Lei Geral de Proteção de Dados Pessoais - LGPD...©2019 Deloitte Touche Tohmatsu. Todos os...

2019

Lei Geral de Proteção de Dados Pessoais - LGPD Enrico De Vettori - Partner, Life Sciences & Healthcare - Deloitte Brazil


A comunicação e as informações sempre estiveram presentes e em constante evolução, independente dos meios

<3500 AC

3000 AC

1400 AC

100 DC

1944 DC

1981 DC

1973 DC


Desta forma, entra em pauta a Lei Geral de Proteção de Dados Pessoais (LGPD), buscando proteger os direitos de liberdade e privacidade das pessoas

2010 2011 2012 2013 2014 2015 2016 2017 2018 2019

Lei sobre a tipificação de crimes cibernéticos;

PL sobre o tratamento de dados pessoais.

Consulta pública pelo Ministério da

Justiça

Fonte: SERPRO, 2019

Lei de acesso à informação – LAI;

PL das diretrizes para uso da internet.

PL sobre o tratamento e uso de dados pessoais.

Entra em vigor o Marco Civil da Internet.

Aprovado pelo CCT a PL sobre o tratamento e uso

de dados pessoais.

Aprovada a GDPR na Europa;

Nova consulta pública do MJ, que resulta na PL

nº5.276.

Tramitação no Congresso de dois

projetos de lei: Nº5.276/16 e Nº330/13.

Escândalo “Facebook Cambridge – Analytica”;

Entra em vigor a GDPR na Europa;

Sancionada a LGPD

]

Aprovada ANPD;

Em discussão a PEC nº17.


A LGPD (Lei Nº 13.709) dispõe sobre o tratamento e a proteção de dados pessoais, protegendo os direitos fundamentais das pessoas

“Ao colher o dado de usuários, todo e qualquer estabelecimento deve ponderar se há a necessidade de solicitação daquela informação para viabilizar a oferta do produto ou serviços aos usuários.”

Lei Geral de Proteção de Dados

LGPD

A LGPD, de um modo simplificado, exige que o controlador solicite consentimento do titular do dado para poder tratá-lo, informando, inclusive a destinação que será dada.”


A LGPD (Lei Nº 13.709) dispõe sobre o tratamento e a proteção de dados pessoais, protegendo o direitos fundamentais das pessoas

Esta lei foi promulgada em 14 de agosto de 2018 após mais de 8 anos de debates.

Entrada em vigor das principais disposições dar-se-á em 16 de agosto de 2020.

Os dados deverão ter imediata exclusão após atingida a finalidade pela qual eles foram coletados.

É baseada no General Data Protection Regulation (GDPR), regulamento de proteção de dados da União Européia.

Lei Geral de Proteção de Dados

LGPD

Os dados deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos titulares


Com a finalidade de nortear a comunicação e o tratamento de dados pessoais, a LGPD apresenta dez princípios fundamentais que devem ser considerados por todos que manipulam dados

Finalidade Necessidade Qualidade de dados

Segurança Não discriminação

Adequação Livre acesso Transparência

Responsabilização e prestação de

contas Prevenção


É importante considerar alguns conceitos utilizados pela LGPD, como: dados pessoais, dados pessoais sensíveis, dados anonimizados, controlador e operador

Dado Pessoal Informação relacionada a pessoa natural identificada ou identificável

Dado Pessoal Sensível Dado pessoal sobre origem racial, étnica, religião, política, filiação a sindicato, filosófico ou político, dado referente à saúde, à vida sexual, dado genético, biométrico, vinculados a uma pessoa natural

Dado Pessoal Anonimizado Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento

Titular Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento

Controlador Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É um agente de tratamento.

Operador Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. É um agente de tratamento.

Tratamento Toda operação realizada com dados pessoais, exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, dentre outras.

Uso compartilhado Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos públicos ou entre esses e entes privados.


Assim, a LGPD tem aplicação a qualquer pessoa, seja natural ou jurídica de direito público ou privado que realize o tratamento de dados pessoais, online e/ou off-line

Qualquer operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do

meio, do país de sua sede ou do país onde estejam os dados.

Desde que a operação de tratamento seja realizada no território nacional.

Desde que os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Desde que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de

indivíduos localizados no território nacional

Aplicabilidade


Realizado para fins exclusivos de segurança pública, defesa nacional, segurança do estado ou atividades de investigação e

repressão de infrações penais

Realizado exclusivamente para fins jornalísticos, artísticos ou acadêmicos.

Tratamento de dados realizados por pessoa natural para fins

exclusivamente particulares e não econômicos.

Porém, há particularidades de tratamento de dados pessoais em que a LGPD não se aplica

Dados provenientes de fora do território nacional e que não sejam

objeto de comunicação desde que o país de proveniência proporcione grau de proteção

de dados pessoais adequado.

Não se aplica


Há também particularidades de atuação para entidades específicas da área da saúde, as quais manejam dados pessoais sensíveis

Particularidades da área da

saúde

É vedada a comunicação com objetivo de obter

vantagem econômica.

Permitida a comunicação somente

para a prestação de serviços de

saúde.

É vedado às operadoras de saúde a

utilização dos dados para a seleção de

riscos nas contratações.

Para estudos em saúde pública, os órgãos de

pesquisa poderão ter acesso a bases de dados

pessoais.

A divulgação dos resultados não

poderá revelar dados pessoais.

O acesso aos dados é regulamentado

pelas autoridades nacionais e da área de

saúde e sanitária.

É vedado às operadoras de saúde a utilização dos

dados para a contratação e exclusão de

beneficiários.

Dados utilizados para as pesquisas

serão tratados exclusivamente

dentro do órgão de pesquisa.


Em caso de infrações às normas dispostas na LGPD, os agentes de tratamento de dados estão sujeitos à sansões administrativas

Advertência solicitando adequação

Multa simples de até 2% do faturamento,

limitada a R$50MM por infração.

Multa diária Publicação da infração após

apurada e confirmada a ocorrência.

Bloqueio dos dados pessoais da infração até a regularização.

Eliminação dos dados pessoais da

infração.

Sanções administrativas aplicáveis pela autoridade nacional


Os vazamentos de informações e as ações de hackers são mais frequentes do que imaginamos


Tim Cook (CEO da Apple)

De modo geral, todas as medidas devem ser tomadas com a finalidade de proteger os dados pessoais que circulam na sociedade

“Ataque de San Bernardino”

“Não compactuo com a ideia de colocar uma backdoor nos sistemas da Apple para que governos e/ou agências de

inteligência tenham acesso aos dados de usuários pois, uma vez que a brecha

esteja lá, ela poderia ser utilizada tanto

para o “bem” quanto para o “mal”.


Quando ataques e vazamentos de dados ocorrem, estes acarretam em diversos impactos, inclusive de custos, sendo que apenas 5% destes são analisados para a tomada de decisão e os outros 95% não são trabalhados

Fonte: Deloitte - Beneath the surface of a cyberattack - A deeper look at business impacts

Investigação Técnica

Notificação de violação ao cliente

Proteção ao cliente pós-violação Relações públicas

Melhorias na segurança cibernética

Aumento do prêmio do seguro Perda de propriedade intelectual

Aumento de custo para redução da dívida

Desvalorização do nome comercial

Impacto da destruição operacional Valor de receita de contrato perdido

Conformidade regulatória

Honorários jurídicos e litígios

Perda de valor no relacionamento com o cliente

Custos tangíveis

Custos intangíveis


Todos os impactos dos vazamentos de dados podem ser percebidos durante o ciclo de resposta de um incidente, sendo este dividido em três fases:

Triagem

Período: dias e semanas

Fase reacionária.

Ações a curto prazo:

• Comunicação com terceiros/clientes;

• Estratégia para continuidade das operações;

• Análise do acontecimento;

• Próximos passos para evitar novos incidentes;

• Remediação de emergência dos controles de segurança.

Gerenciamento do impacto

Período: semanas e meses

Fase de redução de impacto.

Ações a médio prazo:

• Estabelecer infraestrutura interna;

• Ajustar fluxos de trabalho;

• Reduzir danos aos stakeholders;

• Realizar auditoria;

• Entender os problemas;

• Responder as questões legais.

Recuperação do negócio

Período: meses e anos

Fase de remediação.

Ações a longo prazo:

• Reconstrução do modelo de negócio, dos sistemas, aplicações e outros ativos;

• Estratégia para reconstrução da reputação da empresa;

• Melhorias de segurança e sistemas de detecção de possíveis incidentes.


Para a estimativa do custo inerente a este tipo de incidente, analisam-se 14 fatores referentes à Instituição


Case: Seguradora de saúde de grande porte

Renda anual de ~US$60 Bi.

50.000 funcionários

23,5 MM de beneficiários nos EUA (60% PJ)

Utiliza sistema de cuidados

com o paciente

Entrada de novos beneficiários

entre nov. e jan.

Regulado pelas autoridades estaduais e

federais

Planeja adquiri um sistema de

saúde por ~US$ 1 Bi.

Taxa anual de US$ 7 MM por seguro digital

de US$ 100 MM

Maio

Laptop contendo 2,8 milhões de informações pessoais foi roubado

5 d

ias

Seguradora foi notificada por um cliente que informações de alguns funcionários haviam sido listadas em sites criminosos

Notificado um aumento significativo no número de novas contas ativas

O histórico de mais de 1MM de pacientes foi baixado da database

Acesso ao sistema bloqueado por 2 semanas

Time de resposta a incidentes cibernéticos foi acionado

Investigação técnica revelou que os hackers haviam obtido acesso ao sistema usando credenciais do laptop roubado

Novos usuários tiveram que ser criados, houve a mudança de sistema e implantação de novos controles sistêmicos


Os custos apurados do incidente ocorrido com a seguradora de saúde de grande porte foi de mais do que US$ 1,6 Bi


96

%

Do c

usto

tota

l

Custo total: US$ 1,67 Bi em 5 anos

~89% do impacto pode ser associado com 3 pontos específicos: • valor de contratos perdidos; • desvalorização do nome da companhia; e • perda de relações com consumidores.

Principais impactos tangíveis: • notificar consumidores; e • fornecer proteção de crédito pessoal.

Principais impactos intangíveis: • perda de IP ou contratos; • avaliação de crédito da empresa; e • desvalorização do nome da empresa.


Além disso, os impactos perduraram por 5 anos após o incidente, sendo que o número de novos beneficiários normalizaram somente após o 3º ano


!

De

sc

ob

ert

a d

o in

cid

en

te

Suporte externo para resposta ao incidente foi contratado

A aplicação de cuidado ao paciente foi desligada e o call center teve demanda ampliada

Programas de notificação de vazamentos e de proteção ao consumidor são iniciados

Fase inicial das melhorias de segurança cibernética são iniciadas

Uma campanha visando melhorar a opinião pública foi iniciada, um pouco antes do período de inscrição

A taxa premium foi ajustada para o período de inscrições

Multa da HIPAA

Valores de

segurança

cibernética

aumentam Uma aquisição estratégica

é postergada devido ao

baixo rating de crédito

Pagamentos de processos

judiciais por roubo de

identidade se iniciam

Segunda fase de melhorias de

segurança se inicia

• Os números de novos

beneficiários

normalizaram após o 3º

ano do incidente;

• Os lucros a longo prazo

diminuíram;

• A imprensa fez com que

o vazamento de dados

estivesse

constantemente sob

judice na opinião pública;

• O poder de negociação

da empresa reduziu

frente aos clientes.


Na reação a um incidentes recomenda-se a resiliência, prática a qual demanda uma mudança de mentalidade


Identifique os principais

riscos

Convoque a equipe certa

PRIMEIROS PASSOS ÚTEIS

Gastos adequados para reduzir o impacto

Modernizar o que “Estar preparado”

significa

Fazer mais do que

preparer-se

Ser resiliente requere transformação organizacional que engloba o escopo do envolvimento da diretoria da instituição e garanta o foco no risco para o negócio, não apenas o controle da tecnologia. Envolve a habilidade de redefinir prioridades e reinvestir no levantamento de possíveis cenários, baseados em um entendimento amplo das motivações dos hackers e na habilidade de antecipar cenários de alto impacto.

21

©2019 Deloitte Touche Tohmatsu. Todos os direitos reservados.

Classificação: [Confidencial]

Grandes Apostas FY19 | Projeto “PHM”

CEO Glass

Principais indicadores financeiros e de

utilização da carteira e comparativo com

Benchmarking, possibilitando uma visão

geral sobre a situação da carteira.

Perfil da Carteira

Distribuição dos beneficiários por gênero,

faixa etária, titularidade, plano, localização,

etc., além de informações sobre quantidade

de vidas ativas mensalmente e continuidade

de contrato.

Sinistro

Distribuição dos custos com plano de saúde

por tipo de atendimento, prestador, região,

especialidade, etc., a fim de identificar o

perfil de utilização da carteira.

Perfil de Risco

Identificação de beneficiários que

apresentam perfil de risco para doenças

crônicas através de algoritmos que se

baseiam na utilização e nas informações

cadastrais dos beneficiários.

High Users e High Costs

Visualização da quantidade de

procedimentos e/ou do valor pago por

beneficiário, permitindo identificação dos

maiores utilizadores e gastadores do plano.

Internações Online

Acompanhamento das internações em

tempo real, permitindo conhecimento da

quantidade de internações em cada hospital.

Os hospitais são classificados pela

metodologia DRG de acordo com o tempo

médio de permanência realizado.

Population Health Management

https://www.deloitte.com.br/populationhealthmanagement-CEOGlass

https://www.deloitte.com.br/populationhealthmanagement-PerfilCarteira

https://www.deloitte.com.br/populationhealthmanagement-Sinistro

https://www.deloitte.com.br/populationhealthmanagement-HighRisk

https://www.deloitte.com.br/populationhealthmanagement-HighUsers

https://www.deloitte.com.br/populationhealthmanagement-InternacoesOnline


Consulta rede e plano

Agenda

consulta

Retorno e recom.

de cirurgia

Jornada de Paciente antes do PHM

Complicadores

Baixo conhecimento do perfil e risco da carteira

Aumento de desperdício por utilização desnecessária

Abusos, fraudes e desperdícios assistenciais

Alto volume de consultas e exames desnecessários

Utilização da rede com baixa custo-efetividade


Consulta

rede e plano

Agenda

consulta

Consulta

Médica

Exame

Mapa de

internações

Internação

hospitalar

Codificação DRG

admissão

Case

management

Acompanhamento

In loco imediato

DRG de

prorrogação

Probabilidade

de reinternação

Central de

Gestão das

Internações

Avaliação de

performance

da rede

Auditoria de

bancada

Jornada de Paciente com PHM


O que mudou após o PHM?

Paciente

*Junto às operadoras de saúde

Eficiência em campanhas

Devido ao conhecimento sobre o perfil de saúde de seus funcionários

Maior poder em negociações*

Com base em ferramentas e análises preditivas de sinistro e contas médicas

Redução de sinistro

Por meio do gerenciamento de rede e utilização assertiva, com minimização de perdas e desperdícios

Conscientização

Participa de campanhas voltadas para o seu perfil

Uso consciente do benefício

Economia

Possui incentivos para usar rede com melhor custo-efetividade

Saúde

A empresa promove a saúde e bem-estar por meio de ações focadas


As principais acreditações requerem uma política interna que tenha como objetivo a segurança e integridade dos dados e das informações

Algumas recomendações são: • Um plano de backup diário;

• Um servidor interno e um externo;

• Encriptação;

• Ferramenta antivírus;

• Filtro de conteúdo;

• Firewall do sistema;

• Autenticação de acessos.

A Deloitte refere-se a uma firma-membro da Deloitte, uma de suas entidades relacionadas, ou à Deloitte Touche Tohmatsu Limited (“DTTL”). Cada firma-membro da Deloitte é uma entidade legal separada e membro da DTTL. A DTTL não fornece serviços para clientes. Por favor, consulte www.deloitte.com/about para saber mais.

A Deloitte é líder global em auditoria, consultoria empresarial, assessoria financeira, gestão de riscos, consultoria tributária e serviços correlatos. Nossa rede de firmas-membro, presente em mais de 150 países e territórios, atende a quatro de cada cinco organizações listadas pela Fortune Global 500®. Saiba como os 286.200 profissionais da Deloitte impactam positivamente seus clientes em www.deloitte.com.

Esta comunicação contém somente informações gerais e nenhuma das empresas Deloitte Touche Tohmatsu Limited, suas firmas-membro ou suas entidades relacionadas (coletivamente, a “rede Deloitte”) estão, por meio desta comunicação, prestando consultoria ou serviços profissionais. Antes de tomar qualquer decisão ou medidas que possam afetar suas finanças ou sua empresa, você deve procurar um consultor profissional qualificado. Nenhuma entidade da rede Deloitte será responsável por qualquer dano sofrido por qualquer pessoa em decorrência dessa comunicação.

© 2019. Para mais informações, contate a Deloitte Touche Tohmatsu Limited.

[email protected]

Obrigado!

mailto:[email protected]

Lei Geral de Proteção de Dados Pessoais - LGPD...©2019 Deloitte Touche Tohmatsu. Todos os...

Documents

Transcript of Lei Geral de Proteção de Dados Pessoais - LGPD...©2019 Deloitte Touche Tohmatsu. Todos os...