Cómo Compañías de seguros Lograr el cumplimiento con BigID

En un panorama regulatorio cada vez más complejo, las compañías de seguros enfrentan múltiples regulaciones de privacidad y seguridad, a menudo superpuestas.

En este artículo, obtenga un análisis profundo de las medidas y tendencias regulatorias más nuevas y actualizadas que se aplican, o pueden aplicarse pronto, a las aseguradoras.

Entre ellos se incluyen los siguientes: Ley de Privacidad del Consumidor de California (CCPA), su enmienda Ley de Derechos de Privacidad de California (CPRA), el Ley Gramm Leach Bliley (GLBA), el Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), leyes estatales como (NYDFS) y Nueva York SHIELD, Ley Modelo de Seguridad de la NAIC y sus próximos cambios, además de muchas otras medidas que están actualmente en vigor y en el horizonte.

Además, conozca cómo la CCPA y la CPRA brindan exenciones para las aseguradoras que se adhieren a GLBA, HIPAA y otras regulaciones existentes, y qué puede hacer ahora mismo para crear un programa de datos integral que garantice el cumplimiento normativo.

Cómo afecta la CCPA a las aseguradoras

La CCPA, además de su Ley de Derechos de Privacidad de California (CPRA) enmendada, que se aprobó por referéndum en noviembre de 2020, es la primera legislación estatal integral sobre privacidad que rige la recopilación, el uso, la venta y el intercambio de la información personal (PI) de los consumidores.

Según la CCPA, la información personal se define ampliamente como cualquier información que identifique, se relacione con, describa, sea razonablemente capaz de asociarse con o pueda razonablemente vincularse directa o indirectamente con un individuo o un hogar en particular.

La próxima CPRA agrega la nueva definición de información personal sensible (SPI)La SPI es un subconjunto de la PI e incluye datos como identificadores gubernamentales, información de cuentas e inicio de sesión, datos genéticos, información biométrica y más, todos los cuales están sujetos a un conjunto más estricto de transparencia, requisitos de intercambio y responsabilidades de mitigación de riesgos.

La CCPA se aplica a las "empresas" —definidas como entidades con fines de lucro que determinan la finalidad y los medios del tratamiento de los datos de los consumidores— que operan en California y cumplen ciertos requisitos de aplicabilidad. Las aseguradoras que operan en California y cumplen estos requisitos están sujetas a diversas obligaciones, incluyendo requisitos de divulgación y derechos de datos.

GLBA, HIPAA y leyes estatales de privacidad que se aplican a las aseguradoras

Las aseguradoras que brindan productos o servicios a personas para sus fines personales, familiares o domésticos pueden estar sujetas a la Ley de Portabilidad y Responsabilidad de la Información de Salud (HIPAA) y la Ley Gramm Leach Bliley (GLBA) a nivel federal y estatal.

Las leyes de privacidad de seguros estatales también pueden representar un desafío para las aseguradoras que intentan cumplir con obligaciones y restricciones similares pero sutilmente diferentes en varios estados.

Muchas de estas leyes estatales se basan en el Reglamento Modelo sobre la Privacidad de la Información Financiera y de Salud del Consumidor (Modelo 670) de la Asociación Nacional de Comisionados de Seguros (NAIC). Sin embargo, algunas leyes estatales imponen restricciones que van más allá de la GLBA o del Modelo 670.

Las obligaciones impuestas a las aseguradoras por la GLBA y las leyes estatales incluyen, entre otras, obligaciones de notificación y requisitos relacionados con compartir información personal con tercerosAlgunas leyes estatales también prevén derechos de acceso, corrección y eliminación de los datos que recopila la aseguradora.

Exenciones bajo la CCPA para compañías de seguros

La gran mayoría de los datos que muchas aseguradoras recopilan, procesan y conservan pueden estar exentos en la CCPA. La CCPA incluye exenciones para:

• Información personal que se recopila, procesa, vende o divulga de conformidad con la Ley Gramm-Leach-Bliley (GLBA)
• Información personal que se recopila, procesa, vende o divulga de conformidad con la Ley de Privacidad de la Información Financiera de California (CalFIPA)
• Información de salud personal recopilada por una entidad cubierta o un socio comercial según se define en la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
• Información médica recopilada por una entidad cubierta o un socio comercial según se define en la Ley de Confidencialidad de la Información Médica de California (CCMIA)
• Entidades cubiertas (según se define en HIPAA), en la medida en que la entidad mantenga la información del paciente de la misma manera que la información de salud personal

Comience por conocer sus datos

El primer desafío que enfrentan las aseguradoras sujetas a la CCPA y otras leyes estatales de privacidad de seguros es determinar el alcance de sus obligaciones. Esto implica categorizar todos los datos que han recopilado, procesado y divulgado.

Para que las aseguradoras determinen sus requisitos de aplicabilidad, es fundamental que compilen una inventario de datos completo que evalúa las categorías, fuentes y usos de la información que recopilan, así como las categorías de datos que comparten con terceros.

Sin un inventario de datos exhaustivo, puede resultar casi imposible para una aseguradora determinar si la PI está cubierta por una exención de la CCPA.

Determinar qué datos están sujetos a la CCPA y la CPRA

Al categorizar los datos, las aseguradoras deben prestar mucha atención para identificar los tipos de datos que no están cubiertos por GLBA, CalFIPA, HIPAA o CCMIA y, por lo tanto, están sujetos a la CCPA.

Por ejemplo, la información personal (PI) o la información de contacto (SPI) de solicitantes de empleo, empleados y contratistas independientes, así como la información personal (PI) de los visitantes del sitio web, probablemente estarán sujetas a la CCPA. De cara a la CPRA, podrían aplicarse los nuevos requisitos de exclusión voluntaria de la publicidad basada en el comportamiento. Si las aseguradoras obtienen clientes potenciales, esta información también podría estar sujeta a las regulaciones de la CCPA.

Determinar las obligaciones en materia de derechos de datos más allá de la CCPA

La CCPA introduce nuevos derechos de privacidad del consumidor para los residentes de California, como:

• el derecho a acceder y obtener una copia de sus datos
• el derecho a solicitar la eliminación de sus datos
• el derecho a optar por no vender o compartir sus datos

Si bien una aseguradora puede estar exenta de cumplir con ciertas solicitudes de la CCPA, aún está obligada a cumplir con los derechos de datos garantizados por GLBA, CalFIPA, HIPAA y CCMIA.

Además, es probable que las aseguradoras se vean obligadas a cumplir con los derechos de acceso, corrección y eliminación según las leyes estatales fuera de California. Por lo tanto, es fundamental que las aseguradoras implementen un método para rastrear y responder a estas solicitudes de acuerdo con los diversos requisitos de las leyes estatales, no solo con la CCPA.

La necesidad de revisiones del flujo de datos

La ley de California incluye estrictas regulaciones relacionadas con la “venta” o “intercambio” de IP y SPI.

Para cualquier información sujeta a la CCPA, las aseguradoras deben revisar los flujos de datos que comparten con terceros y, según sea necesario, revisar sus contratos para evitar que los datos se consideren una “venta” o “intercambio” según la ley.

Las aseguradoras también deben tener en cuenta que la próxima CPRA exige nuevas disposiciones contractuales con los proveedores de servicios. Esto significa que las aseguradoras sujetas a la CPRA deben garantizar que las partes con las que trabajan también cuenten con las medidas de seguridad adecuadas para cumplir con la GLBA, las leyes estatales que la implementan y cualquier nueva legislación de seguridad de datos específica para el sector asegurador.

Requisitos de retención de datos

La próxima CPRA incluye nuevos requisitos en torno a minimización de datos y retención de datos, por lo que las aseguradoras deberían adoptar un programa de gestión de registros que defina durante cuánto tiempo se conservarán los datos.

Para cumplir con la CPRA, así como con otros requisitos reglamentarios estatales sobre durante cuánto tiempo se deben conservar ciertos registros, las aseguradoras estarán obligadas a revelar durante cuánto tiempo conservan los datos y garantizar que el plazo sea solo el que sea "razonablemente necesario".

Dada la variedad de coberturas que las aseguradoras ofrecen a sus consumidores, el tipo de póliza o plan es crucial para determinar qué se puede conservar y qué se puede desechar. Por ejemplo, las pólizas basadas en eventos, que ofrecen protección a largo plazo y cubren cualquier pérdida que ocurra durante la vigencia de la póliza, independientemente de cuándo se presente el reclamo, podrían requerir una vigencia indefinida.

Por otro lado, las pólizas “sobre la base de reclamos”, que cubren reclamos hechos o presentados mientras la póliza está activa (y pueden incluir una “cola” que extiende la cobertura después de que la póliza expire) tienen menos probabilidades de tener implicaciones a largo plazo y se pueden establecer con un período de retención adecuado una vez que la póliza ya no esté activa.

Requisitos de seguridad de datos más allá de la CCPA

Además de los requisitos de privacidad que deben cumplir las aseguradoras, existe un número creciente de leyes y regulaciones estatales de seguridad de datos dirigidas a la industria de seguros.

Los Requisitos de Ciberseguridad para las Empresas de Servicios Financieros (Parte 500) del Departamento de Servicios Financieros de Nueva York (NYDFS), que entraron en vigencia completamente el 1 de marzo de 2019, son una de las primeras regulaciones de ciberseguridad dirigidas a las empresas de servicios financieros, incluidas las compañías de seguros, para, entre otras cosas, adoptar programas de seguridad de la información escritos que aborden la protección de la información no pública y los sistemas de información.

La Ley SHIELD de Nueva York también abarca un amplio espectro de negocios aplicables, además de una dimensión de extraterritorialidad, lo que significa que la mayoría de las compañías de seguros estarían sujetas a los requisitos de seguridad prescriptivos de la ley. Estos requisitos de seguridad incluyen salvaguardias administrativas, técnicas y físicas.

La Asociación Nacional de Comisionados de Seguros (NAIC), que venía preparando por separado una ley modelo de ciberseguridad, ha adoptado la Ley Modelo de Seguridad de Datos de Seguros (Ley Modelo de Seguridad), que se asemeja mucho a la NYDFS. Si bien la NYFDS es más prescriptiva que la Ley Modelo de Seguridad, ambas establecen estándares para la seguridad de datos en el sector asegurador, incluyendo las obligaciones de investigación y notificación en caso de incidente de seguridad de datos.

Además de las leyes y regulaciones estatales específicas del sector asegurador, las aseguradoras también están sujetas a las leyes generales de seguridad de datos en los estados donde operan. Estas medidas cubren los datos que las aseguradoras recopilan fuera del ámbito asegurador, como la información personal de los empleados.

Hasta la fecha, 13 estados han adoptado la Ley Modelo de Seguridad, y cada estado la está adaptando a sus propias especificaciones. Si bien existen algunas diferencias entre el NYFDS, la Ley Modelo de Seguridad y las versiones estatales de la Ley Modelo de Seguridad, todas son sustancialmente similares.

Todas estas medidas exigen que las aseguradoras:

• realizar una evaluación de riesgos
• Implementar y mantener un programa de ciberseguridad basado en los riesgos identificados.
• Desarrollar, implementar y mantener un plan de respuesta a incidentes de violación
• Proporcionar supervisión de proveedores de servicios externos
• Investigar y reportar incidentes de seguridad de datos
• certificar el cumplimiento de la respectiva ley/reglamento modelo

NAIC y la próxima Ley Modelo de Privacidad

Durante el año pasado, NAIC estuvo trabajando para actualizar una ley modelo de privacidad que pretende alinearse con los enfoques de privacidad actuales reflejados en la Ley Modelo de Seguridad, la CCPA y el Reglamento General de Protección de Datos (GDPR) de la UE.

El grupo de trabajo responsable de las actualizaciones ha sido encargado de recomendar si es necesario realizar una actualización y en qué medida. Se están revisando cinco áreas clave:

1. Tipos de recopilación, intercambio y uso de datos específicos de las aseguradoras
2. Cómo afecta el riesgo a la privacidad a los consumidores de seguros
3. lagunas en la legislación federal y estatal
4. obligaciones que las aseguradoras deberían tener hacia los consumidores
5. ¿Qué derechos deberían tener los consumidores para controlar su información personal?

En la última reunión, el grupo discutió un borrador inicial de análisis de brechas sobre los problemas de los consumidores que incluye:

• notificaciones
• portabilidad
• opt-ins/opt-outs
• divulgaciones

Si bien no se ha establecido una fecha límite para presentar comentarios y actualizaciones a la Ley Modelo de Privacidad, la reciente reunión demuestra que la industria de seguros debe estar preparada para cumplir con todo lo que el grupo de trabajo finalmente publique.

Qué pueden hacer ahora las compañías de seguros para cumplir con las normas

Las compañías de seguros enfrentan desafíos complejos cuando se trata de proteger datos y lograr el cumplimiento normativo.

Las aseguradoras deben tomar medidas concretas para desarrollar un programa de datos integral que no deje ningún dato sin procesar y permita una visibilidad completa de la información personal y sensible de su organización, en todos los sistemas y fuentes de datos. A continuación, se presentan algunos requisitos que las empresas del sector asegurador deberían cumplir:

• Conozca sus datos: Combinar la identificación de datos personales y la clasificación de datos sensibles.
• Defina PI y SPI: Automatice el descubrimiento, la identificación y el mapeo de todos sus PI y SPI, donde sea que se encuentren: en las instalaciones, en la nube o en un entorno híbrido.
• Etiquetar y rotular datos para fines legales: Asegúrese de que los datos estén identificados y etiquetados adecuadamente de acuerdo con las diversas regulaciones que se aplican a las aseguradoras.
• Priorizar los datos vulnerables: Resalte los datos regulados vulnerables, sobreexpuestos y de alto riesgo de un vistazo.
• Agilice la respuesta y las notificaciones ante infracciones: Determinar con precisión los usuarios afectados tras una filtración de datos y simplificar la respuesta a incidentes
• Definir y hacer cumplir las reglas de retención de datos: Implemente flujos de trabajo automatizados y descubra datos duplicados, derivados y similares para garantizar la privacidad, la gobernanza y la generación de informes efectivos.
• Automatizar el cumplimiento de los derechos de acceso a los datos: Automatice el cumplimiento manual de solicitudes de acceso y eliminación de datos individuales.
• Detectar transferencias de datos transfronterizas que no cumplen con las políticas: Realice un seguimiento de las violaciones de acceso, uso y transferencia de datos en toda la organización para tomar medidas inmediatas.

Aprenda cómo Las organizaciones de seguros pueden aprovechar BigID para crear un inventario de datos integral que proporcione visibilidad total de la PI y SPI que tiene, y tomar medidas para gestionar los riesgos asociados a ella en toda la organización.