Teresa Carvalho, diretora jurídica & compliance officer da Liberty Seguros.
A partir de 25 de maio, com a entrada em vigor do regulamento geral de proteção de dados, vai ser obrigatório publicitar as quebras de segurança que afetem dados pessoais, o que vai aumentar os riscos reputacionais.”Os dados mostram que mais de 25% das empresas em Portugal foram alvo de um ataque cibernético em 2016, mas apenas 14% teria adquirido um seguro para ciber-risco, a situação é de subseguro, cabendo às empresas fazer auto seguros para os danos que irão resultar” refere Marco Perestrelo, chief technology officer da i2S.
Estes valores mostram que as empresas ainda não tinham a mesma preocupação em proteger os activos intangíveis como fazem com os tangíveis. Mas hoje há uma “crescente sensibilização das empresas para a frequência dos ataques pois são poucas as áreas de atividade onde não existe um risco de um ataque cibernético” admite Daniel Reis, sócio coordenador da equipa de telecomunicações, media e tecnologias de informação (TMT) da PLMJ.
Riscos reputacionais
Além disso, a partir de 25 de maio, com a entrada em vigor do regulamento geral de protecção de dados, “será obrigatório publicitar as quebras de segurança que afetem dados pessoais” refere Daniel Reis, o que vai expor qualquer empresa e aumentar sem dúvida os riscos reputacionais. “Num mundo em que os sistemas informáticos são essenciais para o desenvolvimento e continuidade dos negócios, o risco cibernético pode ser letal para uma empresa” acrescenta Teresa Carvalho, diretora jurídica & compliance officer da Liberty Seguros.
Também Jorge Lima, head of internal control, risk management & compliance na Generali, considera que “que as empresas que se destacarem pela negativa face a este novo paradigma podem estar sujeitas a danos graves à sua reputação”.
A matéria-prima dos seguros são dados pessoais, uma vez que só estes caracterizam e identificam a esmagadora maioria dos riscos a segurar, é oportuno recordar que não há memória nem registo de violações de dados pessoais na atividade seguradora portuguesa. Teresa Carvalho Diretora jurídica & compliance officer da Liberty Seguros
O risco cibernético tornou-se uma das principais preocupações das empresas europeias porque a questão não é se vão sofrer um ataque cibernético, mas quando é que vai acontecer. “Os ataques são em grande parte automatizados, não se preocupam quanto à localização (Portugal ou outro) e há sempre uma forma de aproveitar uma quebra de segurança, seja pelas empresas alvo em si ou por poder lançar outros ataques a partir de activos alheios” diz Marco Perestrelo.
“A matéria-prima dos seguros são dados pessoais, uma vez que só estes caracterizam e identificam a esmagadora maioria dos riscos a segurar, é oportuno recordar que não há memória nem registo de violações de dados pessoais na atividade seguradora portuguesa” afirma Teresa Carvalho. O que pode ser coincidência ou proficiência das seguradoras no tratamento dos dados pessoais.
Big Data com limitações
A informação em geral e os dados pessoais em particular são as principais matérias-primas da nova economia. Mas a crescente protecção de dados pessoais pode ser combinada com a gestão de risco das seguradoras e até com o Big Data, embora se admitam que as novas regras possam gerar algumas limitações a desenvolvimentos e evoluções.
“As organizações vão ter de adoptar princípios de protecção dos dados “by design and by default”, ou seja, a concepção de qualquer produto, serviço ou melhoria organizacional deve prever, desde o início, as medidas de protecção dos dados necessárias e garantir que a recolha de dados se adequa às finalidades, sem pedidos supérfluos ou ilegítimos” adverte Jorge Lima.
Como refere Teresa Carvalho, as técnicas atuariais desenvolvidas pelas seguradoras funcionam sem a necessidade de utilização de dados pessoais, e “a pseudonimização ou anonimização, que são procedimentos admitidos e recomendados no quadro normativo em vigor a partir de Maio, “permitem a continuidade de muito do que realmente interessa às seguradoras – análise de dados, seu comportamento e evolução”.
Marco Perestrelo antecipa que “nos próximos anos é provável uma “inversão” da guarda de dados pessoais, passando para empresas externas e talvez o aparecimento de serviços baseados em “permissioned blockchain” que devolvem o controlo sobre dados pessoais e acesso por terceiros aos clientes finais, evitando que as empresas tenham que, de uma forma duplicada entre elas, guardar e gerir dados pessoais”.
Fonte: Jornal de Negócios – Portugal