A maioria das políticas cibernéticas oferece cobertura robusta para perdas e custos associados a violações de dados.
Isso geralmente significa um ataque de hacker ou malware resultando na perda, roubo ou corrupção de informações comerciais ou dados pessoais.
Se as organizações coletarem dados sem obter o consentimento apropriado, elas podem estar coletando-os de forma incorreta.
Se usarem dados para uma finalidade não pretendida, isso pode ser uso indevido.
Ao contrário de uma violação de dados típica, não ocorre a invasão de um sistema de TI ou a solicitação de resgate.
A coleta indevida ou uso indevido de dados geralmente resulta das próprias práticas da organização ou de seus parceiros de compartilhamento de dados.
Um serviço de rede de mídia social está enfrentando ações coletivas resultantes de um caso em que os dados de milhões de usuários foram compartilhados com uma empresa de consultoria e depois usados para traçar o perfil dos eleitores em uma eleição.
Um provedor de saúde estatal considerou transferir todos os dados de pacientes mantidos por clínicos gerais para um banco de dados central, mas abandonou o plano quando ficou claro que muitos pacientes não consentiram e não sabiam que os dados seriam compartilhados com empresas privadas.
Uma empresa de tecnologia contratou um grande provedor de saúde dos Estados Unidos para processar os dados de milhões de pacientes sem obter seu consentimento. O Governo Federal abriu um inquérito.
Um varejista on-line global recebeu uma multa recorde de um país europeu sob suas leis de proteção de dados por suposto uso indevido de dados de clientes para fins de publicidade direcionada.
As políticas cibernéticas geralmente respondem bem a eventos de privacidade resultantes de hacker e introdução de malware.
“As políticas cibernéticas geralmente respondem bem a eventos de privacidade resultantes de hacker e introdução de malware.”
Robert Barberi | Diretor de Segurança Cibernética e Risco Profissional de FINEX, WTW
No entanto, algumas apólices exigirão uma extensão de cobertura clara e afirmativa para cobrir a coleta ou o uso indevido de dados.
No mercado atual, as seguradoras tendem a recuar em termos tão amplos e são mais propensas a adotar uma abordagem conservadora para novas áreas de cobertura em vez de inovar.
A pandemia acelerou a digitalização de cuidados médicos.
As principais jurisdições de dados, como a União Europeia e a Califórnia, já possuem regras rígidas que regem como os dados são coletados, compartilhados e usados.
Enquanto outros têm proteções mais brandas, a pressão pública está crescendo como resultado de escândalos recentes e denúncias.
As pessoas geralmente desejam que seus dados de saúde sejam compartilhados para pesquisas médicas, mas podem estar menos inclinadas a dar sua permissão se acreditarem que as empresas provavelmente lucrarão com o trabalho.
Outras preocupações potenciais incluem:
O Regulamento Geral de Privacidade de Dados (GDPR)1, que entrou em vigor em 2018, impõe deveres estritos às organizações para coletar dados pessoais legalmente, com consentimento expresso, e protegê-los contra uso indevido e exploração.
A Lei de Privacidade do Consumidor da Califórnia (2018)2 cria o regime de proteção de dados mais rigoroso dos EUA; os dados só podem ser coletados para fins estritamente limitados, com consentimento informado.
A Lei Geral de Proteção de Dados3 do Brasil, que entrou em vigor em 2020, é a primeira grande lei de proteção de dados da América Latina; as pessoas devem ser informadas da finalidade para a qual seus dados são coletados.
Você obteve o consentimento apropriado?
Os provedores devem se envolver com os pacientes de forma transparente e explicar sobre seus consentimentos, como seus dados serão usados e como eles fluirão pelos sistemas e para organizações parceiras.
“Os provedores devem se envolver com os pacientes de forma transparente e explicar sobre seus consentimentos, como seus dados serão usados e como eles fluirão pelos sistemas e para organizações parceiras.”
Kirsten Beasley | Head de corretagem de saúde, América do Norte, WTW
Não se esquive disso porque as consequências podem ser graves se as pessoas descobrirem que seus dados estão sendo usados para fins que não lhes foram esclarecidos.
Explicar as coisas corretamente também pode ter um efeito positivo em ajudar os pacientes a entender os benefícios que podem receber como resultado do uso de dados.
Os padrões de consentimento do GDPR fornecem uma boa estrutura a ser considerada. O Artigo 4 do GDPR4 define o consentimento como:
Os dados podem ser reidentificados?
Em muitas jurisdições, o consentimento expresso não é necessário para o compartilhamento de dados se os dados forem desidentificados.
“Há uma preocupação crescente de que alguns dados possam ser reidentificados por meio de verificação cruzada com outras fontes de dados.”
Robert Barberi | Diretor de Segurança Cibernética e Risco Profissional de FINEX, WTW
No entanto, há uma preocupação crescente de que alguns dados possam ser reidentificados por meio de verificação cruzada com outras fontes de dados, incluindo algumas que estão disponíveis publicamente.
A legalidade da reidentificação ainda não está clara, o que reforça a necessidade de evitar a exposição ao risco obtendo consentimento expresso e transparente conforme descrito acima.
Que medidas de governança estão em vigor?
Algumas organizações podem não estar cientes de uma possível coleta ou uso indevido.
Por exemplo, elas podem ter obtido o consentimento, mas pode não ser adequado para a finalidade ou podem não entender completamente como seus parceiros planejam usar os dados do paciente.
É importante que as organizações tomem conta disso e garantam que tenham controles e verificações fortes em vigor.
Com a crescente digitalização da área de saúde, é provável que vejamos um maior interesse dos reguladores e do público em possíveis coletas ilícitas e uso indevido de dados de pacientes.
Casos de alto perfil mostraram o potencial para violações e reivindicações de privacidade em larga escala. Mas há uma lacuna entre os riscos e a cobertura oferecida pela maioria dos seguros cibernéticos.
Precisamos de políticas que possam responder e oferecer alguma proteção aos profissionais de saúde envolvidos na coleta, no processamento e no compartilhamento de dados.
Dadas as perdas pronunciadas que podem resultar de reclamações alegando coleta ou uso indevido de dados, é imperativo que as organizações de saúde busquem a formulação mais ampla possível em suas políticas cibernéticas.
A WTW oferece serviços relacionados a corretagem e consultoria de seguros por meio de suas empresas devidamente licenciadas e autorizadas em cada país em que a WTW opera. Para obter mais informações e detalhes regulatórios sobre nossas entidades legais operando em seu país, consulte nosso site WTW. A WTW não presta consultoria jurídica, fiscal ou contábil, de modo que, para caso necessário, verifique os requisitos regulatórios locais.
1 Diretrizes de conformidade com o Regulamento Geral de Proteção de Dados (GDPR)
2 Lei de Privacidade do Consumidor da Califórnia (CCPA) | Estado da Califórnia - Departamento de Justiça - Procuradoria Geral da República
3 LGPD - Lei Geral de Proteção de Dados, Brasil
4 Artigo 4 GDPR. Definições
Ana Albuquerque é advogada e possui 25 anos de carreira em empresas relevantes de setores financeiros, legais e de seguros. Atua na WTW desde 2015 e, em 2019, assumiu a posição como diretora de Linhas Financeiras e Cyber Risk.
