Como Companhias de seguros Obtenha conformidade com o BigID

Em um cenário regulatório cada vez mais complexo, as seguradoras enfrentam múltiplas regulamentações de privacidade e segurança — que muitas vezes se sobrepõem.

Neste artigo, você encontrará uma análise aprofundada das medidas e tendências regulatórias mais recentes e atualizadas que se aplicam — ou que poderão se aplicar em breve — às seguradoras.

Isso inclui o Lei de Privacidade do Consumidor da Califórnia (CCPA), sua versão alterada Lei de Direitos de Privacidade da Califórnia (CPRA), o Lei Gramm-Leach-Bliley (GLBA), o Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA), leis estaduais como (NYDFS) e Escudo de Nova York, Lei Modelo de Valores Mobiliários da NAIC e as mudanças que estão por vir — e muitas outras medidas que já estão em vigor e outras que estão previstas.

Além disso, saiba como a CCPA e a CPRA oferecem isenções para seguradoras que cumprem a GLBA, a HIPAA e outras regulamentações existentes — e o que você pode fazer agora mesmo para criar um programa de dados abrangente que garanta a conformidade regulatória.

Como a CCPA afeta as organizações de seguros

A CCPA — além da Lei de Direitos de Privacidade da Califórnia (CPRA), que foi alterada e aprovada por referendo em novembro de 2020 — é a primeira legislação estadual abrangente sobre privacidade a regulamentar a coleta, o uso, a venda e o compartilhamento de informações pessoais (IP) dos consumidores.

De acordo com a CCPA, a Informação Pessoal (IP) é definida de forma ampla como qualquer informação que identifique, esteja relacionada a, descreva, seja razoavelmente capaz de ser associada a, ou possa ser razoavelmente vinculada direta ou indiretamente a um indivíduo ou domicílio específico.

A próxima CPRA adiciona a nova definição de Informações pessoais sensíveis (SPI)A Informação Pessoal Sensível (SPI, na sigla em inglês) é um subconjunto da Informação Pessoal (PI, na sigla em inglês) e inclui dados como identificadores governamentais, informações de contas e logins, dados genéticos, informações biométricas e muito mais — todos sujeitos a um conjunto mais rigoroso de requisitos de transparência, compartilhamento e responsabilidades de mitigação de riscos.

A CCPA aplica-se a "empresas" — definidas como entidades com fins lucrativos que determinam a finalidade e os meios de processamento dos dados dos consumidores — que operam na Califórnia e atendem a determinados limites de aplicabilidade. As seguradoras que operam na Califórnia e atendem a esses limites estão sujeitas a uma série de obrigações, incluindo requisitos relacionados à divulgação e direitos de dados.

GLBA, HIPAA e leis estaduais de privacidade aplicáveis às seguradoras

As seguradoras que fornecem produtos ou serviços a indivíduos para fins pessoais, familiares ou domésticos podem estar sujeitas à Lei de Portabilidade e Responsabilidade de Informações de Saúde (HIPAA) e à Lei Gramm-Leach-Bliley (GLBA) nos níveis federal e estadual.

As leis estaduais de privacidade de seguros também podem representar um desafio para as seguradoras que tentam cumprir obrigações e restrições semelhantes, mas com diferenças sutis, em vários estados.

Muitas dessas leis estaduais são baseadas no Regulamento Modelo de Privacidade de Informações Financeiras e de Saúde do Consumidor da Associação Nacional de Comissários de Seguros (NAIC) (Modelo 670). No entanto, algumas leis estaduais impõem restrições que vão além da GLBA ou do Modelo 670.

As obrigações impostas às seguradoras pela GLBA e pelas leis estaduais incluem, entre outras, obrigações de notificação e requisitos relacionados a compartilhamento de informações pessoais com terceirosAlgumas leis estaduais também preveem direitos de acesso, correção e exclusão dos dados coletados pela seguradora.

Isenções da CCPA para seguradoras

A grande maioria dos dados que muitas seguradoras coletam, processam e armazenam pode estar isenta de alguma das exceções previstas na CCPA. A CCPA inclui isenções para:

• Informações pessoais que são coletadas, processadas, vendidas ou divulgadas de acordo com a Lei Gramm-Leach-Bliley (GLBA).
• Informações pessoais coletadas, processadas, vendidas ou divulgadas de acordo com a Lei de Privacidade de Informações Financeiras da Califórnia (CalFIPA).
• Informações pessoais de saúde coletadas por uma entidade coberta ou um parceiro comercial, conforme definido na Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).
• Informações médicas coletadas por uma entidade coberta ou um parceiro comercial, conforme definido na Lei de Confidencialidade de Informações Médicas da Califórnia (CCMIA).
• Entidades cobertas (conforme definido na HIPAA), na medida em que a entidade mantenha informações do paciente da mesma forma que informações pessoais de saúde.

Comece por conhecer os seus dados.

O primeiro desafio que as seguradoras sujeitas à CCPA e a outras leis estaduais de privacidade de seguros enfrentam é determinar o escopo de suas obrigações. Isso envolve categorizar todos os dados que coletaram, processaram e divulgaram.

Para que as seguradoras determinem seus requisitos de aplicabilidade, é fundamental que elas compilem um inventário de dados abrangente que avalia as categorias, fontes e usos das informações que coletam, bem como as categorias de dados que compartilham com terceiros.

Sem um inventário de dados abrangente, pode ser quase impossível para uma seguradora determinar se os danos pessoais se enquadram em uma isenção da CCPA.

Determine quais dados estão sujeitos à CCPA — e à CPRA.

Ao categorizar dados, as seguradoras devem prestar muita atenção para identificar os tipos de dados que não são cobertos pela GLBA, CalFIPA, HIPAA ou CCMIA — e, portanto, estão sujeitos à CCPA.

Por exemplo, as informações pessoais (PI) ou informações pessoais sensíveis (SPI) de candidatos a emprego, funcionários e contratados independentes — e as informações pessoais de visitantes de sites — provavelmente estarão sujeitas à CCPA. Olhando para o futuro da CPRA, os novos requisitos de exclusão de publicidade comportamental relacionados ao "compartilhamento" podem ser aplicáveis. Se as seguradoras estiverem obtendo leads ou potenciais clientes, essas informações também podem estar sujeitas às regulamentações da CCPA.

Determine as obrigações relativas aos direitos de dados além da CCPA.

A CCPA introduz novos direitos de privacidade do consumidor para residentes da Califórnia, tais como:

• o direito de acessar e obter uma cópia de seus dados
• o direito de solicitar a eliminação dos seus dados
• o direito de optar por não permitir a venda ou o compartilhamento de seus dados.

Embora uma seguradora possa estar isenta de atender a certas solicitações da CCPA, ela ainda é obrigada a cumprir os direitos de dados garantidos pela GLBA, CalFIPA, HIPAA e CCMIA.

Além disso, as seguradoras provavelmente enfrentarão obrigações de cumprir os direitos de acesso, correção e exclusão de dados de acordo com as leis estaduais fora da Califórnia. Portanto, é essencial que as seguradoras implementem um método para rastrear e responder a essas solicitações em conformidade com os diversos requisitos das leis estaduais — e não apenas com a CCPA.

A necessidade de revisões do fluxo de dados

A legislação da Califórnia inclui regulamentações rigorosas relacionadas à "venda" ou "compartilhamento" de informações pessoais (PI) e informações pessoais sensíveis (SPI).

Para qualquer informação sujeita à CCPA, as seguradoras devem revisar os fluxos de dados que compartilham com terceiros e, se necessário, revisar seus contratos para evitar que os dados sejam considerados uma “venda” ou “compartilhamento” nos termos da lei.

As seguradoras também devem estar cientes de que a futura Lei de Proteção ao Consumidor de Produtos de Consumo (CPRA) exige novas cláusulas contratuais com os prestadores de serviços. Isso significa que as seguradoras sujeitas à CPRA devem garantir que as partes com as quais trabalham também possuam medidas de segurança adequadas para cumprir a Lei Gramm-Leach-Bliley (GLBA), as leis estaduais que implementam a GLBA e quaisquer novas leis de segurança de dados específicas do setor de seguros.

Requisitos de retenção de dados

A próxima CPRA inclui novos requisitos em torno de minimização de dados e retenção de dadosPortanto, as seguradoras devem adotar um programa de gestão de registros que defina por quanto tempo os dados devem ser mantidos.

Para cumprir a CPRA — bem como outros requisitos regulamentares estaduais sobre por quanto tempo certos registros devem ser mantidos — as seguradoras serão obrigadas a divulgar por quanto tempo mantêm os dados e garantir que esse período seja apenas o "razoavelmente necessário".

Considerando os diversos tipos de cobertura que as seguradoras podem oferecer aos seus clientes, o tipo de apólice ou plano torna-se crucial para determinar o que pode ser mantido e o que pode ser descartado. Por exemplo, as "apólices baseadas em ocorrência", que oferecem proteção a longo prazo e cobrem qualquer perda que ocorra durante a vigência da apólice — independentemente de quando a reclamação for feita — podem precisar ser mantidas indefinidamente.

Por outro lado, as apólices "claim-made", que cobrem reclamações feitas ou registradas enquanto a apólice está ativa — e podem incluir uma "extensão" que estende a cobertura após o vencimento da apólice — têm menor probabilidade de apresentar implicações a longo prazo e podem ser definidas com um período de carência adequado após o término da vigência da apólice.

Requisitos de segurança de dados além da CCPA

Além dos requisitos de privacidade que as seguradoras devem cumprir, há um número crescente de leis e regulamentos estaduais de segurança de dados direcionados ao setor de seguros.

Os Requisitos de Segurança Cibernética para Empresas de Serviços Financeiros (Parte 500) do Departamento de Serviços Financeiros de Nova York (NYDFS), que entraram em vigor integralmente em 1º de março de 2019, são uma das primeiras regulamentações de segurança cibernética direcionadas a empresas de serviços financeiros — incluindo seguradoras — para, entre outras coisas, adotar programas escritos de segurança da informação que abordem a proteção de informações não públicas e sistemas de informação.

A Lei SHIELD de Nova York também abrange um amplo leque de empresas aplicáveis, além de uma dimensão de extraterritorialidade, o que significa que a maioria das seguradoras estaria sujeita aos requisitos de segurança prescritivos da lei. Esses requisitos de segurança incluem salvaguardas administrativas, técnicas e físicas.

A Associação Nacional de Comissários de Seguros (NAIC), que vinha preparando separadamente uma lei modelo de segurança cibernética, adotou a Lei Modelo de Segurança de Dados de Seguros (Lei Modelo de Segurança), que se assemelha bastante à Lei Modelo de Segurança de Dados de Seguros de Nova York (NYDFS). Embora a NYDFS seja mais prescritiva do que a Lei Modelo de Segurança, ambas estabelecem padrões para a segurança de dados no setor de seguros — incluindo obrigações de investigação e notificação em caso de incidente de segurança de dados.

Além das leis e regulamentações estaduais específicas do setor de seguros, as seguradoras também estão sujeitas às leis gerais de segurança de dados nos estados onde atuam. Essas medidas abrangem os dados que as seguradoras coletam fora do contexto de seguros — como informações pessoais de funcionários.

Até o momento, 13 estados adotaram a Lei Modelo de Valores Mobiliários — e cada estado está adaptando a lei modelo às suas próprias especificidades. Embora existam algumas diferenças entre o NYFDS, a Lei Modelo de Valores Mobiliários e as versões estaduais da Lei Modelo de Valores Mobiliários, elas são substancialmente semelhantes.

Todas essas medidas exigem que as seguradoras:

• realizar uma avaliação de risco
• Implementar e manter um programa de cibersegurança baseado nos riscos identificados.
• Desenvolver, implementar e manter um plano de resposta a incidentes de violação de dados.
• supervisionar os prestadores de serviços terceirizados
• Investigar e reportar incidentes de segurança de dados
• Certificar a conformidade com a respectiva lei/regulamento modelo.

NAIC e a futura Lei Modelo de Privacidade

No último ano, a NAIC tem trabalhado na atualização de uma lei modelo de privacidade que visa alinhá-la com as abordagens de privacidade atuais refletidas na Lei Modelo de Segurança, na CCPA e no Regulamento Geral de Proteção de Dados (RGPD) da UE.

O grupo de trabalho responsável pelas atualizações foi incumbido de recomendar se — e em que medida — uma “atualização” é necessária. Cinco áreas principais estão sendo analisadas, incluindo:

1. Tipos de coleta, compartilhamento e uso de dados específicos para seguradoras
2. Como o risco à privacidade afeta os consumidores de seguros
3. lacunas nas leis federais e estaduais
4. Obrigações que as seguradoras devem ter para com os consumidores
5. Que direitos os consumidores devem ter para controlar suas informações pessoais?

Na reunião mais recente, o grupo discutiu uma versão preliminar de uma análise das lacunas relacionadas às questões do consumidor, que inclui:

• notificações
• portabilidade
• opções de adesão/cancelamento
• divulgações

Embora ainda não tenha sido estabelecido um prazo para comentários e atualizações à Lei Modelo de Privacidade, a reunião recente demonstra que o setor de seguros precisa estar preparado para cumprir qualquer medida que o grupo de trabalho venha a implementar.

O que as seguradoras podem fazer agora para se manterem em conformidade

As companhias de seguros enfrentam desafios complexos quando se trata de proteger dados e alcançar a conformidade regulatória.

As seguradoras precisam tomar medidas concretas para construir um programa de dados abrangente que não deixe nenhum dado sem ser analisado e permita total visibilidade das informações pessoais e sensíveis de sua organização — em todos os sistemas e fontes de dados. Aqui estão alguns critérios que as empresas do setor de seguros devem ser capazes de atender:

• Conheça seus dados: Combinar a identificação de dados pessoais e a classificação de dados sensíveis.
• Defina PI e SPI: Automatize a descoberta, identificação e mapeamento de todos os seus PI e SPI, onde quer que estejam — localmente, na nuvem e em ambiente híbrido.
• Etiquetar e rotular dados para fins legais: Assegurar que os dados sejam identificados e rotulados adequadamente, em conformidade com as diversas regulamentações aplicáveis às seguradoras.
• Priorizar dados vulneráveis: Destaque, de forma concisa, os dados regulamentados vulneráveis, superexpostos e de alto risco..
• Simplifique a resposta e as notificações de violações de dados: Identifique com precisão os usuários afetados após uma violação de dados e simplifique a resposta a incidentes.
• Definir e aplicar regras de retenção de dados: Implemente fluxos de trabalho automatizados e descubra dados duplicados, derivados e semelhantes para garantir privacidade, governança e relatórios eficazes.
• Automatizar o cumprimento dos direitos de acesso aos dados: Automatize o atendimento manual de solicitações individuais de acesso e exclusão de dados.
• Detectar transferências de dados transfronteiriças que violem as políticas estabelecidas.: Monitore as violações de acesso, uso e transferência de dados em toda a organização para ação imediata.

Aprenda como As organizações de seguros podem usar o BigID para criar um inventário de dados abrangente que ofereça visibilidade completa das informações pessoais e confidenciais que possuem — e tomar medidas para gerenciar os riscos associados a elas em toda a organização.

Autor

Heather Federman