Em um cenário regulatório cada vez mais complexo, as seguradoras enfrentam múltiplas regulamentações de privacidade e segurança — e muitas vezes sobrepostas.
Neste artigo, obtenha uma análise aprofundada das medidas e tendências regulatórias mais recentes e atualizadas que se aplicam — ou podem se aplicar em breve — às seguradoras.
Estes incluem o Lei de Privacidade do Consumidor da Califórnia (CCPA), sua emenda Lei de Direitos de Privacidade da Califórnia (CPRA), o Lei Gramm Leach Bliley (GLBA), o Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), leis estaduais como (NYDFS) e Nova York SHIELD, Lei Modelo de Segurança da NAIC e suas próximas mudanças — e muitas outras medidas que estão em vigor e que estão por vir.
Além disso, saiba como a CCPA e a CPRA oferecem isenções para seguradoras que aderem à GLBA, HIPAA e outras regulamentações existentes — e o que você pode fazer agora mesmo para criar um programa de dados abrangente que garanta a conformidade regulatória.
Como o CCPA afeta as organizações de seguros
A CCPA — além de sua Lei de Direitos de Privacidade da Califórnia (CPRA) alterada, aprovada por referendo em novembro de 2020 — é a primeira legislação estadual abrangente sobre privacidade a reger a coleta, o uso, a venda e o compartilhamento de informações pessoais (IP) dos consumidores.
De acordo com a CCPA, PI é amplamente definida como qualquer informação que identifique, se relacione, descreva, seja razoavelmente capaz de ser associada ou possa ser razoavelmente vinculada direta ou indiretamente a um indivíduo ou domicílio específico.
O próximo CPRA acrescenta a nova definição de informações pessoais sensíveis (SPI). O SPI é um subconjunto do PI e inclui dados como identificadores governamentais, informações de conta e login, dados genéticos, informações biométricas e muito mais — todos sujeitos a um conjunto mais rigoroso de transparência, requisitos de compartilhamento e responsabilidades de mitigação de riscos.
A CCPA se aplica a “empresas” — definidas como entidades com fins lucrativos que determinam a finalidade e os meios de processamento de dados dos consumidores — que operam na Califórnia e atendem a certos limites de aplicabilidade. As seguradoras que operam na Califórnia e atendem a esses limites estão sujeitas a uma série de obrigações, incluindo requisitos relacionados à divulgação e direitos de dados.
GLBA, HIPAA e leis estaduais de privacidade que se aplicam às seguradoras
As seguradoras que fornecem produtos ou serviços a indivíduos para fins pessoais, familiares ou domésticos podem estar sujeitas à Lei de Portabilidade e Responsabilidade de Informações de Saúde (HIPAA) e à Lei Gramm Leach Bliley (GLBA) nos níveis federal e estadual.
As leis estaduais de privacidade de seguros também podem representar um desafio para as seguradoras que tentam cumprir obrigações e restrições semelhantes, mas sutilmente diferentes, em vários estados.
Muitas dessas leis estaduais baseiam-se no Regulamento do Modelo 670 sobre Privacidade de Informações Financeiras e de Saúde do Consumidor da Associação Nacional de Comissários de Seguros (NAIC). No entanto, algumas leis estaduais impõem restrições que vão além do GLBA ou do Modelo 670.
As obrigações impostas às seguradoras pela GLBA e pelas leis estaduais incluem, entre outras, obrigações de notificação e requisitos relacionados a compartilhamento de informações pessoais com terceiros. Algumas leis estaduais também preveem direitos de acesso, correção e exclusão de dados coletados pela seguradora.
Isenções sob a CCPA para companhias de seguros
A grande maioria dos dados que muitas seguradoras coletam, processam e retêm pode se enquadrar em uma isenção da CCPA. A CCPA inclui isenções para:
- Informações pessoais coletadas, processadas, vendidas ou divulgadas de acordo com a Lei Gramm-Leach-Bliley (GLBA)
- Informações pessoais coletadas, processadas, vendidas ou divulgadas de acordo com a Lei de Privacidade de Informações Financeiras da Califórnia (CalFIPA)
- Informações pessoais de saúde coletadas por uma entidade coberta ou um parceiro comercial, conforme definido na Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Informações médicas coletadas por uma entidade coberta ou um associado comercial, conforme definido na Lei de Confidencialidade de Informações Médicas da Califórnia (CCMIA)
- Entidades cobertas (conforme definido na HIPAA), na medida em que a entidade mantém as informações do paciente da mesma maneira que as informações pessoais de saúde
Comece conhecendo seus dados
O primeiro desafio que as seguradoras sujeitas à CCPA e outras leis estaduais de privacidade de seguros enfrentam é determinar o escopo de suas obrigações. Isso envolve categorizar todos os dados que coletaram, processaram e divulgaram.
Para que as seguradoras determinem seus requisitos de aplicabilidade, é fundamental que elas compilem um inventário abrangente de dados que avalia as categorias, fontes e usos das informações coletadas — bem como as categorias de dados que compartilham com terceiros.
Sem um inventário abrangente de dados, pode ser quase impossível para uma seguradora determinar se o PI se enquadra em uma isenção do CCPA.
Determine quais dados estão sujeitos ao CCPA — e CPRA
Ao categorizar dados, as seguradoras devem prestar muita atenção para identificar os tipos de dados que não são cobertos pelo GLBA, CalFIPA, HIPAA ou CCMIA — e, portanto, estão sujeitos ao CCPA.
Por exemplo, as informações pessoais (IP) ou informações pessoais (SPI) de candidatos a emprego, funcionários e contratados independentes — e as informações pessoais (IP) de visitantes de sites — provavelmente estarão sujeitas à CCPA. Visando a CPRA, os novos requisitos de exclusão de publicidade comportamental de "compartilhamento" podem ser aplicados. Se as seguradoras estiverem obtendo leads ou clientes em potencial, essas informações também poderão estar sujeitas às regulamentações da CCPA.
Determinar obrigações de direitos de dados além do CCPA
A CCPA introduz novos direitos de privacidade do consumidor para residentes da Califórnia, como:
- o direito de acessar e obter uma cópia dos seus dados
- o direito de solicitar a eliminação dos seus dados
- o direito de optar por não participar da venda ou compartilhamento de seus dados
Embora uma seguradora possa estar isenta de atender a certas solicitações da CCPA, ela ainda é obrigada a cumprir os direitos de dados garantidos pela GLBA, CalFIPA, HIPAA e CCMIA.
Além disso, as seguradoras provavelmente enfrentarão obrigações de cumprir os direitos de acesso, correção e exclusão sob as leis estaduais fora da Califórnia. Portanto, é essencial que as seguradoras implementem um método para rastrear e responder a essas solicitações de acordo com os diversos requisitos da legislação estadual — não apenas a CCPA.
A necessidade de revisões de fluxo de dados
A lei da Califórnia inclui regulamentações rígidas relacionadas à “venda” ou “compartilhamento” de PI e SPI.
Para qualquer informação sujeita à CCPA, as seguradoras devem revisar os fluxos de dados que compartilham com terceiros e, conforme necessário, revisar seus contratos para evitar que os dados sejam considerados uma “venda” ou “compartilhamento” de acordo com a lei.
As seguradoras também devem estar cientes de que a futura CPRA exige novas disposições contratuais com os prestadores de serviços. Isso significa que as seguradoras sujeitas à CPRA devem garantir que as partes com as quais trabalham também tenham medidas de segurança adequadas para cumprir a GLBA, as leis estaduais que implementam a GLBA e quaisquer novas leis de segurança de dados específicas para o setor de seguros.
Requisitos de retenção de dados
O próximo CPRA inclui novos requisitos em torno minimização de dados e retenção de dados, portanto, as seguradoras devem adotar um programa de gerenciamento de registros que defina por quanto tempo os dados devem ser mantidos.
Para cumprir com o CPRA — bem como outros requisitos regulatórios estaduais sobre por quanto tempo certos registros devem ser mantidos — as seguradoras serão obrigadas a divulgar por quanto tempo mantêm os dados e garantir que o cronograma seja apenas o tempo "razoavelmente necessário".
Considerando os diversos tipos de cobertura que as seguradoras podem oferecer aos seus consumidores, o tipo de apólice ou plano torna-se crucial para determinar o que pode ser poupado e o que pode ser descartado. Por exemplo, "apólices baseadas em ocorrências", que oferecem proteções de longo prazo e cobrem qualquer perda que ocorra durante a vigência da apólice — independentemente de quando a reclamação for feita — podem precisar ser mantidas por tempo indeterminado.
Por outro lado, as “apólices baseadas em reivindicações”, que cobrem reivindicações feitas ou registradas enquanto a apólice estiver ativa — e podem incluir uma “cauda” que estende a cobertura após o vencimento da apólice — têm menos probabilidade de ter implicações de longo prazo e podem ser definidas com um período de retenção adequado quando a apólice não estiver mais ativa.
Requisitos de segurança de dados além do CCPA
Além dos requisitos de privacidade que as seguradoras devem cumprir, há um número crescente de leis e regulamentações estaduais de segurança de dados direcionadas ao setor de seguros.
Os Requisitos de Segurança Cibernética para Empresas de Serviços Financeiros (Parte 500) do Departamento de Serviços Financeiros de Nova York (NYDFS), que entraram em vigor em 1º de março de 2019, são uma das primeiras regulamentações de segurança cibernética direcionadas a empresas de serviços financeiros — incluindo seguradoras — para, entre outras coisas, adotar programas de segurança da informação por escrito que abordem a proteção de informações e sistemas de informação não públicos.
A Lei SHIELD de Nova York também inclui um amplo escopo de negócios aplicáveis, além de uma dimensão de extraterritorialidade, o que significa que a maioria das seguradoras estaria sujeita aos requisitos de segurança prescritivos da lei. Esses requisitos de segurança incluem salvaguardas administrativas, técnicas e físicas.
A Associação Nacional de Comissários de Seguros (NAIC), que vinha preparando separadamente uma lei modelo de segurança cibernética, adotou a Lei Modelo de Segurança de Dados de Seguros (Lei Modelo de Segurança), que se assemelha bastante à NYDFS. Embora a NYFDS seja mais prescritiva do que a Lei Modelo de Segurança, ambas estabelecem padrões para a segurança de dados no setor de seguros — incluindo obrigações de investigação e notificação em caso de incidente de segurança de dados.
Além das leis e regulamentações estaduais específicas do setor de seguros, as seguradoras também estão sujeitas às leis gerais de segurança de dados nos estados onde operam. Essas medidas abrangem dados coletados pelas seguradoras fora do contexto de seguros — como informações pessoais de funcionários.
Até o momento, 13 estados adotaram a Lei Modelo de Segurança — e cada estado está adaptando-a às suas próprias especificações. Embora existam algumas diferenças entre o NYFDS, a Lei Modelo de Segurança e as versões estaduais da Lei Modelo de Segurança, todas são substancialmente semelhantes.
Todas essas medidas exigem que as seguradoras:
- realizar uma avaliação de risco
- implementar e manter um programa de segurança cibernética baseado nos riscos identificados
- desenvolver, implementar e manter um plano de resposta a incidentes de violação
- fornecer supervisão de provedores de serviços terceirizados
- investigar e relatar incidentes de segurança de dados
- certificar o cumprimento da respectiva lei/regulamentação modelo
NAIC e a futura Lei Modelo de Privacidade
No ano passado, a NAIC trabalhou para atualizar uma lei modelo de privacidade que visa se alinhar às abordagens atuais de privacidade refletidas na Lei Modelo de Segurança, na CCPA e no Regulamento Geral de Proteção de Dados (GDPR) da UE.
O grupo de trabalho responsável pelas atualizações foi encarregado de recomendar se — e em que medida — uma "renovação" é necessária. Cinco áreas principais que estão sendo revisadas incluem:
- tipos de coleta, compartilhamento e uso de dados específicos para seguradoras
- como o risco de privacidade afeta os consumidores de seguros
- lacunas na legislação federal e estadual
- obrigações que as seguradoras devem ter para com os consumidores
- quais direitos os consumidores devem ter para controlar suas informações pessoais
Na reunião mais recente, o grupo discutiu um rascunho inicial de análise de lacunas sobre questões do consumidor que inclui:
- notificações
- portabilidade
- opt-ins/opt-outs
- divulgações
Embora um prazo para comentários e atualizações da Lei Modelo de Privacidade não tenha sido estabelecido, a reunião recente mostra que o setor de seguros deve estar pronto para estar em conformidade com qualquer coisa que o grupo de trabalho finalmente decida.
O que as seguradoras podem fazer agora para permanecer em conformidade
As seguradoras enfrentam desafios complexos quando se trata de proteger dados e atingir a conformidade regulatória.
As seguradoras precisam tomar medidas concretas para construir um programa de dados abrangente que não deixe dados sem tratamento e permita total visibilidade das informações pessoais e sensíveis de suas organizações — em todos os sistemas e fontes de dados. Aqui estão alguns itens que as empresas do setor de seguros devem ser capazes de atender:
- Conheça seus dados: Combine a identificação de dados pessoais e a classificação de dados sensíveis.
- Defina PI e SPI: Automatize a descoberta, a identificação e o mapeamento de todos os seus PI e SPI, onde quer que estejam — no local, na nuvem e de forma híbrida.
- Dados de etiquetagem e rotulagem para fins legais: Garanta que os dados sejam identificados e rotulados adequadamente, de acordo com os diversos regulamentos aplicáveis às seguradoras.
- Priorizar dados vulneráveis: .
- Simplifique a resposta a violações e notificações: Determine com precisão os usuários afetados após uma violação de dados e simplifique a resposta a incidentes
- Definir e aplicar regras de retenção de dados: Implemente fluxos de trabalho automatizados e descubra dados duplicados, derivados e similares para privacidade, governança e relatórios eficazes.
- Automatize o cumprimento dos direitos de acesso aos dados: Automatize o atendimento manual de solicitações de acesso e exclusão de dados individuais.
- Detecte transferências de dados transfronteiriças fora das políticas: Rastreie as violações de acesso, uso e transferência de dados em toda a organização para ação imediata.
Aprenda como As organizações de seguros podem aproveitar o BigID para criar um inventário de dados abrangente que fornece visibilidade total sobre o PI e o SPI que você tem — e tomar medidas para gerenciar os riscos associados a eles em toda a organização.