes. O aumento na procura e na concretização dos
pedidos deu-se no primeiro semestre de 2018, com três novos pedidos de cotação, com a
concretização efetiva do contrato de seguro. Atualmente, cerca de seis pedidos de cotação
(Pocydon) estão pendentes de resposta definitiva por parte dos clientes. Por outro lado,
surgiram novos pedidos relacionados com a Quarta Revolução Industrial, nomeadamente
pedidos de cotação para veículos autónomos.
Conclui-se assim que se verifica uma política de resiliência cibernética, com a
identificação precoce, a prevenção e a resposta eficaz a falhas tecnológicas, com uma
constante supervisão por parte do setor de TI. Avista-se também uma necessidade
Case Study
Mariana Martins da Cruz Justo 83
constante de evolução e acompanhamento das inovações tecnológicas acarretadas pela
InsurTech, colmatando este risco com o sucesso na mediação de seguros cibernéticos.
2. REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
A implementação do novo regulamento demonstrou ser um desafio constante para
a MDS.
Primeiramente, criou-se o Grupo de Trabalho Data Protection, constituído por
cinco colaboradores da MDS, tanto da área jurídica como tecnológica, incluindo a Dr.ª
Ana Cristina Borges, para assegurar a conformidade. Este Grupo de Trabalho trabalhou
em parceria com uma equipa de consultores, (nomeadamente da MLGTS e da Delloitte),
com o levantamento, avaliação e definição de um plano de ação para mitigar as atuais
limitações face aos requisitos do RGPD, e adoção das medidas de transformação para
assegurar a monitorização contínua associada à proteção de dados. Tornou-se obrigatória
a consulta ao Grupo antes do desenvolvimento de projetos ou parcerias, tendo sido criado
um endereço de e-mail específico para qualquer questão levantada pelos parceiros,
fornecedores ou clientes. Tomou-se a atitude de autorregulação imposta pelo novo
regulamento.
Adicionalmente, foram realizadas ações de formação “Data Protection” nesta
matéria. Para um nível mais básico, foi feita para todos os colaboradores, de caráter
obrigatório, sujeita a uma avaliação de conhecimentos, com os princípios gerais de
proteção de dados. Para um nível intermédio, para colaboradores com envolvimento
superior em matéria de dados pessoais, foi feita uma formação de aprofundamento dos
procedimentos subjacentes ao RGPD. Para um nível avançado, para as equipas técnicas,
houve uma formação de tratamento especializado de dados pessoais, como acessos aos
sistemas, hardware, gestão de crises.
Outrossim, uma revisão do arquivo foi obrigatória. Todos os documentos com
dados pessoais sem finalidades foram destruídos, tendo em conta o prazo de conservação
admitido pelas seguradoras.
Foi também fundamental, em primeira instância, verificar quais os departamentos
que tratam dados pessoais, para que se pudesse definir claramente as finalidades que
englobam o tratamento de dados da empresa. Posteriormente, qual a sua base de licitude
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
84 Mariana Martins da Cruz Justo
e os prazos de conservação associados, de acordo com cada legislação em cada caso
concreto.
Após estas análises, criou-se a nova “Política de Privacidade” 174 da empresa, que
foi enviada por correspondência eletrónica para todos os clientes. Esta encontra-se
enquadrada no corpo normativo para a proteção de dados pessoais da MDS, estabelecendo
orientações para a adoção de padrões de segurança e definindo os tratamentos,
finalidades, bases de licitude, direitos dos titulares e o período de conservação dos dados.
Esta nova Política vai de encontro à Proteção, Confidencialidade, Privacidade e
Disponibilidade dos dados pessoais. O mesmo aconteceu com a “Política de Cookies” 175,
que teve a sua devida alteração por forma a proporcionar um acesso seguro, personalizado
e eficiente aos utilizadores do website.
A implementação per si passou por várias etapas, dividindo-se em duas análises:
(i) Clientes, (ii) Recursos Humanos, sendo que a última ainda está em curso. Primeiro,
foi criado um framework com a análise/inventário de todos os tratamentos de dados na
MDS, com a identificação das condições de tratamento e recursos ainda a implementar
para alcançar um nível de conformidade total com as exigências conjeturadas no RGPD.
Segundo, após identificação das áreas que carecem de melhoria, ou seja, das lacunas
existentes em cada área, iniciou-se o processo de remediação, com as medidas
organizativas transversalmente aplicadas a todos os tratamentos de dados pessoais da
MDS, sejam clientes, colaboradores ou terceiros. Aqui, verifica-se o nível de
desconformidade entre o que está a ser feito e as normas do RGPD, elaborando uma
estratégia de conformidade e definindo um modelo jurídico, procedimental e tecnológico
para a relação entre as diversas empresas do Grupo. Os normativos internos foram
revistos e novas políticas foram elaboradas, com a revisão de todos os consentimentos
existentes e contratos com subcontratantes, adaptando-os para o RGPD.
Sendo assim, chegou-se ao seguinte quadro final, relativa à implementação nos
Clientes:
174 Vide MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de privacidade de
clientes [Em linha]. Porto : MDS Group, 2018a. 175 “Os cookies são ficheiros informáticos (software) de reduzida dimensão que são armazenados no
Dispositivo do utilizador, através do seu navegador de internet, por ocasião do acesso ao website.” Vide
MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de cookies [Em linha]. Porto
: MDS Group, 2018b.
Case Study
85 Mariana Martins da Cruz Justo
Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação
Registo e Prova de
Transações Comerciais e
Informações Pré-
contratuais
70, 71
Dados de gravação de chamadas; dados
de identificação do tomador e pessoas
seguras, lesados e beneficiários; dados
identificação do objeto seguro
Diligências pré-
contratuais
No que respeita aos prazos do branqueamento
de capitais, sugerimos que esta referência seja
feita apenas na finalidade de cumprimento de
obrigações legais, já que poderá causar
confusão e levar a que os dados acabem por
ser conservados para outros fins. Por outro
lado, neste caso concreto, o prazo em causa
apenas seria aplicável se fossem recolhidos
os dados previstos na Lei n.º 83/2017, de 18
de agosto, durante a gravação de chamadas.
Assim, e de acordo com a deliberação, os
prazos seriam (i) 90 dias desde a gravação da
chamada, como prazo geral, (ii) no caso de
celebração de contratos à distância, o prazo
de duração do contrato, admitindo-se a
conservação até ao cumprimento de todas as
obrigações emergentes do contrato.
Os 3 meses dizem respeito às gravações que
impliquem transações comerciais. As gravações
que impliquem transações de operações
financeiras são 7 anos, mas as que sejam sem e com
períodos de fidelização são 6 meses após o período
de vigência do contrato*. No que diz respeito às
gravações de chamadas são os tais 6 meses.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
86 Mariana Martins da Cruz Justo
Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação
Acompanhamento da
Gestão e Execução do
Contrato
64-71, 73
Dados de identificação do tomador,
pessoas seguras, e beneficiários, dados
identificação do objeto seguro
Execução do contrato Duração contrato seguro
Deliberação n.º 7680/214 da CNPD e Código
Comercial Art.º 40.º, Lei 83/2017 Art.º 51.º,
Código IRC Art.º 123 Arquivo digital do contrato
de seguro 10 Anos após cessão do Contrato.
O prazo de retenção que se colocaria só e apenas,
seria o da relação contratual acrescidos dos tais 6.
Prospeção comercial
70 e 71
Dados de identificação do titular,
pessoas seguras e beneficiários; dados
identificação do objeto seguro.
Consentimento 1 ano
Marketing e
Comunicação
70 e 71
Dados de identificação do titular,
pessoas seguras, e beneficiários; dados
identificação do objeto seguro.
Interesses legítimos 1 anos após cessação do contrato/1 Ano
(Worksites Particulares)
Art.º 51.º da Lei n.º 83/2017, de 18 de agosto, Art.º
40.º Código Comercial, Art.º123º Código IRC.
Os 7 anos dizem respeito ao worksite para
empresas e 1 ano para particulares.
Case Study
87 Mariana Martins da Cruz Justo
Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação
Gestão de Reclamações/
Processos Judiciais
64-71, 73
Dados de identificação do tomador,
pessoas seguras, lesados e
beneficiários; dados de registo de
sinistros no ramo vida; dados de registo
de sinistros no ramo saúde; dados de
registo de sinistros no ramo acidentes
de trabalho; dados de registo de
sinistros no ramo acidentes pessoais;
dados de registo de sinistros no ramo
automóvel; dados de registo de
sinistros noutros ramos; dados de saúde
e hábitos de vida
Interesses legítimos Duração do Litigio/Duração da reclamação
Melhoria Qualidade
Serviço
70
Dados de identificação do tomador,
pessoas seguras, lesados e
beneficiários; dados de gravação de
chamadas.
Interesses legítimos 12 meses e 3 meses para gravação de
chamadas
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
88 Mariana Martins da Cruz Justo
Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação
Cumprimento das
Obrigações Legais
64 ao 73
Dados de identificação do tomador,
pessoas seguras, beneficiários, dados
de cobrança
Cumprimento de
obrigações legais
10 anos*, 7 Anos para o cumprimento de
obrigações em matéria de prevenção do
branqueamento de capitais e financiamento
do terrorismo.
Deliberação n.º 1039/2017 da CNPD, Solicitado
autorização CNPD 23/10/2017
*Prazo: acresce sempre o seguinte prazo de segurança:
- 1 mês (para questões de notificações e citações);
- até 2 meses (para questões técnicas relacionadas com a eliminação, quando não for possível implementar uma rotina automática de eliminação; havendo esta rotina, acresce apenas o prazo
necessário inerente à mesma, que será necessariamente mais curto);
- 6 meses (no caso de eliminação dos suportes documentais). para tratamento do respetivo processo administrativo
Case Study
Mariana Martins da Cruz Justo 89
Para além dos dados pessoais tratados pela empresa mencionados no quadro
acima, a MDS trata, da mesma forma, os casos em que os titulares sejam menores de
idade. No entanto, as categorias especiais referidas, são apenas tratadas enquanto
subcontratante, eliminando em seguida os dados pessoais dos titulares após remissão para
a seguradora. Nos casos de dados sensíveis, com questionários de vida ou saúde, a MDS
deverá reencaminhá-los para o segurador, eliminando-os do sistema interno da empresa.
Tendo em conta a Política de Privacidade, a MDS tem dois papéis distintos:
responsável pelo tratamento e subcontratante.
Nos casos em que esta é responsável pelo tratamento, define as finalidades.
Primeiramente a MDS trata de dados para a execução de um contrato/realização de
diligências pré-contratuais: para registo e prova de transações comerciais e informações
pré-contratuais (como pedidos de simulação de propostas de seguro), ou para
acompanhamento da gestão e execução do contrato. Seguidamente, para o cumprimento
de obrigações legais a que a MDS está sujeita, como obrigações de retenção, pagamento,
efeitos fiscais ou pedidos de autoridades públicas (Autoridade de Supervisão de Seguros
e Fundos de Pensões), ou em matéria de prevenção e combate ao branqueamento de
capitais. Posteriormente, tanto para a satisfação de interesses da MDS como para a
satisfação de interesses dos clientes: para a melhoria da qualidade do serviço (e.g. estudos
de mercado), nos casos do marketing e comunicação, na gestão de reclamações, e para
prospeção comercial. Dever-se-á assim garantir a atualização do registo de todas as
atividades de tratamento de dados pessoais.
A MDS age como subcontratante das seguradoras, quando procede ao tratamento
dos dados por conta de outra entidade, sendo que as finalidades serão assim definidas
pelas mesmas. O seu tratamento prende-se com o acompanhamento da gestão do contrato
de seguro em que o titular de dados faça parte e a gestão de sinistros. Nestes casos, deverá
conservar um registo de todas as atividades de tratamento de dados pessoais realizados
em nome do responsável pelo tratamento, sendo este serviço formalizado através de
contrato176. Após a cessação do mesmo, tem de ser assegurado o apagamento de todos os
dados. Os serviços prestados pelos subcontratados serão revistos de acordo com o risco
176 Caso estes contratos já estejam formalizados vão ser necessárias adendas aos mesmos.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
90 Mariana Martins da Cruz Justo
que estes comportam. Para (i) baixo risco, são revistos de três em três anos; (ii) médio
risco, anualmente; (iii) alto risco, semestralmente; (iv) risco crítico, trimestralmente.
Relativamente ao DPO, a MDS não terá um encarregado próprio, sendo que irá
partilhar os serviços com a SONAE.
Relativamente à DPIA, foram adotadas medidas relativamente ao seu processo:
Figura 6 - Processo DPIA177
A avaliação preliminar tem o objetivo de avaliar se as condições em que o
tratamento ocorre, obrigam à realização da DPIA. A caracterização do tratamento avalia
o contexto, determinando os impactos dos riscos para os titulares dos dados. O
cumprimento normativo pretende analisar os controlos aplicados pela MDS para garantir
a conformidade com o RGPD. O risco de segurança avalia o risco de proteção dos dados
com as medidas utilizadas pela empresa, nomeadamente no setor TI. A validação é a fase
final, com o objetivo de documentar o processo e efetuar consultas prévias à Autoridade
de Controlo. Durante a sua execução, o responsável pelo tratamento deverá envolver uma
equipa constituída pelo departamento legal da MDS, o gestor de risco cibernético,
nomeadamente a equipa de TI, e a administração.
Aquando de um incidente de segurança de dados pessoais, o colaborador que o
identifique deverá comunicar o email interno da MDS para o efeito, do Grupo de
Trabalho, com a informação descritiva do acidente, com o tipo de violação de dados
pessoais, a origem do incidente, a natureza dos dados e a extensão do incidente, no
máximo em 72 horas. Estes incidentes podem ser divididos em três violações: violação
de confidencialidade (divulgação/acesso a dados não autorizada/acidental), violação de
disponibilidade (perda/destruição não autorizada/acidental), violação de integridade
(alteração dos dados).
177 MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - N7 - avaliação de impacto.
[S.l.] : MDS Group - Global Insurance & Risk Consultants, 2018, p. 5.
Case Study
Mariana Martins da Cruz Justo 91
Após uma violação, segue abaixo algumas medidas técnicas, aprovadas pela
MDS, no âmbito da subcontratação:
• A alteração de passwords em sistemas operativos e/ou aplicações impactadas pela
violação de dados pessoais;
• A revogação e geração de novos certificados digitais178;
• A formatação e reinstalação de sistemas e aplicações em equipamentos
impactados;
• A recuperação de informação através de backups existentes para o último estado
considerado válido;
Da mesma forma, é possível verificar um aumento na procura de seguros
cibernéticos por parte das empresas a partir do momento da implementação do RGPD.
Em 2018, a subscrição aumentou 60% em relação ao ano de 2017, muitos com a
justificação da entrada em vigor do novo regulamento, tendo surgido após maio de 2018.
Os custos operacionais, tanto administrativos como financeiros, para a
implementação do RGPD foram bastante elevados. Primeiramente, o Grupo de Trabalho,
durante os primeiros meses de 2018 focou-se intensamente neste projeto, ocupando
grande parte do seu tempo, com reuniões (internas e externas), com a contratação de uma
equipa externa para o auxílio (MLGTS e Delloite). Os custos em honorários, até à data
de entrega do presente relatório, foram de 15.470 EUR, apresentando um impacto elevado
no balanço da empresa.
Para as mediadoras/corretores, como a MDS, o esforço é ainda maior, uma vez
que estas são subcontratadas das seguradoras, tendo que adaptar o seu tratamento à
política de privacidade das seguradoras. Não obstante todos estes desafios na
implementação, a MDS conseguiu e tem vindo a conseguir cumprir com as disposições
no RGPD.
178 “Os certificados digitais são ficheiros electrónicos autenticados com assinatura digital, que garantem a
identificação de pessoas, bem como a realização das transacções electrónicas com segurança.” Vide
INSTITUTO DOS MERCADOS PÚBLICOS, DO IMOBILIÁRIO E DA CONSTRUÇÃO - O que são
certificados digitais? [Em linha]. Lisboa : IMPIC, 2018.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
92 Mariana Martins da Cruz Justo
Conclusões
Mariana Martins da Cruz Justo 93
CONCLUSÕES
O risco cibernético transporta um conjunto de riscos subjacentes com elevados
impactos e custos para as empresas, que reclamam da falta de apoios ao nível orçamental
(e.g. interrupção/continuidade do negócio, a responsabilidades para terceiros, uma falha
provocada por sistemas de fornecedores, despesas para responder ao incidente, custos de
extorsão, danos à reputação), riscos esses que podem condicionar de forma determinante
as demonstrações financeiras da empresa e, em alguns casos, a sua própria subsistência.
Relativamente ao setor segurador, podemos verificar duas vertentes:
a. Risco a enfrentar – em que os três maiores riscos para o setor se prendem
com a violação de dados, perda de integridade de dados e indisponibilidade
dos serviços. Pelo volume substancial de dados que partilham, tanto
internamente, como com terceiros (pela terciarização presenciada), torna este
setor bastante atrativo para ataques;
b. Risco a segurar – este setor pode potenciar a gestão deste risco, através da
criação/comercialização de seguros cibernéticos, sendo uma oportunidade de
crescimento, com o aumento no volume de prémios e carteira.
Subjacente às alterações globais que todos presenciamos, a Quarta Revolução
Industrial está a avançar a um ritmo fulminante, com alterações no modelo de produção,
na organização empresarial, no marketing e na relação com os clientes, demonstrando
uma vantagem competitiva nas empresas que o implementam.
As InsurTech’s adquirem uma importância ainda mais significativa, com maior
eficiência na subscrição de seguros, processamento de sinistros e análise de risco (com o
tratamento e análise de um número infinito de dados, registando-se uma melhoria nas
avaliações e previsões), alterando o modus operandi das empresas deste setor, com um
papel mais focalizado na consultoria/gestão de risco. Surgem novos produtos, com
soluções para segurar os novos riscos, como veículos autónomos. No entanto, é
importante reforçar o elevado risco operacional e sistémico que a IA e o “Big Data”
podem trazer, devido à elevada terceirização do setor.
Se distinguirmos os impactos do Ramo Vida vs Ramo Não Vida:
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
94 Mariana Martins da Cruz Justo
a. Ramo Vida – a questão do envelhecimento da população transporta para as
seguradoras um aumento de despesas, com população cada vez mais idosa.
No entanto, com as alterações na categoria biológica e genética, os idosos
conseguem viver com maior independência, reduzindo os custos para as
seguradoras;
b. Ramo Não Vida – a automatização das máquinas poderá levar a uma menor
frequência de acidentes, com novos tipos de monitorização. No entanto,
nasce o problema da responsabilização numa falha tecnológica com a
utilização de algoritmos. Provavelmente dever-se-á responsabilizar o criador
do algoritmo.
Surgiu assim o RGPD, fruto da necessidade sentida de adaptação dos regimes de
proteção em vigor aos atuais desafios do risco cibernético. De uma forma geral, contribui
para o progresso económico e social e potencia o mercado único europeu de dados,
apoiando o livre fluxo de dados pessoais na UE, estimulando a concorrência entre os
responsáveis pelo tratamento e a cooperação internacional, entre as autoridades de
controlo e a Comissão.
Para as Empresas, é adotada uma atitude de autorregulação, com novas regras de
accountability, que acarretam valores e tempo despendido por parte dos colaboradores.
Da mesma forma, a notificação obrigatória em 72 horas pode aumentar a exposição
mediática negativa, obrigando a deteção imediata por parte da organização. A criação do
DPO, será um custo novo e tangível para a empresa, no entanto poderá ser considerado
uma vantagem competitiva para quem o contrata, na medida que este facilita a
conformidade. As transferências de dados também revelam ser um desafio, uma vez que
a política de comércio internacional ainda não está totalmente em linha com o
regulamento: países como Angola não dispõem deste tipo de mecanismos exigidos, por
exemplo; no entanto, os custos e os prazos envolvidos são reduzidos.
As coimas adquirem aqui o novo papel e a importância primordial neste
regulamento. Caso exista uma violação dos direitos dos titulares ou das obrigações do
responsável pelo tratamento, existirão coimas até 20.000.000 EUR ou 4% do volume de
negócios, sendo considerado o maior impacto trazido pelo RGPD.
Conclusões
Mariana Martins da Cruz Justo 95
Os custos de adaptação serão muito elevados, desde formações específicas,
revisão dos arquivos, até à contratação de auditorias especializadas na implementação,
com encargos administrativos bastante elevados. Com todos estes investimentos, é
possível que os custos sejam repassados para os clientes, com o aumento dos preços dos
bens e serviços, por forma a compensar a diminuição da capacidade financeira da
empresa.
Relativamente ao setor segurador, os maiores desafios prendem-se com a
definição das finalidades e do período de retenção dos dados.
Assim, foi relevante dividir em três análises, com os respetivos impactos
inerentes:
a. Corretoras
i. Duplo consentimento – Com a prestação de consentimento às corretoras e
seguradoras, terá de existir uma adaptação do papel das corretoras a esta
nova realidade, que poderá passar pelo enfoque na consultoria e não tanto
na intermediação. Existe um aumento de burocracias, com maior exigência
de assinaturas/informação, sendo que os potenciais clientes poderão não
consentir apenas por questões de inércia.
b. Seguradoras
i. Decréscimo na oferta – aquando do término do contrato, a finalidade
extingue-se, ou seja, é necessário pedir novo consentimento. Muitas vezes,
como já mencionado, por questão de inércia e por toda a burocracia
subjacente, os clientes não a prestam, ficando sem proteção;
ii. Categorias especiais de dados – requerem o consentimento explícito por
parte dos titulares, sendo que é necessário eliminar todos os dados cujas
finalidades já estejam extintas. Existência de um enorme vazio legal para
esta questão, sem precaver estas situações para o setor;
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
96 Mariana Martins da Cruz Justo
c. Corretoras e Seguradoras – Setor Segurador
i. Profiling – o processo de subscrição engloba o perfil sistemático e
automático, sendo que com o direito à sua oposição, as finalidades e bases
de licitude terão que ser claramente definidas por forma a ser considerado
ou para execução contratual ou para interesse legítimo. Para efeitos de
marketing direto, o profiling acarreta vantagens para as empresas, uma vez
que permite a criação de negócio com a melhoria da divulgação de bens e
serviços. Sendo assim, os novos direitos de oposição ao profiling, poderão
trazer desvantagens económicas para as empresas, sem a maximização dos
benefícios que este tratamento acarretava;
ii. Portabilidade de dados – uma vez que as seguradoras/corretoras dispõem
de bases/sistemas de dados diferentes, um para subscrição e outro para
gestão de sinistros, será necessário adaptar modelos para tratar eficazmente
estes pedidos;
iii. Aumento da procura dos seguros cibernéticos por forma a cobrir as
elevadas coimas impostas pelo RGPD.
Não obstante os impactos negativos, prevê-se aqui uma oportunidade de inovação
e de partilha de dados de forma segura, com o aumento do volume de negócios pela
crescente proliferação dos seguros cibernéticos, estimulando assim a economia.
A Quarta Revolução Industrial acarreta também alguns impactos na questão da
responsabilização das violações de dados (com as coimas aos responsáveis pelo
tratamento). Com a inteligência artificial e os inerentes algoritmos, considerados
produtos, a identificação do responsável não é tarefa fácil. A questão dos produtos não
está explicitada no RGPD, deparando-nos, mais uma vez, com um vazio legal.
Após anunciar os impactos nas empresas, focalizadas no setor segurador, do risco
cibernético e das novas exigências do RGPD, importa agora clarificar como a MDS,
corretora do setor segurador, se preparou para os mesmos.
Ao compararmos os impactos identificados do risco cibernético e do RGPD no
setor segurador, com o comportamento da MDS verificamos que:
Conclusões
Mariana Martins da Cruz Justo 97
Tabela 1 - Impactos Risco Cibernético no Setor Segurador e MDS
Impactos Setor Segurador MDS
Ameaça à Segurança do Setor
Estratégia de resiliência cibernética Sim
Medidas técnicas Ainda em processo
Definição de protocolos Sim – S21sec
Formação Sim
Risco a Segurar
Aumento da procura Sim
Quarta Revolução Industrial
InsurTech - Novas Plataformas/Modelos de negócio Sim
Aumento da procura – Outros riscos/Novos produtos Sim – Veículos Autónomos
Papel em consultoria/gestão de risco Sim – Herco
Tabela 2 – Impactos RGPD no Setor Segurador e MDS
Impactos Setor Segurador MDS
Política de Privacidade
Definição das finalidades Sim
Definição dos bases de licitude Sim
Definição dos prazos de conservação Sim
Definição dos direitos dos titulares Sim
Política de Cookies Sim
Medidas Técnicas Ainda em processo
Formação Sim
DPO/DPIA Sim
Revisão do Arquivo Sim
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
98 Mariana Martins da Cruz Justo
Subcontratação de Auditorias Sim – MLGTS/Delloite
Aumento da Procura – Seguro Cibernético Sim
Modelo de Autorregulação Sim
Após a análise efetuada, importa agora responder à questão que conduziu o
presente relatório:
Estará o setor segurador preparado para fazer face aos impactos do risco
cibernético e das novas exigências consagradas no RGPD?
A resposta não é clara.
Verificou-se que, com o estudo teórico realizado, os impactos do risco cibernético
e do RGPD são elevados e de real valor. Com o estudo de caso da MDS, cingindo-nos a
uma empresa do setor segurador, é possível concluir que, nesta fase de adaptação, esta
está devidamente preparada e continua a apostar, em grande medida, na preparação para
este risco e para a entrada em vigor do regulamento.
Uma das grandes preocupações e fragilidades sentidas atualmente, prendem-se
com o facto de ainda não existir uma lei que transponha o regulamento para a ordem
jurídica. Da mesma forma, existe uma lacuna no âmbito de legislação específica para
determinadas matérias, em especial do setor segurador, resultando num vazio legal que
pode levar à interrupção da atividade das empresas deste setor.
O mesmo acontece com as medidas técnicas e organizativas, o que deixa as
empresas em desvantagem competitiva, uma vez que ainda não estão definidas as medidas
para implementar, no âmbito do risco cibernético, em concordância com o RGPD.
É, por conseguinte, necessária a promoção de uma cultura de resiliência
cibernética com a devida consciencialização e formação.
Dever-se-á apostar na regulação e supervisão, com reforço de auditorias e
penalizações, e com estipulação de diretrizes para o risco cibernético e códigos de conduta
para o RGPD, sugerindo-se um papel mais ativo da CNPD e da ASF nestes âmbitos, no
que concerne ao setor segurador.
Conclusões
Mariana Martins da Cruz Justo 99
Os orçamentos, no âmbito do risco cibernético e RGPD, deverão aumentar por
forma a existir maior investimento na prevenção, ao invés de na resolução.
Uma das soluções mais eficazes será a exploração do seguro cibernético, por
forma a combater o risco cibernético (danos próprios e danos contra terceiros) e cobrir as
eventuais coimas que possam surgir face a uma violação de dados subjacente ao RGPD.
Concluindo, com este relatório de estágio, pretende-se alertar as empresas,
especialmente as do setor segurador, sobre os impactos acarretados por estas duas
variáveis e de que forma, através do estudo de caso da MDS, podem combatê-los. Por um
lado, como potenciar a sua política de resiliência cibernética, por outro, como efetuar uma
Política de Privacidade à medida das exigências consagradas no RGPD.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
100 Mariana Martins da Cruz Justo
Bibliografia
Mariana Martins da Cruz Justo 101
BIBLIOGRAFIA
ADVISEN - European cyber losses 2011-2017 [Em linha]. New York : Advisen, 2018.
[Consult. 18 jul. 2018]. Disponível em
WWW:<URL:https://www.advisenltd.com/2018/01/16/european-cyber-losses-2011-
2017/>.
ANTUNES, José A. Engrácia - Direito dos Contratos Comerciais. Coimbra : Almedina,
2009.
AON - Gestão de cativas [Em linha]. Lisboa : AON, 2018. [Consult. 19 jun. 2018].
Disponível em WWW:<URL: http://www.aon.com/portugal/produtos-e-
servicos/especialidades/consultoria-gestao-riscos/gestao_%20de_cativas.jsp>.
AON - Global Risk Management Survey 2017 [Em linha]. London : AON, 2017. [Consult.
19 mai. 2018]. Disponível em WWW:<URL:http://www.aon.com/2017-global-risk-
management-survey/pdfs/2017-Aon-Global-Risk-Management-Survey-Full-Report-
062617.pdf>.
ARTHUR, Charles - EU justice chief warns Google over 'sneaking' citizens' privacy
away. The Guardian [Em linha]. (1 mar. 2012). [Consult. 10 jun. 2018]. Disponível em
WWW:<URL:https://www.theguardian.com/technology/2012/mar/01/eu-warns-google-
over-privacy>.
ARTICLE 29 DATA PROTECTION WORKING PARTY - Guidelines on automated
individual decision-making and profiling for the purposes of regulation 2016/679 [Em
linha]. Brussels : European Commission, 2018. 17/EN WP251rev.01. Adopted on 3
October 2017, as last revised and adopted on 6 February 2018. [Consult. 18 jun. 2018].
Disponível em WWW:<URL:
http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826>.
ARTICLE 29 DATA PROTECTION WORKING PARTY - Guidelines on Personal data
breach notification under Regulation 2016/679 [Em linha]. Brussels : European
Commission, 2018. 18/EN WP250rev.01. Adopted on 3 October 2017, as last revised and
adopted on 6 February 2018. [Consult. 18 jun. 2018]. Disponível em WWW:<URL:
http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49827>.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
102 Mariana Martins da Cruz Justo
AZEREDO PERDIGÃO & ASSOCIADOS – SOCIEDADE DE ADVOGADOS - O
novo regulamento de protecção de dados : partes IV, V e VI. Newsletter Juris [Em linha].
(2018). [Consult. 25 jun. 2018]. Disponível em
WWW:<URL:https://www.ccip.pt/pt/newsletter-juris/1220-iii-o-novo-regulamento-de-
proteccao-de-dados-partes-iv-v-e-vi>.
BATALHA, Jorge Martinez - Novos Desafios sobre a Proteção de Dados. ResPublica :
Revista Lusófona de Ciência Política, Segurança e Relações Internacionais [Em linha].
N.º 16 (2017) p. 201-217. [Consult. 14 mar. 2018]. Disponível em WWW:<URL:
http://recil.grupolusofona.pt/handle/10437/8522>.
BEXIGA, Sónia - Proteção de dados leva risco cibernético para o topo das preocupações
das empresas. Jornal Económico [Em linha]. (23 out. 2017). [Consult. 18 jul. 2018].
Disponível em WWW:<URL: https://jornaleconomico.sapo.pt/noticias/protecao-de-
dados-impulsiona-risco-cibernetico-para-topo-das-preocupacoes-das-empresas-
223795>.
BIT MAGAZINE - Instituições e empresas não estão protegidas contra o crime
cibernético. Bit Magazine [Em linha]. (21 Dez. 2017). [Consult. 18 mar. 2018].
Disponível em WWW:<URL:http://www.bit.pt/instituicoes-empresas-nao-estao-
protegidas-crime-cibernetico/>.
BITSIGHT TECHNOLOGIES – BitSight : the standard in security ratings [Em linha].
Cambridge : BitSight Technologies. [Consult. 30 jun. 2018]. Disponível em
WWW:<URL:https://www.bitsighttech.com/>.
BUSINESSCLOUD - EU data protection rules will affect everyone [Em linha].
Manchester : BusinessCloud, 2016. [Consult. 14 mar. 2018]. Disponível em
WWW:<URL:http://www.businesscloud.co.uk/news/eu-data-protection-rules-will-
affect-everyone->.
CALVÃO, Maria Filipa Pires Urbano da Costa - “Não posso garantir que a privacidade
das pessoas esteja assegurada”. Entrevista realizada por João D’Espiney. Dinheiro Vivo
[Em linha]. (1 Abr. 2017). [Consult. 2 jun. 2018]. Disponível em
WWW:<URL:https://www.dinheirovivo.pt/entrevistas/nao-posso-garantir-que-a-
privacidade-das-pessoas-esteja-assegurada/>.
Bibliografia
Mariana Martins da Cruz Justo 103
CANN, Oliver - Five million jobs by 2020 : the real challenge of the fourth industrial
revolution [Em linha]. Geneva : World Economic Forum, 2016. [Consult. 10 mar. 2018].
Disponível em WWW:<URL:https://www.weforum.org/press/2016/01/five-million-
jobs-by-2020-the-real-challenge-of-the-fourth-industrial-revolution/>.
CARREIRO, Henrique, dir. - Mais de metade das empresas não compreendem
consequências de incumprimento do RGPD. IT Insight [Em linha]. (25 Out. 2017).
[Consult. 2 jun. 2018]. Disponível em WWW:<URL:http://www.itinsight.pt/news/it-
strategy/mais-de-metade-das-empresas-nao-compreendem-consequencias-de-
incumprimento-do-rgpd>.
CARTA dos direitos fundamentais da União Europeia. Jornal Oficial das Comunidades
Europeias [Em linha]. Série C, n.º 364 (18-12-2000). 2000/C 364/01. [Consult. 19 jun.
2018]. Disponível em WWW:<URL:
http://www.europarl.europa.eu/charter/pdf/text_pt.pdf>.
CASTELLI, Christopher [et al.] - Strengthening digital society against cyber shocks :
Key findings from The Global State of Information Security® Survey 2018 [Em linha].
Hong Kong : PwC, 2017. [Consult. 25 fev. 2018]. Disponível em
WWW:<URL:https://www.pwchk.com/en/risk-assurance/publications/the-global-state-
of-information-security-survey-2018.pdf>.
CASTELLS, Manuel - A era da informação: economia, sociedade e cultura : a sociedade
em rede. Lisboa : Fundação Calouste Gulbenkian CERT-EU. Vol. 1.
COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS – 10 medidas para preparar a
aplicação do Regulamento Europeu de Proteção de Dados [Em linha]. [S.l.] : Comissão
Nacional de Proteção de Dados, 2017. [Consult. 25 mai. 2018]. Disponível em
WWW:<URL:https://www.cnpd.pt/bin/rgpd/10_Medidas_para_preparar_RGPD_CNPD
.pdf>.
COMPUTER HOPE - What are the differences between hardware and software? [Em
linha]. Utah : Computer Hope, 2018. [Consult. 14 mar. 2018]. Disponível em
WWW:<URL:https://www.computerhope.com/issues/ch000039.htm>.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
104 Mariana Martins da Cruz Justo
CONSTITUIÇÃO da República Portuguesa [Em linha]. Texto originário da Constituição,
aprovada em 2 de Abril de 1976. [Consult. 19 jun. 2018]. Disponível em WWW:<URL:
https://www.parlamento.pt/parlamento/documents/crp1976.pdf>.
COUNCIL OF EUROPE. Consultative Committee of Convention for The Protection of
Individuals With Regard to Automatic Processing of Personal Data - Guidelines on the
protection of individuals with regard to the processing of personal data in a world of big
data [Em linha]. Strasbourg : Council of Europe, 2017. T-PD(2017)01. [Consult. 22 mar.
2018]. Disponível em WWW:<URL: https://rm.coe.int/16806ebe7a>.
DASCALESCU, Ana - 10+ critical corporate cyber security risks : a data driven list :
revealing the risk sources that expose your organization to cyber attacks [Em linha].
København K : Heimdal Security, 2018. [Consult. 25 jun. 2018]. Disponível em
WWW:<URL:https://heimdalsecurity.com/blog/10-critical-corporate-cyber-security-
risks-a-data-driven-list/>.
DL n.º 72/2008, de 16 de abril : Regime Jurídico do Contrato de Seguro. In PGDL :
Procuradoria-Geral Distrital de Lisboa [Em linha]. Lisboa : PGDL, 2015. [Consult. 19
jun. 2018]. Disponível em WWW:<URL:
http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=2657&tabela=leis&so_mio
lo=>.
ERNST & YOUNG GLOBAL LIMITED - O caminho para a ciber-resiliência :
perceção, resistência, reação : 19ª pesquisa global de segurança da informação EY 2016-
17 [Em linha]. [S.l.] : EY, 2017. [Consult. 17 jul. 2018]. Disponível em
WWW:<URL:https://www.ey.com/Publication/vwLUAssets/GISS_2016/$File/GISS_2
016_Report_Final.pdf>.
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF
EUROPE - Handbook on european data protection law [Em linha]. Luxembourg :
Publications Office of the European Union, 2018. [Consult. 17 jul. 2018]. Disponível em
WWW:<URL:http://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-
handbook-data-protection_en.pdf>.
FERNANDES, Filipe S. - O novo Regulamento Geral da Protecção de Dados. Negócios
[Em linha]. (19 jun. 2017). [Consult. 2 jun. 2018]. Disponível em
Bibliografia
Mariana Martins da Cruz Justo 105
WWW:<URL:http://www.jornaldenegocios.pt/negocios-iniciativas/detalhe/o-novo-
regulamento-geral-da-proteccao-de-dados>.
FORTIN, Marie-Fabienne - O processo de investigação : da concepção à realização. 3.ª
ed. Loures : Lusociência, 2003.
FREIXO, Manuel João Vaz - Metodologia científica : fundamentos, métodos e técnicas.
Lisboa : Instituto Piaget, 2009.
GIBSON, William – Neuromancer. Nova Iorque : Ace Books, 1984.
GONÇALVES, Maria Eduarda - Direito da informação : novos direitos e formas de
regulação na sociedade de informação. Coimbra : Almedina, 2003.
GROUP OF TEN - Report on Consolidation in the Financial Sector [Em linha]. [S.l.] :
BIS [et al.], 2001. ISBN 92-9131-611-3. [Consult. 15 mai. 2018]. Disponível em
WWW:<URL: https://www.imf.org/external/np/g10/2001/01/Eng/pdf/file1.pdf>.
GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Diretrizes de aplicação
e fixação de coimas para efeitos do Regulamento 2016/679 [Em linha]. Bruxelas :
Comissão Europeia, 2017. Adotadas em 3 de outubro de 2017. [Consult. 15 mai. 2018].
Disponível em WWW:<URL:
https://www.cnpd.pt/bin/rgpd/docs/wp253_pt_aplicacao_de_coimas.pdf>.
GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações relativas
à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o
tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento
(UE) 2016/679 [Em linha]. Bruxelas : Comissão Europeia, 2017. Adotadas em 4 de abril
de 2017, revistas e adotadas pela última vez em 4 de outubro de 2017. 17/PT WP 248
rev.01. [Consult. 15 mai. 2018]. Disponível em WWW:<URL:
https://www.cnpd.pt/bin/rgpd/docs/wp248rev.01_pt.pdf>.
GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações sobre o
direito à portabilidade dos dados [Em linha]. Bruxelas : Comissão Europeia, 2017.
Adotadas em 13 de dezembro de 2016, com a última redação revista e adotada em 5 de
abril de 2017. 16/PT WP 242 rev.01. [Consult. 15 mai. 2018]. Disponível em
WWW:<URL: https://www.cnpd.pt/bin/rgpd/docs/wp242rev01_pt.pdf>.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
106 Mariana Martins da Cruz Justo
HOPKINS, Robin - Don’t be a data protection fundamentalista. Local Government
Lawyer [Em linha]. (16 Feb 2017). [Consult. 10 mar. 2018]. Disponível em
WWW:<URL:http://www.localgovernmentlawyer.co.uk/index.php?option=com_conten
t&view=article&id=30033%3Adont-be-a-data-protection-
fundamentalist&catid=59&Itemid=27>.
HUGHES Barry B. [et al.] - ICT/Cyber benefits and costs : reconciling competing
perspectives on the current and future balance. Technological Forecasting & Social
Change [Em linha]. Vol. 115 (February 2017) p. 117-130.
https://doi.org/10.1016/j.techfore.2016.09.027. [Consult. 15 mai. 2018]. Disponível em
WWW:<URL:https://www.sciencedirect.com/science/article/pii/S0040162516303560>.
IDC PORTUGAL – IDC GDPR Fórum [Em linha]. Lisboa : IDC Portugal, 2018.
[Consult. 10 mar. 2018]. Disponível em WWW:<URL:http://www.idcdx.pt/insights/idc-
event/regulamento-geral-de-protecao-de-dados-rgpd-3/>.
INSTITUTO DOS MERCADOS PÚBLICOS, DO IMOBILIÁRIO E DA
CONSTRUÇÃO - O que são certificados digitais? [Em linha]. Lisboa : IMPIC, 2018.
[Consult. 20 jun. 2018]. Disponível em
WWW:<URL:http://www.inci.pt/Portugues/Branqueamento/Paginas/CertificadoDigital.
aspx>.
INTEGRITY - O que é a norma ISO 27001? [Em linha]. Lisboa : Integrity, 2018.
[Consult. 18 mar. 2018]. Disponível em WWW:<URL:https://www.27001.pt/>.
INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper
on cyber risk to the insurance sector [Em linha]. [Basel] : IAIS, 2016. This document was
prepared by the Financial Crime Task Force (FCTF). [Consult. 15 mai. 2018]. Disponível
em WWW:<URL:https://www.iaisweb.org/file/61857/issues-paper-on-cyber-risk-to-
the-insurance-sector>.
INTERNATIONAL TELECOMMUNICATION UNION - ICT Facts and Figures 2016
[Em linha]. Geneva : ITU, 2016. [Consult. 18 jan. 2018]. Disponível em
WWW:<URL:https://www.itu.int/en/ITU-
D/Statistics/Documents/facts/ICTFactsFigures2016.pdf>.
Bibliografia
Mariana Martins da Cruz Justo 107
IT GOVERNANCE - Cyber resilience [Em linha]. Cambridgeshire : IT Governance,
2018. [Consult. 5 jul. 2018]. Disponível em
WWW:<URL:https://www.itgovernance.co.uk/cyber-resilience>.
JABLONOWSKA, Agnieszka - Protecting privacy online : GDPR and e-privacy
directive revisited [Em linha]. Bristol : Society for Computers and Law, 2016. [Consult.
10 mar. 2018]. Disponível em WWW:<URL:https://www.scl.org/articles/3758-
protecting-privacy-online-gdpr-and-e-privacy-directive-revisited>.
KESSLER, Denis - How artificial intelligence will impact the (re)insurance industry.
Focus [Em linha]. (March 2018) p. 6-10. [Consult. 22 jun. 2018]. Disponível em
WWW:<URL:https://www.scor.com/sites/default/files/focus_scor-
artificial_intelligence.pdf>.
KPMG ADVISORY - CONSULTORES DE GESTÃO - O Impacto do Regulamento
Geral de Protecção de Dados em Portugal : estudo [Em linha]. [S.l.] : KPMG, 2017.
[Consult. 19 mai. 2018]. Disponível em WWW:<URL:
https://portal.oa.pt/media/121529/estudo_rgpd_kpmg.pdf>.
KUCHLER, Hannah - Cost of cyber crime rises rapidly as attacks increase. Financial
Times [Em linha]. (8 Nov. 2017). [Consult. 25 mai. 2018]. Disponível em
WWW:<URL:https://www.ft.com/content/56dae748-af79-11e7-8076-
0a4bdda92ca2?utm_source=Financial%20Times&utm_medium=LinkedIn&utm_campa
ign=Cost%20of%20cyber%20crime%20article%20-
%20Ed%20Stroz&_lrsc=907471a7-07df-44b4-931d-
31da0ed6d70a&utm_Source=Linkedin_Elevate>.
LEI n.º 32/2008, de 17 de Julho : Conservação de dados gerados ou tratados no contexto
oferta de serviços de comunicações electrónicas. In PGDL : Procuradoria-Geral Distrital
de Lisboa [Em linha]. Lisboa : PGDL, 2018. Transpõe para a ordem jurídica interna a
Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março.
[Consult. 19 jun. 2018]. Disponível em WWW:<URL:
http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=1264&tabela=leis&so_mio
lo=>.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
108 Mariana Martins da Cruz Justo
LEI n.º 41/2004. Diário da República [Em linha]. Série I-A, n.º 194/2004 (18-08-2004)
5241-5245. [Consult. 18 jul. 2018]. Disponível em WWW:<URL:
https://dre.pt/pesquisa/-/search/480710/details/maximized>.
LEI n.º 67/98. Diário da República [Em linha]. Série I-A, n.º 247/1998 (26-10-1998). Lei
da Protecção de Dados Pessoais (transpõe para a ordem jurídica portuguesa a Directiva
n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995. [Consult.
30 jun. 2018]. Disponível em WWW:<URL:https://dre.pt/web/guest/pesquisa/-
/search/239857/details/maximized>.
LLOYD’S - Closing the gap : insuring your business against evolving cyber threats [Em
linha]. In association with KPMG and DAC Beachcroft. [S.l.] : Lloyd’s, 2017. [Consult.
10 fev. 2018]. Disponível em
WWW:<URL:https://www.dacbeachcroft.com/media/909469/closing-the-gap-report-
full.pdf>.
LORENZ, Markus [et al.] - Man and machine in industry 4.0: how will tecnology
transform the industrial workforce through 2025 [Em linha]. Boston : Boston Consulting
Group, 2015. [Consult. 18 mar. 2018]. Disponível em WWW:<URL: http://image-
src.bcg.com/Images/BCG_Man_and_Machine_in_Industry_4_0_Sep_2015_tcm9-
61676.pdf>.
MACRAE, Angus - GDPR - The good, the bad and the ugly. The State of Security [Em
linha]. (23 Feb. 2016). [Consult. 25 jun. 2018]. Disponível em
WWW:<URL:https://www.tripwire.com/state-of-security/security-awareness/gdpr-the-
good-the-bad-and-the-ugly/>.
MARSH ; RIMS - Emerging risks : anticipating threats and opportunities around the
corner [Em linha]. Report analysis and review Brian C. Elowe, Carol Fox. [S.l.] :
MARSH; RIMS, 2016. (Excellence in Risk Management XIII). [Consult. 10 fev. 2018].
Disponível em WWW:<URL: https://nacm.org/pdfs/surveyResults/emerging-risks-
anticipating-threats-opportunities-around-corner.pdf>.
MARTINS, Cláudia Fernandes - A alteração na regulação na Proteção de Dados Pessoais.
Eco : Economia Online [Em linha]. (17 Out. 2017). [Consult. 10 jun. 2018]. Disponível
Bibliografia
Mariana Martins da Cruz Justo 109
em WWW:<URL:https://eco.pt/opiniao/a-alteracao-na-regulacao-na-proteccao-de-
dados-pessoais/>.
MAYNARD, Trevor ; NG, George - Counting the cost : cyber exposure decoded :
emerging risks report 2017 [Em linha]. [S.l.] : Lloyd’s, 2017. [Consult. 10 fev. 2018].
Disponível em WWW:<URL:https://www.lloyds.com/~/media/files/news-and-
insight/risk-insight/2017/cyence/emerging-risk-report-2017---counting-the-cost.pdf>.
McLUHAN, M. - Os meios de comunicação como extensão do homem. [S.l.] : Editora
Cultrix, 1998.
MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - N7 - Avaliação de
Impacto. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2018. Documento
interno.
MAVERICK, J.B. - What is the difference between CAPEX and OPEX? [Em linha]. New
York : Investopedia, 2018. [Consult. 18 jul. 2018]. Disponível em WWW:<URL:
https://www.investopedia.com/ask/answers/020915/what-difference-between-capex-
and-opex.asp>.
MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de
cookies [Em linha]. Porto : MDS Group, 2018b. [Consult. 20 jun. 2018]. Disponível em
WWW:<URL:https://www.mdsinsure.com/pt/politica-de-cookies/>.
MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de
privacidade de clientes [Em linha]. Porto : MDS Group, 2018a. [Consult. 20 jun. 2018].
Disponível em WWW:<URL:https://www.mdsinsure.com/pt/politica-de-privacidade/>.
MICROSOFT NEWS CENTER - Apenas 2,5% dos decisores considera que a sua
organização está preparada para lidar com o RGPD [Em linha]. [S.l.] : Microsoft, 2018.
[Consult. 10 jun. 2018]. Disponível em WWW:<URL:https://news.microsoft.com/pt-
pt/2018/01/30/apenas-25-dos-decisores-considera-que-sua-organizacao-esta-preparada-
para-lidar-com-o-rgpd/>.
NEGROPONTE, Nicholas - Being digital. London : Hodder & Stoughton, 1995.
NJEGOMIR, Vladimir ; MAROVIĆ, Boris - Contemporary trends in the global insurance
industry. Procedia - Social and Behavioral Sciences [Em linha]. Vol. 44 (2012) p. 134-
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
110 Mariana Martins da Cruz Justo
142. [Consult 14 jun. 2018]. Disponível em WWW:<URL:
https://www.sciencedirect.com/science/article/pii/S1877042812011342>.
OLIVEIRA, Déborah, ed. - Cibercrime gera prejuízo de quase US$ 600 bilhões para
economia mundial [Em linha]. Rio de Janeiro : ITF 365, 2018. [Consult. 18 jul. 2018].
Disponível em WWW:<URL:https://www.itforum365.com.br/seguranca/cibercrime-
gera-prejuizo-de-quase-us-600-bilhoes-para-economia-mundial/>.
OLIVEIRA, José Galamba de – Editorial. In ASSOCIAÇÃO PORTUGUESA DE
SEGURADORES - Panorama do mercado segurador 16/17 [Em linha]. Lisboa : APS,
2017. [Consult. 14 mai. 2018]. Disponível em WWW:<URL:
https://www.apseguradores.pt/Portal/ContentResourceDownload_Entry.aspx?ResourceI
d=16284>.
PARSOIRE, Didier ; HEON, Sébastien - State of the cyber (re)insurance market. Focus
[Em linha]. N.º 22 (April 2017) p. 23-29. [Consult. 22 jun. 2018]. Disponível em
WWW:<URL: https://www.scor.com/en/file/19208/download?token=lXBp2e_R>.
PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of
insurance [Em linha]. Amsterdam : CRO Forum, 2014. [Consult. 22 mar. 2018].
Disponível em WWW:<URL: https://www.thecroforum.org/wp-
content/uploads/2015/01/Cyber-Risk-Paper-version-24-1.pdf>.
PEIGNET, Victor - Technology : shaping the risk landscape. Focus [Em linha]. N.º 22
(April 2017) p. 34-40. [Consult. 22 jun. 2018]. Disponível em WWW:<URL:
https://www.scor.com/en/file/19208/download?token=lXBp2e_R>.
PEQUENINO, Karla - Facebook avisa cada utilizador que teve os dados expostos à
Cambridge Analytica. Público [Em linha]. (9 Abr. 2018). [Consult. 10 jun. 2018].
Disponível em
WWW:<URL:https://www.publico.pt/2018/04/09/tecnologia/noticia/como-saber-se-foi-
afectado-pela-cambridge-analytica-1809638>.
PEREIRA, Alexandre Libório Dias - Big data, e-health e «autodeterminação informativa»
: a lei 67/98, a jurisprudência e o regulamento 2016/679 (GDPR). Lex Medicinae –
Revista Portuguesa de Direito da Saúde [Em linha]. N.º 29 (2018). [Consult. 25 mar.
2018]. Disponível em WWW:<URL:
Bibliografia
Mariana Martins da Cruz Justo 111
https://estudogeral.sib.uc.pt/bitstream/10316/48094/1/Big%20data%20ehealth%20autod
eterminacao%20informativa.pdf>.
PINHEIRO, Vanda Cardoso - Indústria 4.0 a quarta revolução industrial [Em linha].
Lisboa : Compete 2020, 2016. [Consult. 6 mar. 2018]. Disponível em
WWW:<URL:http://www.poci-compete2020.pt/destaques/detalhe/Industria_4ponto0>.
PONEMON INSTITUTE - 2016 cost of cyber crime study & the risk of business
innovation [Em linha]. Michigan : Ponemon Institute. [Consult. 20 jul. 2018]. Disponível
em WWW:<URL:
http://www.ponemon.org/local/upload/file/2016%20HPE%20CCC%20GLOBAL%20R
EPORT%20FINAL%203.pdf>.
PORTER, Michael - Competitive advantage. New York : The Free Press, cop. 1985.
PORTO EDITORA - Lei dos grandes números [Em linha]. Porto : Porto Editora, 2018.
[Consult. 18 jul. 2018]. Disponível em WWW:<URL: https://www.infopedia.pt/$lei-dos-
grandes-numeros>.
PROPOSTA de Lei n.º 120/XIII [Em linha]. [Lisboa] : Presidência do Conselho de
Ministros. [Consult. 19 jun. 2018]. Disponível em WWW:<URL:
http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c3246795958
42774f6a63334e7a637664326c756157357059326c6864476c3259584d7657456c4a5353
39305a58683062334d76634842734d5449774c56684a53556b755a47396a&fich=ppl120
-XIII.doc&Inline=true>.
REGO, Margarida Lima - O contrato e a apólice de seguro. In REGO, Margarida Lima,
coord. - Temas de direito dos seguros : a propósito da nova lei do contrato de seguro.
Coimbra : Almedina, 2012. p. 15-37.
Risk Outlook [Em linha]. Comissão do Mercado de Valores Mobiliários, ed. Lisboa :
CMVM, Autumn 2016. [Consult. 18 mai. 2018]. Disponível em
WWW:<URL:http://www.cmvm.pt/pt/EstatisticasEstudosEPublicacoes/Publicacoes/ris
koutlook/Documents/RiskOutlook%20autumn2016.pdf>.
RODRIGUES, Bruno - A APDPO-Portugal pronunciou-se, recentemente, sobre o
documento relativo a eventual legislação nacional no âmbito do RGPD [Em linha].
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
112 Mariana Martins da Cruz Justo
Lisboa : APDPO, 2017. [Consult. 25 Abr. 2018]. Disponível em
WWW:<URL:https://www.dpo-portugal.pt/index.php/2017/10/31/a-apdpo-portugal-
pronunciou-se-recentemente-sobre-o-documento-relativo-a-eventual-legislacao-
nacional-no-ambito-do-rgpd/>.
RODRIGUES, José Conde - O ciberespaço e a ordem mundial. Observador [Em linha].
(8 nov. 2016). [Consult. 18 jun. 2018]. Disponível em WWW:<URL:
https://observador.pt/opiniao/o-ciberespaco-e-a-ordem-mundial/>.
RODRIGUES, Miguel Videira ; ESTEVES, Pedro - Ataques informáticos. As empresas
portuguesas estão preparadas?. Observador [Em linha]. (26 mar. 2017). Artigo publicado
originalmente a 26 de março de 2017 e foi republicado a 12 de maio de 2017 devido ao
ataque informático a nível internacional. [Consult. 18 jul. 2018]. Disponível em
WWW:<URL:http://observador.pt/2017/03/26/ataques-informaticos-empresas/>.
SALDANHA, Nuno - Novo regulamento geral de proteção de dados : O que é? A quem
se aplica? Como implementar?. Lisboa : FCA, 2018.
SANTOS, Lino ; GUEDES, Armando Marques - Breves reflexões sobre poder e
ciberespaço = Brief thoughts on power and cyberspace. RDeS – Revista de Direito e
Seguranca. N.º 6 (julho-dezembro 2015) p. 189-209. [Consult. 22 jun. 2018]. Disponível
em
WWW:<URL:https://comum.rcaap.pt/bitstream/10400.26/14329/1/PodereCiberesa%C3
%A7o.pdf>.
SCHWAB, Klaus - The fourth industrial revolution : what it means, how to respond [Em
linha]. Geneva : World Economic Forum, 2016. [Consult. 14 mar. 2018]. Disponível em
WWW:<URL:https://www.weforum.org/agenda/2016/01/the-fourth-industrial-
revolution-what-it-means-and-how-to-respond/>.
SCHWAB, Klaus - The fourth industrial revolution. Geneva : WEF, 2016.
SCOR - Summary of the panel discussion on cyber risks and insurance for corporates : a
true global risk management approach and a need for further dialogue. Focus [Em linha].
N.º 22 (April 2017) p. 30-33. [Consult. 22 jun. 2018]. Disponível em WWW:<URL:
https://www.scor.com/en/file/19208/download?token=lXBp2e_R>.
Bibliografia
Mariana Martins da Cruz Justo 113
SÉNECA, Hugo - RGPD : regulamento de proteção de dados pode custar meio milhão às
maiores empresas. Exame Informática [Em linha]. (24 mai. 2018). [Consult. 5 jun. 2018].
Disponível em WWW:<URL:http://exameinformatica.sapo.pt/noticias/mercados/2018-
05-24-RGPD-regulamento-de-protecao-de-dados-pode-custar-meio-milhao-as-maiores-
empresas>.
SHEEHAN, Matt - Artificial intelligence risks may outweigh benefits, reports Allianz.
Reinsurance News [Em linha]. (29 mar. 2018). [Consult. 25 jun. 2018]. Disponível em
WWW:<URL:https://www.reinsurancene.ws/artificial-intelligence-risks-may-outweigh-
benefits-reports-allianz/>.
SHEEHAN, Matt - Digitalisation will ‘redefine’ insurance claims handling: PwC.
Reinsurance News [Em linha]. (12 jul. 2018). [Consult. 20 jul. 2018]. Disponível em
WWW:<URL:https://www.reinsurancene.ws/digitalisation-will-redefine-insurance-
claims-handling-pwc/>.
SHEEHAN, Matt - EU’s data protection regulations will significantly impact re/insurers
: Sidley. Reinsurance News [Em linha]. (16 mar. 2018). [Consult. 25 jun. 2018].
Disponível em WWW:<URL:https://www.reinsurancene.ws/eus-data-protection-
regulations-will-significantly-impact-re-insurers-sidley/>.
SIMONS, Dawn - Ciber-risco : a sua empresa está protegida?. FullCover [Em linha]. N.º
3 (Abril 2011) p. 125 128. [Consult. 22 jun. 2018]. Disponível em WWW:<URL:
https://issuu.com/mdsit/docs/fullcover3>.
SJOHOLM, Hans ; ROSENCRANCE, Linda – Hacker [Em linha]. Posted by: Margaret
Rouse. Newton, MA : TechTarget, 2017. [Consult. 5 jun. 2018]. Disponível em
WWW:<URL:https://searchsecurity.techtarget.com/definition/hacker>.
SLOOT, Bart - Legal fundamentalism : is data protection really a fundamental right?. In
LEENES, R., ed. [et al.] - Data protection and privacy : (in)visibilities and
infrastructures. New York : Springer, 2017. P. 3-30.
SOUSA, Antonio J. Fernandes, dir. ; FEDEC, Anna, dir. - PIB - lista de países [Em linha].
New York : IECONOMICS, 2018. [Consult. 5 jun. 2018]. Disponível em
WWW:<URL:https://pt.tradingeconomics.com/country-list/gdp>.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
114 Mariana Martins da Cruz Justo
TEIXEIRA, Andreia - Mecanismos de gestão do risco e mitigação do impacto : como
avaliar a prevenção à resposta [Em linha]. Lisboa : AON, 2017.
TELES, Joana Galvão - Deveres de informação das partes. In REGO, Margarida Lima,
coord. - Temas de direito dos seguros : seguros : a propósito da nova lei do contrato de
seguro. Coimbra : Almedina, 2012. P. 213-273.
TENDULKAR, Rohini - Cyber-crime, securities markets and systemic risk [Em linha].
Survey Grégoire Naacke and Rohini Tendulkar. [S.l.] : IOSCO, 2013. (Staff Working
Paper ; [SWP1/2013]). Joint Staff Working Paper of the IOSCO Research Department
and World Federation of Exchanges. [Consult. 15 jun. 2018]. Disponível em
WWW:<URL:https://www.iia.nl/SiteFiles/Cyber-Crime-Securities-Markets-and-
Systemic-Risk.pdf>.
TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk
Consultants, 2017. Documento interno.
TRATADO sobre o funcionamento da União Europeia : (versão consolidada). Jornal
Oficial da União Europeia [Em linha]. Série C, n.º 202 (07-06-2016) p. 47-199. [Consult.
14 mai. 2018]. Disponível em WWW:<URL: https://eur-
lex.europa.eu/resource.html?uri=cellar:9e8d52e1-2c70-11e6-b497-
01aa75ed71a1.0019.01/DOC_3&format=PDF>.
UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao Parlamento Europeu,
ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões
«Construir uma economia europeia dos dados» [Em linha]. Bruxelas : Comissão
Europeia, 2017. COM(2017) 9 final, SWD(2017) 2 final}. [Consult. 18 mar. 2018].
Disponível em WWW:<URL:https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:52017DC0009&from=EN>.
UNIÃO EUROPEIA. Parlamento ; UNIÃO EUROPEIA. Conselho - Regulamento (UE)
2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a
Proteção de Dados). Jornal Oficial da União Europeia [Em linha]. Série L, n.º 119 (04-
Bibliografia
Mariana Martins da Cruz Justo 115
05-2016). [Consult. 14 mai. 2018]. Disponível em WWW:<URL:https://eur-
lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT>.
VAN DEN HOVEN VAN GENDEREN, Robert - Privacy and data protection in the age
of pervasive technologies in AI and robotics. European Data Protection Law Review [Em
linha]. Vol. 3, i. 3 (2017) p. 338 – 352. DOI https://doi.org/10.21552/edpl/2017/3/8.
[Consult. 15 mai. 2018]. Disponível em WWW:<URL:
https://edpl.lexxion.eu/article/EDPL/2017/3/8>.
VILELAS, José – Investigação : o processo de construção do conhecimento. Lisboa :
Edições Sílabo, 2009.
WORLD ECONOMIC FORUM - Risk and responsibility in a hyperconnected : world
pathways to global cyber resilience [Em linha]. Prepared in collaboration with Deloitte.
Geneva : World Economic Forum, 2012. [Consult. 15 jun. 2018]. Disponível em
WWW:<URL:
http://www3.weforum.org/docs/WEF_IT_PathwaysToGlobalCyberResilience_Report_
2012.pdf>.
WORLD ECONOMIC FORUM - The global risks report 2017 [Em linha]. 12th ed.
Geneva : World Economic Forum, 2017. [Consult. 15 jun. 2018]. Disponível em
WWW:<URL: http://www3.weforum.org/docs/GRR17_Report_web.pdf>.
WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience -
Understanding systemic cyber risk [Em linha]. Geneva : World Economic Forum, 2016.
White Paper. [Consult. 15 jun. 2018]. Disponível em WWW:<URL:
http://www3.weforum.org/docs/White_Paper_GAC_Cyber_Resilience_VERSION_2.pd
f>.
WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience -
Resilience insights [Em linha]. Geneva : World Economic Forum, 2016. [Consult. 15 jun.
2018]. Disponível em WWW:<URL:
http://www3.weforum.org/docs/GRR/WEF_GAC16_Risk_Resilience_Insights.pdf>.
WORLD ECONOMIC FORUM. Global Agenda Council on the Future of Software &
Society - Deep shift : technology tipping points and societal impact [Em linha]. Geneva :
World Economic Forum, 2015. [Consult. 15 jun. 2018]. Disponível em WWW:<URL:
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
116 Mariana Martins da Cruz Justo
http://www3.weforum.org/docs/WEF_GAC15_Technological_Tipping_Points_report_2
015.pdf>.
ZURICH - COMPANHIA DE SEGUROS VIDA - Relatório sobre a solvência e a
situação financeira 2016 [Em linha]. Lisboa : Zurich, 2017. [Consult. 15 jun. 2018].
Disponível em WWW:<URL: https://www.zurich.com.pt/_/media/dbe/portugal/docs/a-
zurich/informacoes-financeiras/zurich-vida_relatrio-solvncia-e-situao-
financeira_2017.pdf?la=pt-
pt&hash=F3781D7C7BFB00B0A783203F2BA20AF0E06BB0E2>.
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
118 Mariana Martins da Cruz Justo
Índice
Mariana Martins da Cruz Justo 119
ÍNDICE DE FIGURAS
Figura 1 – Riscos Críticos ............................................................................................. 28
Figura 2 - Quais os principais obstáculos ou razões que desafiam a contribuição e o
valor da sua operação de segurança da informação para a organização? ....................... 29
Figura 3 - Relação entre o PIB per capita e o índice de desenvolvimento das TIC ...... 31
Figura 4 - Indicadores Cibernéticos Helpdesk 2017 ..................................................... 80
Figura 5 - Principais Projetos 2017 ............................................................................... 81
Figura 6 - Processo DPIA .............................................................................................. 90
ÍNDICE DE TABELAS
Tabela 1 - Impactos Risco Cibernético no Setor Segurador e MDS ............................. 97
Tabela 2 – Impactos RGPD no Setor Segurador e MDS ............................................... 97
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
120 Mariana Martins da Cruz Justo
Índice
Mariana Martins da Cruz Justo 121
ÍNDICE
Declaração de Compromisso Antiplágio ........................................................................ III
Agradecimentos ............................................................................................................. VII
Indicações de Leitura ...................................................................................................... IX
I. Modo de citação ...................................................................................................... IX
II. Declaração de carateres .......................................................................................... IX
Lista de Abreviaturas ...................................................................................................... XI
Resumo ......................................................................................................................... XIII
Abstract .......................................................................................................................... XV
Introdução ....................................................................................................................... 17
Metodologia e Problema de Estudo ................................................................................ 21
Capítulo I – Estágio Curricular ....................................................................................... 23
1. A MDS RE .............................................................................................................. 23
2. O estágio ................................................................................................................. 23
Capítulo II – Risco Cibernético ...................................................................................... 25
1. Contextualização: panorama do ciberespaço .......................................................... 25
2. Dados reais: custos e responsabilidades ................................................................. 25
3. Impactos, desafios e recomendações ..................................................................... 30
3.1. As empresas...................................................................................................... 33
3.2. Setor segurador ................................................................................................. 36
4. Perspetivas futuras .................................................................................................. 39
4.1. Quarta Revolução Industrial............................................................................. 40
4.1.1. As empresas ............................................................................................... 42
4.1.2. Setor segurador .......................................................................................... 43
Capítulo III – Regulamento Geral de Proteção de Dados .............................................. 49
1. Enquadramento legal: novo regulamento ............................................................... 49
1.1. Necessidade da reforma regulatória ................................................................. 60
2. Impactos e desafios ................................................................................................. 63
2.1. As empresas...................................................................................................... 64
2.2. Setor segurador ................................................................................................. 70
3. Perspetivas futuras .................................................................................................. 73
Capítulo IV - Case-Study ............................................................................................... 79
1. Risco cibernético ..................................................................................................... 79
2. Regulamento Geral de Proteção de Dados ............................................................. 83
Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade
o setor segurador: case-study
122 Mariana Martins da Cruz Justo
Conclusões ...................................................................................................................... 93
Bibliografia ................................................................................................................... 101
Anexo I ......................................................................................................................... 117
Índice de Figuras .......................................................................................................... 119
Índice de Tabelas .......................................................................................................... 119
Índice ............................................................................................................................ 121
Top Related