risco cibernÉtico e regulamento geral de proteÇÃo de dados ... · proteção de dados pessoais...

Mariana Martins da Cruz Justo

RISCO CIBERNÉTICO E REGULAMENTO GERAL DE

PROTEÇÃO DE DADOS:

ADAPTAÇÃO DAS EMPRESAS À NOVA REALIDADE

O Setor Segurador: Case-Study

Orientadores:

Professora Doutora Margarida Lima Rego, Professora da Faculdade de Direito da

Universidade Nova de Lisboa

Dr.ª Ana Cristina Borges, CEO MDS RE

Setembro 2018

Relatório de estágio curricular na

MDS RE com vista à obtenção do

grau de Mestre em Direito e

Mercados Financeiros

Mariana Martins da Cruz Justo

RISCO CIBERNÉTICO E REGULAMENTO GERAL DE

PROTEÇÃO DE DADOS:

ADAPTAÇÃO DAS EMPRESAS À NOVA REALIDADE

O Setor Segurador: Case-Study

Orientadores:

Professora Doutora Margarida Lima Rego, Professora da Faculdade de Direito da

Universidade Nova de Lisboa

Dr.ª Ana Cristina Borges, CEO MDS RE

Setembro 2018

Dissertação com vista à

obtenção do grau de Mestre em

Direito e Mercados Financeiros

Relatório de estágio curricular na

MDS RE com vista à obtenção do

grau de Mestre em Direito e

Mercados Financeiros

III

DECLARAÇÃO DE COMPROMISSO ANTIPLÁGIO

Declaro, por minha honra, que o trabalho elaborado é original e da minha

exclusiva autoria. Toda a utilização de contribuições ou textos alheios está devidamente

referenciada. Tenho consciência de que a utilização de elementos alheios não

identificados constitui uma grave falta ética e disciplinar.

Lisboa, 14 de setembro de 2018

V

“Success is to be measured not so much by

the position that one has reached as by the

obstacles which he has overcome”

Booker T. Washington

VII

AGRADECIMENTOS

Em primeiro lugar, manifesto a minha gratidão à minha orientadora, a Professora

Doutora Margarida Lima Rego, pela sua disponibilidade constante durante a elaboração

deste relatório, às suas críticas pertinentes e à sua mina inesgotável de conhecimentos.

Agradeço também à Dr.ª Maria da Graça Canto Moniz, especialista em matéria de

Proteção de Dados, pela sua disponibilidade, reagindo em pronto auxílio. Da mesma

forma, agradeço à Dr.ª Catarina Graça, pela sua atenção e profissionalismo na construção

da forma da tese.

Em segundo lugar, agradeço a toda a equipa da MDS, a empresa que me permitiu

realizar este estágio curricular e que tão bem me acolheu, sempre predispostos a auxiliar,

com uma equipa de topo, salientando a Dr.ª Ana Cristina Borges, cheia de simpatia e boa

vontade diária.

Agradeço, de igual forma, aos meus amigos e colegas, que contribuíram,

voluntaria ou involuntariamente, com conselhos constantes e motivação diária para

superar este desafio. Em duas fases diferentes, sem dúvida que, duas colegas distintas

necessitam de uma palavra especial. Ana, a ela agradeço profundamente toda a

disponibilidade e entreajuda vivida durante este ano de escrita intensa da presente

dissertação. Rita, a ela agradeço por toda a ajuda, generosidade e contributo pertinente

para este relatório, estando constantemente disponível para todas as dúvidas ou crises que

pudessem surgir.

Por fim, deixo um agradeço especial à minha Família, pelo apoio incondicional

que me transmitiram ao longo da minha vida académica e profissional e por toda a

paciência que revelaram ter. Aos meus Sobrinhos, Afonso e Madalena, à minha Mãe, ao

meu Pai, às minhas Irmãs, aos meus Avós, ao Pedro, cada um com a sua contribuição de

forma particular.

IX

INDICAÇÕES DE LEITURA

I. MODO DE CITAÇÃO

O modo de citação utilizado neste texto, quer nas notas-de-rodapé, quer na

bibliografia final, faz-se de forma uniforme com a indicação do nome académico do autor,

o título da obra em itálico, edição, local de publicação, editor, ano da publicação,

seguindo-se o volume e páginas, não estando este último elemento na bibliografia final.

No caso de serem vários autores, o modo de citação será o mesmo, no entanto irá

apenas estar presente o nome de um dos autores com a indicação posterior “[et al.]”.

No caso de obras coletivas, o título é separado do subtítulo através da preposição

“in” e as obras são indicadas por ordem alfabética do último apelido do autor referido,

com as indicações iguais às mencionadas acima.

No caso de serem obras de publicação periódica, as citações são feitas com a

indicação do nome do autor, do título do artigo em questão, seguido do título da

revista/publicação, seguindo as indicações da numeração, data e paginação.

No caso em que exista uma citação indireta, ou seja, uma citação de uma citação,

utiliza-se a expressão “apud”, que significa “citado por”.

As expressões em latim ou em língua estrangeira serão apresentadas em itálico.

Esta dissertação foi escrita ao abrigo do Novo Acordo Ortográfico.

II. DECLARAÇÃO DE CARATERES

Declaro que o corpo da tese ou dissertação, incluindo espaços e notas, ocupa um

total de 181.323 carateres.

XI

LISTA DE ABREVIATURAS

Al. - Alínea

Art. - Artigo

Arts. - Artigos

ASF - Autoridade de Supervisão de Seguros e Fundos de Pensões

CMVM - Comissão do Mercado de Valores Mobiliários

CNPD - Comissão Nacional de Proteção de Dados

CRP - Constituição da República Portuguesa

DPIA - Data Privacy Impact Assessment - Avaliação de Impacto da

Privacidade de Dados

DPO - Data Protection Officer - Encarregado de Proteção de Dados

Ed. - Edição

EUA - Estados Unidos da América

IA - Inteligência Artificial

LCS - Lei do Contrato Seguro (Decreto-Lei n.º 72/2008, de 16 de Abril)

NIS - Network and Information Security - Segurança das Redes e da

Informação

P. - Página

PIB - Produto Interno Bruto

PME - Pequenas e Médias Empresas

Pp. - Páginas

RGPD - Regulamento Geral sobre a Proteção de Dados (Regulamento

2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de

2016)

Ss. - Seguintes

TFUE - Tratado de Funcionamento da União Europeia

TI - Tecnologias da Informação

TIC - Tecnologias da Informação e da Comunicação

TJUE - Tribunal de Justiça da União Europeia

UE - União Europeia

http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=2657&tabela=leis&so_miolo=

XIII

RESUMO

As TIC, aliadas ao risco cibernético, tornam as empresas mais expostas, não só

aos ataques das suas bases de dados, mas também ao aparecimento de novos custos e

riscos, com os danos à reputação e risco de interrupção de negócio inerentes. Os impactos

para as empresas, em especial do setor segurador, dividem-se em duas vertentes: risco a

segurar (com a proliferação dos seguros cibernéticos) e risco ao setor.

O aparecimento do novo Regulamento Geral da Proteção de Dados, com regras

uniformizadas na UE, vem dissipar o risco da presença de diferentes níveis de proteção

de privacidade e dos dados pessoais das pessoas singulares em cada Estado-Membro,

fortalecendo os valores da privacidade e proteção de dados dos cidadãos e potenciando o

mercado único da informação. No entanto, a entrada do RGPD, acarreta impactos para as

empresas, com a restruturação do seu modelo organizacional, e os consequentes custos

financeiros e operacionais, com as coimas a adquirirem uma nova dimensão. Para o setor

segurador, com a constante utilização de dados sensíveis e a existência de um vazio legal,

os impactos são ainda mais prementes.

Abordaremos estes temas no presente relatório de estágio, com o estudo de caso

da MDS, empresa do setor segurador, onde se observa uma estratégia de resiliência eficaz

no combate ao risco cibernético e um caminho ágil para a conformidade com o RGPD,

acompanhando as tendências deste mesmo setor.

Palavras-Chave: Risco Cibernético, RGPD, Setor Segurador

XV

ABSTRACT

ICTs, combined with cyber risk, make companies more exposed not only to

attacks from their databases, but also to the appearance of new costs and risks, with

damage for reputation and business interruption. The impacts for companies, especially

the insurance sector, fall into two areas: risk to be insured (with the proliferation of cyber

insurance) and the common risk to the sector.

The emergence of the new General Data Protection Regulation, with uniform EU

rules, will dispel the risk of different levels of privacy protection and personal data of

natural persons in each Member State, strengthening privacy and protection values of

citizens and enhancing the single information market. However, the entry of the RGPD

entails impacts for the companies, with the restructuring of its organizational model, and

the consequent financial and operational costs, with the fines acquiring a new dimension.

For the insurance industry, with the constant use of sensitive data and the existence of a

legal vacuum, the impacts are even more pressing.

We will address these issues in this report, with the case study of MDS, a company

from the insurance sector, where an effective resiliency strategy in cyber risk is observed,

and an agile path for the GDPR compliance, following the trends of this sector.

Keywords: Cyber Risk, RGPD, Insurance Sector

Introdução

Mariana Martins da Cruz Justo 17

INTRODUÇÃO

O aparecimento da Era Digital veio promover o papel da Internet como um

instrumento primordial para a evolução e aproximação de economias, regiões e culturas,

alterando a visão sobre os parâmetros de acessibilidade, disponibilidade e distância. O

Mundo, digamos assim, ganhou outra dimensão, que se reflete no quotidiano, tanto nas

tarefas mais simples como na área de negócios, especialmente no tema a que me proponho

investigar. Um espaço de comunicação global, de modo a transcender fronteiras, sendo

um recurso para oportunidades de crescimento, educação e informação para a sociedade,

com uma complexa ramificação das redes da informação.

Neste contexto digital, surgiu um novo “espaço”, sem dimensões, instantâneo, não

físico, idealizado e concetualizado à luz da internet: o ciberespaço1. No entanto, estas

novas potencialidades comportam também riscos e vulnerabilidades para a defesa e

segurança nacional. Inevitavelmente, o desenvolvimento das Tecnologias da Informação

e da Comunicação (TIC) suscita algumas apreensões, no que toca ao desenvolvimento de

conflitos e guerras, terrorismo e ameaças à segurança de infraestruturas.

Os contras têm desequilibrado, em grande medida, o peso da balança, traduzindo-

se em aplicações ilícitas (e.g. ataques cibernéticos, violação de dados) em todos os

setores. Assim, o risco cibernético está na ordem do dia. Trata-se do risco associado aos

sistemas de informação, aos dados que processam, transferem ou armazenam, sendo os

mais comuns o “acesso/utilização sem autorização, ataques de negação de serviços,

ciberespionagem, difusão de vírus/malware, destruição de recursos, violação de dados”2.

O número de ciberataques, relacionados com a segurança da informação e

operacionalidade dos sistemas informáticos e de comunicação, tem ascendido de uma

forma potencialmente catastrófica, sendo uma fonte de preocupação de todos os Estados

e organizações. Um ataque cibernético pode ser definido como “uma atividade nociva,

executada por um grupo (incluindo grupos de base ou grupos coordenados a nível

1 William Gibson na obra Neuromancer de 1984, designa hoje a rede global de infraestruturas de

tecnologias de informação interligadas entre si, especialmente as redes de telecomunicações e os sistemas

de processamento dos computadores, onde se faz referência a um espaço virtual composto por cada

computador e usuários conectados numa rede à escala mundial. In RODRIGUES, José Conde - O

ciberespaço e a ordem mundial. Observador [Em linha]. (8 nov. 2016). 2 SIMONS, Dawn - Ciber-risco : a sua empresa está protegida?. FullCover [Em linha]. N.º 3 (Abril 2011)

p. 125 128.

Risco cibernético e regulamento geral de proteção de dados: adaptação das empresas à nova realidade

o setor segurador: case-study

18 Mariana Martins da Cruz Justo

nacional) através de computadores, sistemas de Tecnologias da Informação (TI) e/ou

internet, visando os computadores, infraestruturas de TI e presença de internet noutra

entidade”3.

Nesse sentido, e de modo a existir uma maior privacidade e integridade dos dados

dos titulares, houve a necessidade de se uniformizar o regime da proteção de dados em

toda a União Europeia (UE). O Regulamento Geral para a Proteção de Dados (RGPD) foi

a solução para este problema, encontrando-se em vigor desde 2016, mas sendo a sua

aplicação obrigatória desde 25 de maio de 2018. Foi revogada a lei anterior - Lei de

Proteção de Dados Pessoais (“que transpõe para a ordem jurídica portuguesa a Diretiva

95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à

proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à

livre circulação desses dados”4), visando homogeneizar as normas da UE e eliminando as

disparidades entre regimes jurídicos dos vários países.

O RGPD é muito protetor em relação ao titular de dados. No entanto, para as

empresas, há uma maior necessidade de delinear políticas de segurança e proteção de

dados mais eficientes, com uma atualização dos processos internos, para garantir a

conformidade com o novo regulamento. Na sua generalidade, estas não estão preparadas

para a nova regulação, sendo necessária uma reestruturação a fundo, com um impacto

financeiro de elevada dimensão. O setor segurador apresenta-se como um exemplo desta

situação. O regulamento trouxe determinados impactos tanto no orçamento, como no

governo interno do setor, como no negócio na ótica do cliente.

Na aplicabilidade das normas, este diploma exige bom senso na sua interpretação

e implementação, uma vez que é necessário considerar duas realidades (titular vs

empresa), evitando uma leitura fundamentalista do tema em questão. Sem descurar

qualquer uma delas, e da necessidade primária de proteger o titular e da livre iniciativa

económica, cada empresa necessita de adequá-lo à sua dimensão.

Este novo regulamento vem influenciar todo o tratamento e as repercussões da

violação de dados, designadamente, do risco cibernético. Para este risco real e ameaçador

3 TENDULKAR, Rohini - Cyber-crime, securities markets and systemic risk [Em linha]. Survey Grégoire

Naacke and Rohini Tendulkar. [S.l.] : IOSCO, 2013. 4 Vide LEI n.º 67/98. Diário da República [Em linha]. Série I-A, n.º 247/1998 (26-10-1998).

https://dre.pt/web/guest/pesquisa/-/search/239857/details/eurlex.asp?ano=1995&id=395L0046

Introdução


é necessária uma gestão de risco qualificada. Desde logo, será necessária uma gestão geral

(através da formação de trabalhadores, com uma maior responsabilidade sobre os dados)

e, posteriormente, uma específica (mediante a definição de políticas padrão e

procedimentos operacionais). Trata-se de um risco estruturado que não pode ser analisado

isoladamente, exigindo uma coesão de departamentos a nível jurídico, financeiro e TI.

Na sequência do que foi referido anteriormente, importa enunciar a grande questão

que constitui o objeto deste estudo, que será o fio condutor da dissertação: Estará o setor

segurador preparado para fazer face aos impactos do risco cibernético e das novas

exigências consagradas no RGPD?

A pertinência deste tema baseia-se em inúmeros factos. Por um lado, o risco

cibernético está em constante crescimento, tratando-se de um risco emergente com

elevados custos e desafios para, não só, mas principalmente as empresas. Por outro, pela

anterior insuficiência de regulação para a proteção de dados dos cidadãos na UE e pela

posterior criação deste novo Regulamento: quais os seus impactos, alcance e nível de

adequação das empresas. É importante, nesta fase, estabelecer a ligação entre o risco

cibernético e o RGPD: o próprio regulamento surgiu, em grande medida, da necessidade

de adaptação dos regimes de proteção em vigor aos atuais desafios do risco cibernético.

Importa aqui também verificar as mudanças estruturais a que as organizações, num

cômputo geral, poderão submeter-se, os custos e quais as suas repercussões para o

consumidor. Questões como a participação de uma violação de dados em 72 horas, as

coimas de elevado valor, a necessidade de contratar encarregados para a proteção de

dados, implicam elevados encargos financeiros com uma revolução interna necessária.

Por último, porque a organização das empresas depende do seu setor, não seria

concretizável investigar apenas o impacto do regulamento e do risco cibernético na

generalidade das empresas. Assim, focamo-nos no setor segurador, que enfrenta

constantes desafios, desde a nova regulação, à digitalização da economia e à mudança

nos comportamentos dos consumidores.

Após a definição da preocupação inicial, optou-se por cingir a questão principal a

uma única empresa: a MDS, e através desta, retirar conclusões transversais ao mercado.




No capítulo I, pretende-se definir o estágio curricular na MDS, que tem por base

o presente relatório. De forma sucinta, explana a empresa em si e o que foi realizado

durante o estágio.

Numa segunda fase, no capítulo II, pretende-se analisar este risco emergente – o

risco cibernético – quais os seus custos efetivos e responsabilidades/impactos para as

organizações e sociedade na sua generalidade. Dentro desta questão importa despertar

para a Quarta Revolução Industrial e todos os riscos e potencialidades inerentes.

Posteriormente, quais os seus impactos e desafios para as empresas com uma abordagem

específica para o setor segurador.

Destas análises, partiremos para capítulo III, respeitante ao novo Regulamento,

numa primeira fase, com a justificação da sua necessidade para a sociedade e a sua

análise, nomeadamente a leitura e extensão da aplicabilidade do mesmo. Numa segunda

fase, pretende-se despertar para os seus impactos e desafios a enfrentar para as

organizações, quais as modificações estruturais e os seus respetivos custos, as alterações

na governação interna e até que ponto estas sairão beneficiadas com o RGPD na ótica do

cliente. Verificaremos de que forma é que este se relaciona com o risco cibernético e

como estes se refletem nos outputs das organizações. Numa terceira fase, pretende-se

adaptar esta análise à realidade do setor segurador, aos seus impactos e desafios e às

perspetivas futuras deste setor.

Por conseguinte, e em jeito de desfecho, culminamos num estudo de caso, no

capítulo IV. Pretende-se verificar as adaptações de uma empresa, especificamente do

setor segurador, onde efetuei o estágio curricular – a MDS – à nova realidade conduzida

por estes dois fatores: Risco Cibernético e RGPD. Por um lado, no risco cibernético, em

que o objetivo passará por analisar a estratégia de resiliência cibernética da empresa,

demonstrando os custos e adaptações da mesma, com as modificações estruturais, e em

que medida é que os impactos estudados anteriormente se refletem na empresa. Por outro,

no RGPD, a sua implementação na empresa, os passos relevantes para esta adaptação,

com os respetivos impactos, tanto estruturais como financeiros. Pretende-se assim,

verificar como a MDS se adaptou a todos os desafios enunciados e em que medida é que

acompanha as tendências de alterações estruturais que acontecem no setor. Um estudo

teórico conduzirá a uma sustentação da prática, com a análise dos três componentes

principais desta dissertação: o risco cibernético, o RGPD e o Setor Segurador.

Metodologia e Problema de Estudo


METODOLOGIA E PROBLEMA DE ESTUDO

Este capítulo permite-nos uma melhor definição do objeto de estudo e o método

seguido ao longo da investigação. Inicialmente, foi realizada uma revisão bibliográfica,

com a intenção de conhecer exaustivamente a situação e o estado atual da problemática

do nosso estudo.

O problema de estudo definido, como referido na Introdução, será: “Estará o setor

segurador preparado para fazer face aos impactos do risco cibernético e das novas

exigências consagradas no RGPD?” No entanto, conforme já referido, optou-se por se

cingir o estudo à MDS, e não a “todas” as empresas do setor segurador.

No presente relatório, a metodologia de investigação utilizada por forma a retirar

as conclusões relativamente às adaptações das empresas, foi maioritariamente qualitativa.

Segundo FORTIN5, “O investigador que utiliza o método de investigação qualitativa (...)

observa, descreve, interpreta e aprecia o meio e o fenómeno tal como se apresentam, sem

procurar controlá-los.”. FREIXO6, indica que: “O objectivo desta abordagem de

investigação utilizada para o desenvolvimento do conhecimento é descrever ou

interpretar, mais do que avaliar. (...) é uma extensão da capacidade do investigador em

dar sentido ao fenómeno.”

Por outro lado, é possível também verificarmos, em momentos pontuais, uma

análise metodológica quantitativa. Segundo FORTIN7, “O método de investigação

quantitativa é um processo sistemático de colheita de dados observáveis e quantificáveis.

É baseado na observação de factos objectivos, de acontecimentos e de fenómenos que

existem independentemente do investigador.” Isto acontece quando são recolhidos dados

reais, custos e números concretos que nos permitem retirar conclusões relativamente aos

impactos inerentes.

Ainda, de acordo com FREIXO8, este relatório assenta também no método

descritivo: “Este método assenta em estratégias de pesquisa para observar e descrever

5 FORTIN, Marie-Fabienne - O processo de investigação : da concepção à realização. 3.ª ed. Loures :

Lusociência, 2003, p. 22. 6 FREIXO, Manuel João Vaz - Metodologia científica : fundamentos, métodos e técnicas. Lisboa : Instituto

Piaget, 2009, p. 146. 7 FORTIN, Marie-Fabienne - O processo de investigação…, p. 22. 8 FREIXO, Manuel João Vaz - Metodologia científica, p. 106.




comportamentos, incluindo a identificação de factores que possam estar relacionados com

um fenómeno em particular.”

Este estudo está dividido em duas partes distintas. Por um lado, no capítulo II,

relativo ao risco cibernético, determinam-se os custos, numa abordagem mais

quantitativa, e posteriormente analisam-se impactos e as perspetivas futuras, numa

abordagem mais qualitativa e descritiva com uma subjacente análise socioeconómica. Por

outro lado, no capítulo III, relativo ao RGPD, analisa-se o regulamento per si, com uma

análise jurídica, identificando-se novamente os respetivos impactos e as perspetivas

futuras, utilizando a mesma abordagem e análise que no capítulo anterior.

Por fim, culminamos num estudo de caso. Segundo VILELAS9, “Os estudos de

casos enquadram-se numa abordagem qualitativa e são frequentemente utilizados para a

obtenção de dados na área dos estudos organizacionais, (...) são um tipo de estudos muito

particulares e que, para serem eficientes, terão de ter o seu objecto bem definido, devendo

o caso escolhido ser representativo do problema ou fenómeno a estudar, os materiais e

dados ser recolhidos com precaução, a sua linguagem, clara e homogénea, e as conclusões

produzidas ser bem explícitas, constituindo novas informações.”

O objetivo final do estudo de caso será, por um lado, verificar a estratégia de

resiliência da MDS relativamente ao risco cibernético, os seus custos e as mudanças na

empresa; por outro, verificar a estratégia de implementação da empresa do RGPD e,

novamente, os seus custos e as mudanças existentes, abordando-se assim as duas

dimensões e culminando num estudo jurídico-financeiro. Após identificação, descrição e

análise maioritariamente qualitativa dos impactos destas duas realidades – a um nível

geral, empresarial e depois, resignados a um setor específico – comprova-se, através deste

estudo de caso, em que medida é que eles se coadunam com a realidade desta empresa.

9 VILELAS, José – Investigação : o processo de construção do conhecimento. Lisboa : Edições Sílabo,

2009, pp. 140 e 148.

Estágio Curricular


CAPÍTULO I – ESTÁGIO CURRICULAR

1. A MDS RE

A MDS, constituída em 1984, é atualmente um dos maiores grupos de corretagem

no mundo. Tem sede no Porto e é detida pela Sonae e pela Suzano, a maior multinacional

privada portuguesa e um grupo industrial brasileiro, respetivamente. As suas atividades

principais prendem-se com as áreas de consultoria de seguros, consultoria de risco e

resseguro & wholesale, marcando presença igualmente forte no Continente Africano.

Este grupo é fundador da BrokersLink, uma empresa global de corretagem;

acionista da Ed. Brooking (a anterior Cooper Gay Swett & Crawford), o maior corretor

de resseguro independente do mundo; e um “Lloyd’s Broker”, permitindo um acesso

pleno aos mercados internacionais e, consequentemente, uma maior capacidade para

soluções melhoradas para os clientes. Detém um portfolio diversificado e uma posição

relevante a nível mundial, ocupando o ranking dos três melhores corretores mundiais.

A MDS fundou a Herco, uma empresa especializada em consultoria de risco e

Enterprise Risk Management, e inclui serviços como modelização de riscos catastróficos,

serviço de gestão de cativas10, planos de continuidade de negócio e gestão de crise, gestão

de sinistros, propriedade intelectual, riscos cibernéticos, rapto e resgate, avaliação de

património, consultoria de employee benefits e consultoria jurídica laboral.

A MDS RE (MDS Reinsurance), é uma sociedade do grupo MDS, especializada

no desenvolvimento e negociações de corretagem de resseguro, serviços de consultoria

de seguros a nível de riscos tradicionais e emergentes, com operações de Project Finance

e due dilligence técnico. Opera fortemente em Portugal e em África, beneficiando da

extensa rede internacional e de acesso privilegiado ao Lloyd’s e à Ed.

2. O ESTÁGIO

No âmbito do protocolo existente para o Mestrado de Direito e Mercados

Financeiros, entre a Faculdade de Direito da Universidade Nova de Lisboa e a MDS RE,

foi-me permitido, após um processo de seleção, efetuar um estágio curricular, com

10 Gestão de companhias de seguradoras e resseguradoras que são criadas por um grupo empresarial para

subscreverem os seus próprios riscos, tratando-se de um instrumento alternativo de gestão de risco. Vide

AON - Gestão de cativas [Em linha]. Lisboa : AON, 2018.




duração efetiva de quatro meses, entre 15 de setembro de 2017 e 14 de janeiro de 2018,

com a realização de um relatório de estágio com vista a obtenção do grau mestre.

Durante este período, fiquei alocada à área de Resseguro, elaborando slips11,

desempenhando o papel de corretora12, com a oportunidade de contactar,

maioritariamente, com o mercado Angolano, dispersando os riscos pretendidos.

Auxiliei também na prestação de serviços de consultoria de seguros a grandes

empresas, sociedades de advogados e fundos de investimento, criando propostas e

análises comparativas. Nestes serviços de consultoria, as análises eram focadas na área

de linhas financeiras, participando nas áreas de responsabilidade civil profissional,

responsabilidade civil administradores e diretores e responsabilidade civil geral. O

objetivo não seria oferecer apenas o produto certo, mas também, através de um serviço

adequado de consultoria, ajudar o cliente a compreender a utilidade desse mesmo produto.

Junto destas áreas analisei e contactei também com um grande risco emergente: o

risco cibernético, sendo que, de acordo com a Dr.ª Paula Rios, administradora da MDS,

“as empresas ainda não estão devidamente protegidas, em termos tecnológicos, de cultura

de mitigação de riscos e na proteção financeira através de seguros”.

O presente relatório não tem apenas a pretensão de detalhar as tarefas dirigidas

durante o estágio e as questões jurídicas e financeiras que foram refletidas, mas sim

abordar uma questão específica, também investigada e trabalhada durante estes quatro

meses, aprofundando e debruçando-me assim sobre o tema do novo RGPD, entrado em

vigor neste mesmo ano, e a sua relação com as empresas, com o setor segurador e com o

risco cibernético.

11 Documento criado pela Corretora de Resseguro, que contém os termos e condições do contrato de

resseguro proposto. 12 Papel de intermediária entre Seguradora e Resseguradora de colocação de riscos no mercado.

Risco Cibernético


CAPÍTULO II – RISCO CIBERNÉTICO

1. CONTEXTUALIZAÇÃO: PANORAMA DO CIBERESPAÇO

MARSHALL MCLUHAN, sociólogo oriundo do Canadá, um dos precursores da

teoria da comunicação, formulou, na década de sessenta do século XX, o conceito de

aldeia global: uma sociedade interconectada e tomada pelos meios de comunicação que

atuariam por via eletrónica.13 NICHOLAS NEGROPONTE, fundador do Media Lab do

Massachussetts Institute of Technology, conseguiu prever a transformação do mundo

físico no mundo digital, em que “bits se tornam átomos”14 e em 1982, WILLIAM

GIBSON15 utiliza o termo “ciberespaço” com a sua primeira definição.

Sublinhe-se a definição de ciberespaço de LINO SANTOS e ARMANDO

MARQUES GUEDES: “Tal como noutros termos afins como sejam cibernauta,

ciberguerra ou ciberarma, o prefixo “ciber-” apela ao imaginário do virtual e transporta o

recetor para o contexto das tecnologias da informação e da comunicação (TIC). Diferentes

sectores da sociedade usam o termo ciberespaço para se referirem a coisas tão distintas

como a rede planetária de computadores, a possibilidade de realizar atividades através da

Internet, ou o armazenamento de informação na cloud, pelo que, numa perspetiva

abrangente, podemos definir ciberespaço como o conjunto “[d]as diferentes vivências do

espaço associado as tecnologias e a computação” (Strate, 1999, p. 383).” 16

2. DADOS REAIS: CUSTOS E RESPONSABILIDADES

“Um “risco” é um cenário que descreve um acontecimento e as respetivas

consequências, estimado em termos de gravidade e probabilidade. Por outro lado, a

13 McLUHAN, M. - Os meios de comunicação como extensão do homem. [S.l.] : Editora Cultrix, 1998. 14 “(…) Consider a modern newspaper. The text is prepared on a computer; stories are often shipped in by

reporters as e-mail. The pictures are digitized and frequently transmitted by wire as well (…). This is the

step where bits becomes atoms. (…) You may elect to print them at home for all conveniences of hard copy

(…). Or you may prefer to download them into your laptop, palmtop, or someday into your perfectly flexible,

one-hundredth-ofan-inck-tick, fullcoolor, massively high-resolution, large-format, waterproof display

(…)” NEGROPONTE, Nicholas - Being digital. London : Hodder & Stoughton, 1995, p. 56. 15 “On the Sony, a twodimensional space war faded behind a forest of mathematically generated ferns,

demonstrating the spacial possibilities of logarithmic spirals; cold blue military footage burned through,

lab animals wired into test systems, helmets feeding into fire control circuits of tanks and war planes.

“Cyberspace”. A consensual hallucination experienced by billions of legitimate operators. (…)

Unthinkable complexity. (…)” GIBSON, William – Neuromancer. Nova Iorque : Ace Books, 1984. 16 SANTOS, Lino ; GUEDES, Armando Marques - Breves reflexões sobre poder e ciberespaço = Brief

thoughts on power and cyberspace. RDeS – Revista de Direito e Seguranca. N.º 6 (julho-dezembro 2015)

pp. 190-191.




“gestão do risco” pode ser definida como as atividades coordenadas que visam

direcionar e controlar uma organização no que toca ao risco.”17

O risco cibernético18 é um risco emergente19 20, intangível, com efeito sistémico21

de rápida dissipação e crescimento, provocando perda de dados, roubo de identidades,

falhas nas TI ou crimes cibernéticos, como a extorsão.

Aquando de um evento cibernético, no cômputo das empresas, existem custos

imediatos e custos indiretos22: os imediatos são inevitáveis, incluindo-se os custos legais

e de investigação forense, os custos de notificação ao cliente, custos potenciais de

interrupção do negócio, custos de fraude, de extorsão, de danos físicos; os custos indiretos

variam consoante a gravidade do evento, incluindo o impacto e os custos a longo prazo.

Entre estes, destacam-se as despesas de litígios de terceiros, despesas de reputação, multas

ou sanções regulamentares devidas, impactos no preço das ações, perdas de vantagem

competitiva e, consequentemente, perdas futuras de receita.

Os crimes cibernéticos evoluíram do roubo de informações pessoais e cartões de

crédito (ativos de informação) para ataques coordenados em infraestruturas críticas, com

17 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações relativas à Avaliação de

Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar

num elevado risco» para efeitos do Regulamento (UE) 2016/679 [Em linha]. Bruxelas : Comissão Europeia,

2017. 18 “Cyber risk covers the risks of doing business, including managing and controlling data, in a digital or

“cyber” environment.”, in PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and

the role of insurance [Em linha]. Amsterdam : CRO Forum, 2014, p. 3.

“O risco cibernético cobre os riscos de fazer negócios, incluindo gestão e controlo de dados, num ambiente

digital ou "cibernético".” 19 “Emerging risk is a novel manifestation of risk or type that has not been experienced previously”, in

MARSH ; RIMS - Emerging risks : anticipating threats and opportunities around the corner [Em linha].

Report analysis and review Brian C. Elowe, Carol Fox. [S.l.] : MARSH; RIMS, 2016, p. 2 “O risco

emergente é uma nova manifestação de risco ou tipo que não tenha sido experimentado anteriormente.” 20 “Global and emerging risks are complex, usually exogenous, threats and uncertainties that may have

significant, unexpected impacts on company earnings and market positioning. As new phenomena or

familiar challenges sharply aggravated by changing conditions, they often take shape at the intersection of

several fundamental trends and can crystallize with sudden shifts in velocity.”, in MARSH ; RIMS -

Emerging risks : anticipating threats and opportunities around the corner [Em linha]. Report analysis and

review Brian C. Elowe, Carol Fox. [S.l.] : MARSH; RIMS, 2016, p. 2.

“Os riscos globais e emergentes são complexos, geralmente exógenos, ameaças e incertezas que podem ter

significados, impactos inesperados sobre os ganhos da empresa e posicionamento no mercado. Como novos

fenómenos ou desafios familiares acentuadamente agravados pela mudança das condições, eles geralmente

tomam forma na intersecção de várias tendências fundamentais e podem cristalizar com mudanças súbitas

na velocidade.” 21 "Os eventos de risco sistémico podem ser súbitos e inesperados, ou a probabilidade da sua ocorrência se

desenvolver ao longo do tempo, com a ausência de respostas adequadas às políticas [de tecnologia e / ou

administração]" in GROUP OF TEN - Report on Consolidation in the Financial Sector [Em linha]. [S.l.] :

BIS [et al.], 2001, p. 126. 22 LLOYD’S - Closing the gap : insuring your business against evolving cyber threats [Em linha]. In

association with KPMG and DAC Beachcroft. [S.l.] : Lloyd’s, 2017, p. 22

Risco Cibernético


o foco em plataformas de tecnologia e informação ainda mais valiosa. As organizações

estão cada vez mais interligadas, com maior retenção de informação e dados pessoais,

mais flexíveis na troca de conhecimentos e interdependentes. Com base em dados reais,

é possível constatar que, em 2016, mais de 3,4 mil milhões de pessoas estavam online.

Estima-se que, em 2025, mais de 5 mil milhões de pessoas tenham este acesso, com

aumento de 30% em apenas 10 anos.23

Existe assim, um aumento do apetite ao crime cibernético, com hackers24 mais

sofisticados, cuja progressão persiste em complexidade e magnitude financeira, com

eventos desde vazamentos políticos durante eleições nacionais, ataques de resgate em

saúde, educação e setores públicos. Os impactos financeiros são superiores e os

reputacionais atingem a grande preocupação para as empresas.

Um relatório da Lloyd’s25, em parceria com a KPMG, revela que o setor de

serviços financeiros é o principal alvo para os atacantes, mas outras empresas como

sociedades de advogados ou de contabilidade, hospitais, media e entretenimento

verificam-se também alvos apetecíveis por estarem associadas a bases de dados mais

robustas. O setor público e o setor das telecomunicações estão, também, expostos à

vulnerabilidade dos ataques cibernéticos, principalmente espionagem e extorsão, sobre

pessoas politicamente expostas, propriedade intelectual ou futuros investimentos

estratégicos, com informações confidenciais de elevado valor atrativo para os criminosos.

23 INTERNATIONAL TELECOMMUNICATION UNION - ICT Facts and Figures 2016 [Em linha].

Geneva : ITU, 2016 24 “A hacker is an individual who uses computer, networking or other skills to overcome a technical

problem. The term hacker may refer to anyone with technical skills, but it often refers to a person who uses

his or her abilities to gain unauthorized access to systems or networks in order to commit crimes.” Vide

SJOHOLM, Hans ; ROSENCRANCE, Linda – Hacker [Em linha]. Posted by: Margaret Rouse. Newton,

MA : TechTarget, 2017.

“Um hacker é um indivíduo que usa o computador, a rede ou outras habilidades para ultrapassar um

problema técnico. O termo hacker pode-se referir a alguém com habilidades técnicas, mas geralmente, trata-

se de uma pessoa que usa as suas habilidades para obter acesso não autorizado a sistemas ou redes para

cometer crimes.” 25 Pesquisa da Lloyd's com 350 decisores seniores em toda a Europa, produzida em associação com a

KPMG no Reino Unido, escritório de advocacia internacional DAC Beachcroft e as seguradoras da Lloyd's,

Vide LLOYD’S - Closing the gap : insuring your business against evolving cyber threats [Em linha]. In

association with KPMG and DAC Beachcroft. [S.l.] : Lloyd’s, 2017.




Figura 1 – Riscos Críticos26

Segundo a pesquisa da Marsh, empresa de corretagem e gestão de risco, 61% dos

700 líderes globais que responderam a este estudo, apontaram que este risco passou a ser

prioridade nas agendas das empresas sendo que, de seguida, surgem as novas

regulamentações, com 58%. Conforme verificamos no gráfico acima e no estudo em

apreço, os ataques cibernéticos são a área de destaque de onde resultam os riscos críticos

para a empresa (nomeadamente riscos cibernéticos) e a pressão regulatória (onde se insere

o RGPD, que terá o seu devido capítulo).

De acordo com o relatório da AON, corretora de seguros e resseguros, em parceria

com um estudo desenvolvido pela Ponemon Institute27, 46% das empresas tiveram um

incidente informático nos últimos dois anos, com uma média de impacto financeiro de 4

milhões de dólares. Um caso real aconteceu em dezembro de 2013, com uma violação de

segurança na Target. Esta violação expôs aproximadamente 45 milhões de números de

cartão de crédito e dados pessoais de 110 milhões de clientes, acarretando um custo

estimado de USD 148 milhões, compensados parcialmente por USD 38 milhões em

cobertura de seguro.28 Da mesma forma, uma empresa de telecomunicações no Reino

Unido29 sofreu uma violação de dados em 2015, afetando mais de 100,000 clientes, com

a perda de informações pessoais. Outrossim, a empresa sofreu o crime de extorsão

26 MARSH ; RIMS - Emerging risks : anticipating threats and opportunities around the corner [Em linha].

Report analysis and review Brian C. Elowe, Carol Fox. [S.l.] : MARSH; RIMS, 2016. 27 Ponemon Institute apud TEIXEIRA, Andreia - Mecanismos de gestão do risco e mitigação do impacto

: como avaliar a prevenção à resposta [Em linha]. Lisboa : AON, 2017, p. 10. 28 PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of insurance [Em

linha]. Amsterdam : CRO Forum, 2014, p. 10. 29 Vide ADVISEN - European cyber losses 2011-2017 [Em linha]. New York : Advisen, 2018.

Risco Cibernético


cibernética, sob a ameaça de publicar informações. Tudo isto resultou em perdas de 85

milhões de dólares, em receitas (22 milhões), em resposta ao incidente (64 milhões), com

um elevado risco reputacional com a perda de mais de 100,000 clientes.

O custo anual do cibercrime é de cerca de 600 mil milhões de dólares, sendo um

valor muito superior à maioria do PIB dos países, equivalendo a 0,8% do PIB mundial.30

Isto demonstra o valor elevado e impactante do custo de crimes cibernéticos: o custo anual

para as empresas a nível mundial do cibercrime consegue superar a soma de todos os bens

e serviços produzidos em, por exemplo, Portugal, com PIB em dezembro de 2017 de

217,57 mil milhões de dólares31.

Em conformidade com o estudo conduzido pela EY - consultora financeira - ao

longo dos últimos dois anos, 87% dos conselheiros e diretores não confiam no nível de

cibersegurança das suas empresas.32 61% indicam as limitações orçamentais como um

desafio, conforme gráfico abaixo, seguindo-se a falta de recursos capacitados, com 56%.

O facto de não existir apoio suficiente a nível orçamental e de recursos, tanto humanos

como financeiros, denota a falta de consciencialização por parte das chefias das empresas.

Figura 2 - Quais os principais obstáculos ou razões que desafiam a contribuição e o valor da sua

operação de segurança da informação para a organização?

30 Vide OLIVEIRA, Déborah, ed. - Cibercrime gera prejuízo de quase US$ 600 bilhões para economia

mundial [Em linha]. Rio de Janeiro : ITF 365, 2018. 31 Vide SOUSA, Antonio J. Fernandes, dir. ; FEDEC, Anna, dir. - PIB - lista de países [Em linha]. New

York : IECONOMICS, 2018. 32 ERNST & YOUNG GLOBAL LIMITED - O caminho para a ciber-resiliência : perceção, resistência,

reação : 19ª pesquisa global de segurança da informação EY 2016-17 [Em linha]. [S.l.] : EY, 2017, p. 15.




Os custos e as responsabilidades, para as empresas, associadas às falhas de

segurança da informação, como podemos observar, são reais e de elevado valor. As

empresas não estão, de todo, preparadas para enfrentar este risco, afirmando que não

confiam com a sua capacidade de gestão de risco cibernético. Isto verifica-se desde o

setor retalhista, às instituições financeiras, hospitais, media e tecnologia, à consultoria e

serviços profissionais, à industria manufatureira e transportadora, até ao Governo. Na

grande maioria dos casos, o problema é comum a todos os setores: a violação de dados

confidenciais.

Existe, portanto, a necessidade constante, tanto de transferir, como de regular este

risco emergente, quer para pequenas, quer para grandes empresas, onde a interação

humana pode surgir, muitas vezes, como um grande fator de vulnerabilidade.

3. IMPACTOS, DESAFIOS E RECOMENDAÇÕES

Se por um lado, o ciberespaço trouxe consigo novas realidades e impactos

positivos, por outro, trouxe novos crimes (contra os sistemas informáticos), com técnicas

complexas e sofisticadas; e potenciou outros já existentes (extorsão, devassa da vida

privada, propriedade intelectual). Este tipo de operações apresenta um papel de

importância crítica na segurança cibernética: continuidade do negócio, danos à reputação,

interrupção nos canais de distribuição, custos de extorsão, são alguns dos exemplos que

ultrapassam apenas a resolução do ataque. Estes danos podem ser categorizados em ativos

e reputação.33 Ativos incluem a integridade, disponibilidade e segurança de dados, redes

conectadas, continuidade de negócio, comprometimento da propriedade intelectual.

Reputação rege-se pela confiança na organização, consequente perda de clientes,

parceiros, proprietários, acionistas, funcionários, de investimentos/financiamentos.

Podemos verificar, de acordo com o gráfico infra, que existe uma relação

proporcional positiva entre o PIB de um país e o seu índice de desenvolvimento das TIC.

33 WORLD ECONOMIC FORUM - Risk and responsibility in a hyperconnected : world pathways to global

cyber resilience [Em linha]. Prepared in collaboration with Deloitte. Geneva : World Economic Forum,

2012, p. 14.

Risco Cibernético


Figura 3 - Relação entre o PIB per capita e o índice de desenvolvimento das TIC34

Se existe uma relação proporcional positiva entre a produção de bens e serviços

de um país e o nível de desenvolvimento das TIC, podemos inferir que estas contribuem

diretamente para o aumento da produção de um país. De forma indireta, as TIC, podem

contribuir da mesma forma para o crescimento da eficiência (uma vez que produtividade

e a eficiência têm uma relação direta entre si) da economia em geral, através da sua

incorporação progressiva.

Com esta crescente interdependência e interconectividade do sistema financeiro,

um ataque cibernético pode afetar as plataformas de negociação, os

agentes/intervenientes do mercado (investidores, intermediários financeiros, empresas de

gestão)35, encadeando uma falha na capacidade de uma instituição de cumprir as suas

obrigações de pagamento e liquidação. Isto poderá levar a uma rutura prolongada e

sistémica de um sistema central de pagamento, afetando assim vários mercados de valores

mobiliários por todo o mundo, disseminando-se pelos sistemas e mercados de forma

global.

34 HUGHES Barry B. [et al.] - ICT/Cyber benefits and costs : reconciling competing perspectives on the

current and future balance. Technological Forecasting & Social Change [Em linha]. Vol. 115 (February

2017) p. 122. 35 Risk Outlook [Em linha]. Comissão do Mercado de Valores Mobiliários, ed. Lisboa : CMVM, Autumn

2016, p. 28.




De acordo com a CMVM36, a manipulação dos valores que estão a ser

transacionados obstruirá o funcionamento dos mercados. Passando para o ponto de vista

de proteção ao investidor, os ataques cibernéticos podem resultar em vazamento de

informações confidenciais, na apropriação indevida de ativos dos investidores, na

clonagem de informações de intermediários, prejudicando a integridade do próprio

sistema.

Focando-nos no setor económico, nomeadamente no emprego e na sua natureza,

verifica-se que, segundo o World Economic Forum37 47% dos empregos dos EUA estão

em risco de automatização. A natureza do mercado de trabalho está em alteração, dando

lugar a empregos temporários que impedem o planeamento de investimentos a longo

prazo por parte das famílias, como compra de casa, planos de poupança reforma. Tudo

isto traz impactos elevados para a sociedade global que necessitam de ser considerados,

como problemas sociais, instabilidade e tensões sociais, políticas e económicas. Pelo

elevado controlo e monitorização que as TI permitem, pode existir também uma restrição

de novas oportunidades para a democracia de expressão e mobilização.

“(…) in a global economy based on neoclassical models of capitalism, mass

unemployment spells depression, not utopia.”38

A conetividade global e os modelos online tendem a conduzir à monopolização

da internet, causando elevadas despesas em segurança ao nível preventivo, com o

respetivo impacto no caso de eventos cibernéticos. Os desafios ao nível da coesão social

e de legitimidade de decisores políticos são incomensuráveis – é necessário,

impreterivelmente, a colaboração daqueles, para a criação de formas mais ágeis a nível

local, nacional e global de governação e gestão de risco.

Assim, “assegurar a integridade, segurança, eficiência e continuidade”39 das redes

é uma questão fundamental para a economia mundial.

36 Risk Outlook [Em linha]. Comissão do Mercado de Valores Mobiliários, ed. Lisboa : CMVM, Autumn

2016, p. 28. 37 WORLD ECONOMIC FORUM - The global risks report 2017 [Em linha]. 12th ed. Geneva : World

Economic Forum, 2017. 38 WORLD ECONOMIC FORUM. Global Agenda Council on the Future of Software & Society - Deep

shift : technology tipping points and societal impact [Em linha]. Geneva : World Economic Forum, 2015,

p. 32. “(…) numa economia global baseada em modelos neoclássicos do capitalismo, o desemprego em

massa provoca a depressão e não a utopia.” 39 WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience - Understanding systemic

cyber risk [Em linha]. Geneva : World Economic Forum, 2016, p. 10.

Risco Cibernético


3.1. AS EMPRESAS

Hodiernamente, a pressão exercida sobre as empresas é elevada. É necessário

evidenciarem crescimento, de modo a satisfazer os acionistas e obrigacionistas;

apresentarem inovação através de novos produtos e serviços e com uma adequada

prestação dos mesmos, de modo a satisfazer as necessidades dos consumidores finais;

incentivar e formar os funcionários, de modo a aumentarem a produtividade e a sua

motivação; mitigar o impacto no meio ambiente; mitigar o risco cibernético, de modo a

diminuir os impactos no negócio e na segurança do mesmo.

Os modelos de negócio têm-se alterado, não só como resultado da evolução da

utilização e aplicação dos dados, mas também fruto da pressão regulatória europeia (com

o desenvolvimento do novo RGPD e da Diretiva NIS, analisados em diante).

A resiliência cibernética40 adquire uma importância crescente. “Many

organizations need to evaluate their digital risk and focus on building resilience for the

inevitable.”41. Verifica-se a capacidade de uma empresa em identificar/detetar, prevenir

e responder a processos ou falhas tecnológicas e, ainda recuperar e minimizar os danos a

todos os níveis: do cliente, reputacional e de perdas operacionais e financeiras de elevado

impacto. A fase da perceção prende-se com a “capacidade das organizações de prever e

detetar cyber ameaças”42. A fase da resistência trata-se do “escudo de defesa corporativa

(corporative shield)”43. A última, da reação, é acionada caso a perceção não funcione ou

haja uma falha na resistência.

De acordo com a AON44, a capacidade de preparação do risco das organizações

está a diminuir. Apesar da perceção e avaliação do risco cibernético e a subscrição do

seguro estarem em crescimento, a preparação organizacional está em declínio, passando

40“Cyber resilience is a broader approach that encompasses cyber security and business continuity

management, and aims not only to defend against potential attacks but also to ensure your organization’s

survival following an attack.”, in IT GOVERNANCE - Cyber resilience [Em linha]. Cambridgeshire : IT

Governance, 2018. “A resiliência cibernética é uma abordagem mais ampla que engloba a segurança

cibernética e a gestão da continuidade do negócio, e visa não apenas defender-se de potenciais ataques, mas

também garantir a sobrevivência de sua organização após um ataque.” 41 Sean Joyce apud CASTELLI, Christopher [et al.] - Strengthening digital society against cyber shocks :

Key findings from The Global State of Information Security® Survey 2018 [Em linha]. Hong Kong : PwC,

2017. p. 4. Sean Joyce é o US Cybersecurity and Privacy Leader, na PwC. “Muitas organizações necessitam

de avaliar o seu risco digital e de se concentrar na construção de resiliência para o inevitável”. 42 ERNST & YOUNG GLOBAL LIMITED - O caminho para a ciber-resiliência : perceção, resistência,

reação : 19ª pesquisa global de segurança da informação EY 2016-17 [Em linha]. [S.l.] : EY, 2017, p. 5. 43 ERNST & YOUNG GLOBAL LIMITED - O caminho para a ciber-resiliência …, p. 5. 44 AON - Global risk management survey 2017 [Em linha]. London : AON, 2017, p. 78-79.




de 82% em 2015 para 79% em 2017. Isto pode dever-se a duas razões: as empresas

utilizam técnicas cada vez mais sofisticadas na gestão de risco cibernético, descobrindo

assim novos aspetos anteriormente desconhecidos neste risco, tendo que aumentar

constantemente a sua preparação; a evolução constante da transformação digital cria

maiores vulnerabilidades, provocando uma maior exposição da empesa e sendo um

desafio maior implementar estratégias mais eficazes.

Portanto, segundo o World Economic Forum45 o principal desafio e recomendação

será a compreensão do risco de ataques cibernéticos de grande escala e de outras ameaças

cibernéticas. Assim, a Global Agenda Council on Risk and Resilience46, aconselha as

entidades a integrarem os riscos cibernéticos na avaliação dos riscos críticos globais da

organização, com uma abordagem realizada através da formação – para clarificar as

causas, os efeitos e os impactos destes ataques nas organizações. Nesta avaliação, deverão

estar incluídos os riscos específicos para a confidencialidade, disponibilidade e

integridade da informação crítica, devido às consequências reputacionais, de confiança e

de continuidade do negócio. A grande questão central passa pela prevenção/deteção de

violações de dados, que prejudicam a integridade e a privacidade dos seus titulares.

Adicionando a estes termos, a estipulação de diretrizes concretas, incentivando

um maior investimento em abordagens, com uma análise relativamente ao custo-

benefício na alocação de recursos e modelagem de gestão de risco, sendo necessária uma

colaboração público-privada, com partilha de informações47. O reforço do investimento,

o aumento da responsabilização, através de penalizações, e a exploração do uso do seguro

de risco cibernético, reduzindo/transferindo o risco, são também algumas das

recomendações anunciadas.

Para PEDRO MOURA FERREIRA, é necessário melhorar a avaliação dos riscos

cibernéticos nas empresas, fomentar mais formações educacionais e de

consciencialização de todos os colaboradores, promover medidas de prevenção e

implementação de melhores práticas para a proteção do risco, a definição de protocolos

45 WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience - Resilience insights [Em

linha]. Geneva : World Economic Forum, 2016, pp. 14-17. 46 WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience - Resilience insights…,

pp. 14-17. 47 WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience - Resilience insights…,

pp. 14-17.

Risco Cibernético


de forma a dar uma resposta mais rápida e recuperar de forma eficiente após um incidente

cibernético, a subscrição de seguros que permitam a mitigação destes riscos.48

Segundo a AON49, existem vários passos para se constituir um plano de proteção

e um plano de recuperação para uma possível violação de segurança cibernética. No

entanto, garantir o cumprimento deste plano não é o equivalente a proteger a empresa

contra os ataques. Deve existir uma supervisão por parte dos administradores das

infraestruturas. Uma abordagem holística é indispensável para analisar e identificar o

nível do risco e proteger os ativos críticos da empresa.

Numa primeira fase, é fundamental discutir qual o perfil de risco da empresa,

desmistificando o setor de atividade, a dimensão, o volume de negócio, a localização das

operações, tratamento dos dados. Numa segunda fase, é necessário verifica o hardware50

e as infraestruturas de TI, com a análise dos sistemas de segurança implementados, o nível

de encriptação dos dados. Numa terceira fase, o software51 e as aplicações de TI são

analisadas: qual o nível de acesso dos diferentes colaboradores aos sistemas, as

autorizações para downloads e instalações. Após estas observações verifica-se a gestão

de privacidade de dados, por parte da empresa, o nível de conformidade com as políticas

implementadas nos termos da proteção de dados e a exposição da empresa a ataques

informáticos/violação de dados qual o seu histórico, com a análise das políticas de gestão

da empresa e os planos de contingência.

Importa sublinhar que, nem todos os fatores são tecnológicos para o risco

cibernético nas empresas. O fator humano tem um papel bastante importante na defesa da

empresa, podendo enfraquecer consideravelmente os níveis de segurança da mesma.

Muitas vezes, os colaboradores deixam disponíveis, de forma intencional ou negligente,

informações confidenciais, colocando em risco os clientes e a própria empresa. Outro

desafio, principalmente em contexto de grandes empresas, prende-se com a existências

48 Vide BIT MAGAZINE - Instituições e empresas não estão protegidas contra o crime cibernético. Bit

Magazine [Em linha]. (21 Dez. 2017). 49 Vide RODRIGUES, Miguel Videira ; ESTEVES, Pedro - Ataques informáticos. As empresas portuguesas

estão preparadas?. Observador [Em linha]. (26 mar. 2017). 50 O hardware é a parte pertencente a todos os componentes da estrutura física do computador. 51 O software são os programas que permitem realizar atividades específicas num computador.

“Computer hardware is any physical device used in or with your machine, whereas software is a collection

of code installed onto your computer's hard drive”. “O hardware do computador é qualquer dispositivo

físico usado em ou com a máquina, enquanto que o software é uma coleção de códigos instalado no disco

rígido do computador.” Vide COMPUTER HOPE - What are the differences between hardware and

software? [Em linha]. Utah : Computer Hope, 2018.




de diversos acionistas, cada um com a sua perspetiva e contribuição, o que muitas vezes

complica o processo de implementação de padrões para a segurança cibernética.

Em termos globais, a custo prazo, os custos das TIC podem ser superiores aos

benefícios. No entanto, os benefícios são cumulativos, ou seja, os benefícios das TIC (e.g.

a produtividade, como verificado na figura 3) são suportados através do tempo. Sendo

assim, a longo prazo, os benefícios deverão superar os custos. Uma rápida reação, permite

mitigar os impactos, principalmente os custos imediatos, de uma violação cibernética,

reduzindo a empresa gradualmente a exposição aos custos indiretos da empresa. A falta

de investimento em segurança, a falta de consciencialização e de informação transversal,

ou carências na análise de risco são os principais fatores que necessitam de ser alterados.

3.2. SETOR SEGURADOR

A indústria seguradora presencia uma rápida evolução, com uma pressão

crescente para gerir e diversificar da melhor forma o risco, num mercado em constante

mudança, com “(…) o desafio da exigente regulação (…), mas também da inovação, da

digitalização da economia e da mudança de comportamentos dos consumidores (…)”52.

A missão da (res)seguradora passa pela assunção de um risco, mitigando-o ou

eliminando-o. Com o passar do tempo, estes riscos tornam-se “domáveis”, caindo as

margens e diminuindo os seus custos.53 Sendo assim, a característica básica do setor

segurador é a probabilidade de que o evento inesperado aconteça, baseado em cálculos

matemáticos e estatísticos. É necessário, portanto, uma preparação por parte das

companhias de seguro, e um acompanhamento das tendências e dinâmicas,

nomeadamente dos processos de integração, que englobam a globalização, consolidação

e convergência; acontecimentos catastróficos e o surgimento dos novos riscos, causados

pelas tecnologias emergentes.54

52 OLIVEIRA, José Galamba de – Editorial. In ASSOCIAÇÃO PORTUGUESA DE SEGURADORES -

Panorama do mercado segurador 16/17 [Em linha]. Lisboa : APS, 2017, p. 7. 53 PEIGNET, Victor - Technology : shaping the risk landscape. Focus [Em linha]. N.º 22 (April 2017) p.

34 54 NJEGOMIR, Vladimir ; MAROVIĆ, Boris - Contemporary trends in the global insurance industry.

Procedia - Social and Behavioral Sciences [Em linha]. Vol. 44 (2012) p. 134-142.

Risco Cibernético


É, neste sentido, possível analisar o risco cibernético e o seu impacto no setor

segurador em duas vertentes: como uma ameaça à segurança do próprio setor e como um

risco a segurar55.

Por um lado, os riscos associados à implementação das TIC podem afetar muitos

outros setores, sendo imprescindível para as seguradoras a sua adaptação a este

desenvolvimento. Após um evento catastrófico, os seguros permitem a injeção de capital,

estimulando a liquidez da economia. Portanto, este novo panorama criará oportunidades

de desenvolvimento, embora seja necessária a capacidade de identificar, avaliar e

determinar as suas próprias capacidades para rejeitar ou aceitar a subscrição desses

mesmos riscos. A possibilidade de oferecer um seguro com cobertura cibernética, que

cubra as perdas financeiras inesperadas causadas por um evento cibernético, encontra-se

agora disponível, transferindo o impacto severo de eventos deste tipo. Isto traduz-se na

criação de valor para as seguradoras, com um aumento na procura deste tipo de seguros

e um aumento do volume de prémios e cobertura, desenvolvendo assim a sua carteira.

As seguradoras, no entanto, enfrentam elevadas dificuldades na modelização do

risco cibernético e na sua quantificação.56 Isto acontece por inúmeras razões: (i) o

ambiente cibernético está em constante evolução, sendo que os dados históricos não

refletem o ambiente atual; (ii) existem poucos métodos e dados atuariais para quantificar

o valor económico sobre as perdas de informações/violação de dados dos segurados; (iii)

a interconectividade dos sistemas das TI, que dificulta a monitorização deste risco (o

mesmo ataque pode envolver diversas soluções de seguro); (iv) as estratégias dos ataques

estão em crescimento constante, afetando as cláusulas presentes nos contratos de seguro;

(v)57 o valor financeiro das empresas modernas está cada vez mais conexo aos seus ativos

intangíveis58, sendo que as seguradoras deverão concentrar-se em avaliar e quantificar a

propriedade intelectual e os danos à reputação; (vi) ainda não estão totalmente claras as

necessidades exatas das empresas em termos de cobertura, não existindo ainda

55 INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper on cyber risk to

the insurance sector [Em linha]. [Basel] : IAIS, 2016. 56 PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of insurance [Em

linha]. Amsterdam : CRO Forum, 2014, p. 20. 57 PARSOIRE, Didier ; HEON, Sébastien - State of the cyber (re)insurance market. Focus [Em linha]. N.º

22 (April 2017) p. 28. 58 Ativos sem existência física, como softwares, patentes.




clausulados dos contratos de seguro cibernético totalmente definidos (com ausência de

definições específicas).

No entanto, tendo em conta que o risco cibernético está em constante crescimento,

a probabilidade de as seguradoras terem que pagar indemnizações por sinistros ocorridos

ao abrigo do seguro cibernético, é superior. Existe, portanto, aqui um contrabalanço: se

por um lado as seguradoras beneficiarão pela maior oferta e equivalente procura de

seguros cibernéticos, por outro, pagarão elevados montantes de indemnização. Não

obstante, o negócio das seguradoras não seria rentável se pagasse mais pelos sinistros do

que o que recebesse a nível dos prémios, existindo, portanto, uma margem suficiente para

a sua proteção.

Por outro lado, os avanços tecnológicos podem levar a incidentes de segurança

cibernética dentro das companhias de seguros. Os três riscos maiores riscos para as

seguradoras, relacionados com o risco cibernético, são a indisponibilidade de serviços

dos TI, violação de dados e perda de integridade de dados.59

Independentemente do tamanho ou das linhas de subscrição, todas as seguradoras

recolhem, armazenam e processam volumes substanciais de dados, incluindo informações

pessoais (como nome, data de nascimento, registos de saúde privada, etc.) e, muitas vezes,

confidenciais dos tomadores de seguro (dados dos investimentos dos clientes, para os

planos de pensão e seguros de vida, dados bancários, ou o património dos clientes para

os ramos das responsabilidades), tornando esta indústria bastante atrativa para os ataques

cibernéticos e, com elevadas partilhas de informação com terceiros. Isto acontece pela

elevada rede de conexão com outras instituições no mercado (e.g. resseguradores,

investimentos financeiros, prestadores de serviços, terciarização de serviços). Para além

deste facto, as mudanças na estrutura corporativa, através de fusões e aquisições, podem

da mesma forma afetar a exposição da empresa ao risco cibernético, com desafios

adicionais para integrar os processos.

As informações obtidas junto das seguradoras, podem ser utilizadas para obter

outro tipo de ganhos financeiros, através do crime cibernético, como extorsão, roubo de

59 PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of insurance [Em

linha]. Amsterdam : CRO Forum, 2014, p. 8.

Risco Cibernético


identidade ou apropriação indevida de propriedade intelectual.60 Para além disto, com as

novas coberturas de responsabilidade cibernética, as seguradoras dispõem de dados como

os controlos de segurança na rede de determinados segurados. Isto resulta em danos

graves para os segurados, no caso de um ataque cibernético, repercutindo-se na reputação

e na capacidade de condução de negócios da própria seguradora, com perdas financeiras

e de clientes, custos legais e operacionais de recuperação muito substanciais. Sendo que

os seguros se baseiam bastante na confiança, - que os dados do tomador de seguro sejam

protegidos, que os sinistros sejam pagos - quando ocorre uma violação de dados ou um

incidente de segurança cibernética (não sendo possível proceder ao pagamento dos

sinistros), esta confiança acaba por ser abalada, existindo um elevado dano de reputação.

Para aumentar a capacidade de resiliência61 do setor aos riscos cibernéticos, é

necessário um papel mais ativo dos supervisores das seguradoras na investigação (com

um papel relevante da ASF). O supervisor deve abordar este risco através de

regulamentação e de uma política de supervisão que envolva a segurança das informações

privadas detidas pelas seguradoras e outros intermediários que intervenham nestes

processos. Para além destas práticas, aquelas mencionadas no tópico supra, referente às

empresas, valem de igual forma para as empresas deste setor.

De acordo com PHILIPPE COTELLE, não são as seguradoras que percorrerão

este caminho, mas sim "regulation, as well as pressure from investors for more

transparency with regard to cyber risk management is what will motivate companies to

improve”62

4. PERSPETIVAS FUTURAS

A estrutura das sociedades em rede e a construção do ciberespaço traduzem-se em

características inerentes ao novo século, com o contínuo crescimento do risco cibernético

e dos seus riscos subjacentes.

60 INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper on cyber risk to

the insurance sector [Em linha]. [Basel] : IAIS, 2016, p. 9-10. 61 INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper on cyber risk…,

p. 13-14. 62 SCOR - Summary of the panel discussion on cyber risks and insurance for corporates : a true global risk

management approach and a need for further dialogue. Focus [Em linha]. N.º 22 (April 2017) p. 33.

“A regulamentação, assim como a pressão dos investidores para mais transparência no que diz respeito à

gestão do risco cibernético, é o que motivará as empresas a melhorar.”




4.1. QUARTA REVOLUÇÃO INDUSTRIAL

O mundo, num cômputo geral, enfrenta um período desafiante. A indústria está

em transformação, a uma velocidade vertiginosa, de forma transversal, falando-se de uma

nova Revolução Industrial, com a premissa de aumentar o rendimento global e melhorar

a qualidade de vida das populações.

Esta Revolução, a Quarta, está a provocar alterações profundas. Com base na

conectividade digital e com o uso massivo da internet, deparamo-nos com novas

potências emergentes a todos os níveis (tecnológico, económico e industrial) como a

China e a Índia. Através da interligação em rede de máquinas e sistemas de produção e

equipamentos, existe a criação de redes inteligentes e independentes ao longo da cadeia

de valores63 das empresas, controlando os processos de produção.

Também denominada como a Revolução 4.0 implicou uma mudança de

paradigma, quer nos sistemas de produção, quer nos modelos de negócio, em que a

“Internet das Coisas”64 65, a Inteligência Artificial66, a robótica, a biotecnologia,

nanotecnologia, veículos autónomos, o “Big Data”67, armazenamento de energia e a

impressão 3D são as questões fulcrais. O Big Data “can be a source of significant value

63 Michael Porter, na obra de Competitive Advantage de 1985, designa a cadeia de valores como a ideia de

ver uma organização como um sistema com subsistemas com inputs, processos de transformação e outpus.

Trata-se, portanto, do conjunto de atividades desempenhadas no processo das organizações, encontrando-

se as relações com fornecedores, ciclos de produção e de venda, até à distribuição final ao consumidor. 64 “É um conceito que significa interligar os aparelhos do dia-a-dia, máquinas, equipamentos de transporte,

eletrodomésticos, e mesmo pequenos objetos de uso diário à internet, interagindo entre si e “lendo” o

ambiente à sua volta através de sensores (temperatura, humidade, presença, etc), transformando objetos

estáticos em elementos dinâmicos de uma rede integrada, cujas centrais utilizarão essa informação de forma

inteligente. Prevê-se que esta forma de ligação digital estimule o surgimento de novos produtos e serviços

diferenciados.”, Vide PINHEIRO, Vanda Cardoso - Indústria 4.0 a quarta revolução industrial [Em linha].

Lisboa : Compete 2020, 2016. 65 Com a relação triangular entre as coisas-serviços-pessoas, através das plataformas digitais. 66 “AI encompasses all intelligent “agents” (computer systems) that have the capacity to learn, adapt and

successfully operate in dynamic and uncertain environments. They are mostly immaterial, or machines

without motor functions”, In KESSLER, Denis - How artificial intelligence will impact the (re)insurance

industry. Focus [Em linha]. (March 2018) p. 10. “A Inteligência Artificial engloba todos os “agentes”

inteligentes (sistemas computacionais) que têm a capacidade de aprender, adaptar e operar com sucesso em

ambientes dinâmicos e incertos. Eles são principalmente imateriais, ou máquinas sem funções motoras.” 67 Trata-se dos “sistemas informáticos que existem hoje em dia, os computadores de elevada capacidade e

as redes de comunicação abrangentes e de baixo custo, que fazem com que seja possível armazenar com

rapidez uma grande quantidade de informação, que depois de tratada e analisada em tempo real, facilitará

tomar decisões com base nessa informação de valor com mais precisão e confiança”, In PINHEIRO, Vanda

Cardoso - Indústria 4.0 a quarta revolução industrial [Em linha]. Lisboa : Compete 2020, 2016.

Risco Cibernético


for society, enhancing productivity, public sector performance and social

participation”68.

Segundo SCHWAB, escritor pioneiro sobre esta revolução, “O futuro do emprego

será feito por vagas que não existem, em indústrias que usam tecnologias novas, em

condições planetárias que nenhum ser humano já experimentou”. A substituição de

trabalhadores por máquinas pode trazer um aumento dos empregos que tragam maior

gratificação e segurança aos trabalhadores. De acordo com o estudo Man and Machine in

Industry 4.0: How will Technology Transform the Industrial Workforce Through 202569,

existirá um aumento de 6% no número de empregos até 2025 na Alemanha, na área das

TI e softwares.

No entanto, segundo os economistas ERIK BRYNJOLFSSON e ANDREW

MCAFEE,70 existe um risco de aumento de desigualdade. Com o conjunto limitado de

competências técnicas no mercado de trabalho, estima-se que, nos próximos cinco anos,

as principais economias mundiais irão perder aproximadamente cinco milhões de

empregos71, com alterações nas remunerações: cargos cognitivos e recreativos com

elevados salários, contrastando com ocupações manuais com diminuídos salários, que se

espera que acelere nos próximos anos em setores maioritariamente não-industriais. O

capital substituirá a mão-de-obra no setor dos serviços, observando-se aqui o fosso entre

os retornos do capital vs trabalho (sendo que os retornos de capital intelectual e físico,

com inovação, são bastante superiores aos retornos da mão-de-obra).

A Quarta Revolução Industrial revela a interdependência de redes de

infraestruturas críticas, incluindo transportes, energia, comunicações, água, resíduos

sólidos, trazendo grandes oportunidades para a inovação e riscos complexos inerentes.

Uma maior rede pode contribuir para o aumento da resiliência e aproveitamento das

economias de escala: com os ganhos já referidos em eficiência e produtividade, com a

68 COUNCIL OF EUROPE. Consultative Committee of Convention for The Protection of Individuals With

Regard to Automatic Processing of Personal Data - Guidelines on the protection of individuals with regard

to the processing of personal data in a world of big data [Em linha]. Strasbourg : Council of Europe, 2017.

“Pode ser uma fonte de valor significativo para a sociedade, aumentando a produtividade, o desempenho

do setor público e a participação social”. 69 LORENZ, Markus [et al.] - Man and machine in industry 4.0: how will tecnology transform the industrial

workforce through 2025 [Em linha]. Boston : Boston Consulting Group, 2015. 70 SCHWAB, Klaus - The fourth industrial revolution : what it means, how to respond [Em linha]. Geneva

: World Economic Forum, 2016. 71 CANN, Oliver - Five million jobs by 2020 : the real challenge of the fourth industrial revolution [Em

linha]. Geneva : World Economic Forum, 2016.




expansão contínua dos transportes e comunicações que levará a uma diminuição dos seus

custos. Isto permite a abertura a novos mercados com o impulsionamento do crescimento

económico. Para a sociedade, facilitará o acesso a volumes de informação e

conhecimento, comunicação e expressão da opinião, mobilizando o apoio social,

ambiental e político. Não obstante, a margem para falhas sistémicas aumenta, afetando a

sociedade relativamente a ataques cibernéticos.

4.1.1. AS EMPRESAS

Esta nova revolução, apesar de garantir mais e melhores oportunidades de

negócio, implica uma adoção de profissionais habilitados e preparados para auxiliar e

lidar com estes novos paradigmas, cujo valor central passará a estar na informação e nos

dados.

Segundo SCHWAB, as principais mudanças verificam-se no modelo de produção

e organização empresarial e no marketing e relação com o cliente, nomeadamente

“alterações nas expectativas dos clientes”, “produtos mais inteligentes e mais

produtivos”, “novas formas de colaboração e parcerias”, “transformação do modelo

operacional e conversão em modelo digital”.72 Com o surgimento de plataformas globais

e novos modelos de negócio urge a necessidade de adaptação imediata da cultura e forma

organizacional de cada empresa.

“A questão para todas as indústrias e empresas, sem exceção, deixou de ser “haverá

rutura em minha empresa?” mas sim, “quando ocorrerá a rutura, quando irá demorar e

como ela afetará a mim e a minha organização?””73

Portanto, o grande desafio para as empresas em relação aos recursos humanos, na

posição deste autor, passará por manter hierarquias flexíveis, com o poder menos

centralizado e com mais camadas a tomarem decisões, obter novas formas de

recompensar e medir desempenho. Dever-se-á apostar na qualificação dos recursos

humanos para estes novos processos e capitalizar as empresas para que consigam

implementar estas modificações e não ficarem em desvantagem competitiva.

A cadeia de valores ganha também uma nova forma, com um novo “ecossistema

digital” com uma troca constante e infinita de dados e informações, não só ao nível de

72 SCHWAB, Klaus - The fourth industrial revolution. Geneva : WEF, 2016, p. 7. 73 SCHWAB, Klaus - The fourth industrial revolution..., p. 21.

Risco Cibernético


fornecedores, mas também de clientes. Estes últimos deixam de ter uma experiência

passiva e passam a influenciar diretamente na conceção de soluções no mercado. Aqui,

será possível reduzir os custos logísticos, pois a troca de informações conduzirá a uma

maior difusão de conhecimentos e necessidades/pedidos, levando consequencialmente, a

um equilíbrio entre a oferta e a procura. Focando-nos do lado da oferta, as empresas

conseguirão antecipar-se à procura dos consumidores (pois dispõem de informação

adicional que anteriormente não dispunham), produzindo apenas o necessário,

controlando os stocks e evitando perdas. Adicionalmente, a eficiência no uso das

máquinas e o tempo de produção dos equipamentos melhora substancialmente,

reduzindo-se, portanto, os custos e otimizando os processos (com um aumento da rapidez

e qualidade da produção). Muito destes resultados deve-se a fatores como o

desenvolvimento do marketing, das vendas e dos canais de distribuição. Por outro lado,

relativamente à procura, os consumidores tornaram-se mais exigentes, com novos padrões

de consumo, construídos muitas vezes, através da opinião em massa potencializada com

o acesso às redes. Os clientes tornam-se assim no núcleo da economia, com os objetivos

a passarem pelo melhor atendimento dos mesmos por forma a corresponder às suas

expectativas. Concluindo, com este equilíbrio, os consumidores tiveram a possibilidade

de, através da tecnologia, ganhar novos produtos e serviços, capazes de aumentar a

eficiência e o prazer pessoal de cada um.

“Digital strategy and the integration of digital technologies into companies’

strategies and operations in ways that fundamentally alter the value chain is emerging as

a significant source of competitive advantage and driving dramatic changes in the

products and services companies bring to market, as well as how they do business”74

4.1.2. SETOR SEGURADOR

A seguradora, enquanto subscritora de um risco, tenta extrair o máximo de dados

possíveis, através de questionários e dados estatísticos, por forma a inferir o

comportamento do segurado. Por outro lado, o segurado pretende manipular o risco,

74 Radding apud WORLD ECONOMIC FORUM. Global Agenda Council on the Future of Software &

Society - Deep shift : technology tipping points and societal impact [Em linha]. Geneva : World Economic

Forum, 2015, p. 9. “A estratégia digital e a integração das tecnologias digitais nas estratégias e operações

das empresas de forma a alterar fundamentalmente a cadeia de valores, está a emergir como uma fonte

significativa de vantagem competitiva e a gerar mudanças dramáticas nas empresas de produtos e serviços

trazidas para o mercado, bem como as suas maneiras de fazer negócios.”




através da ocultação/deturpação de informação e manipulando os preços. Tudo isto

remonta-se à assimetria da informação existente neste setor.

No entanto, com os desenvolvimentos entusiastas da IA e do Big Data, as

informações são abrangentes, acessíveis a partir de diversas fontes e disponíveis em

tempo real e a menor custo75. A informação pode agora ser vista como um produto.

Produto esse, comercializável e processado através da IA, diminuindo assim a assimetria

da informação.

A InsurTech (tecnologia no setor de seguros) trata-se da digitalização da indústria

seguradora, com a utilização da IA, por forma a trazer valor acrescentado para a sua

cadeia de valores. Esta nova tecnologia acarreta novos canais de distribuição e um

aumento da concorrência, com uma vantagem competitiva para as empresas que a

utilizam. Segundo MICHAEL BRUCH,

“There is huge potential for Artificial Inteligence to improve the insurance value

chain. Initially, it will help automate insurance processes to enable better delivery to our

customers. Policies can be issued, and claims processed, faster and more efficiently”.76

Os benefícios prendem-se com uma melhoria da eficiência e precisão desde a

subscrição de seguros (de forma automatizada) e processamento de sinistros, até à análise

de risco, atenuando a carga administrativa e aumentando a capacidade das seguradoras

para monitorizar os riscos em evolução, com uma deteção de fraude e resposta a

reclamações mais eficaz. O conhecimento e perceção sobre os riscos aumenta, o que

permite a criação de novos produtos, personalizados, adequados às necessidades

crescentes dos clientes, com uma melhor correspondência entre o risco e o respetivo

preço, redefinindo a proposta de valor e redirecionando os colaboradores para uma função

mais comercial – o valor central é o cliente e a sua fidelização.

Segundo MICHAEL COOK77, consultor de sinistros na PWC,

75 KESSLER, Denis - How artificial intelligence will impact the (re)insurance industry. Focus [Em linha].

(March 2018) p. 8. 76 Michael Bruch, Head of Emerging Trends na AGCS. Vide SHEEHAN, Matt - Artificial intelligence risks

may outweigh benefits, reports Allianz. Reinsurance News [Em linha]. (29 mar. 2018).

“Existe um enorme potencial para a inteligência artificial melhorar a cadeia de valor dos seguros.

Inicialmente, ajudará a automatizar os processos de seguro para permitir uma melhor entrega aos nossos

clientes. As políticas podem ser emitidas e as reclamações processadas de maneira mais rápida e eficiente”. 77 Vide SHEEHAN, Matt - Digitalisation will ‘redefine’ insurance claims handling: PwC. Reinsurance

News [Em linha]. (12 Jul. 2018).

Risco Cibernético


“The future role of a claims professional will largely be driven by the type of claim –

simpler settlements will be dealt with through technology, freeing up time for experts to

work on more complex claims. New roles will also be created including a customer

concierge, new product development such as parametric driven insurance for climate

change, and the provision of loss prevention services.”78

Não obstante, este setor enfrenta também um elevado risco operacional. Este risco

advém, em grande parte, da terceirização do setor. De outra forma, o risco sistémico

também está aqui presente. Sendo que a IA é constituída por algoritmos, existe o risco de

todas as seguradoras/resseguradoras confiarem nos mesmos algoritmos, com os mesmos

inputs (inputs esses importados pelos Humanos) para os mesmos fluxos de dados. Isto

culmina num acumular de perdas para o setor caso todos os algoritmos tenham a mesma

falha. Desta forma, seria relevante efetuar análises/auditorias frequentes aos algoritmos,

com medidas de mitigação incorporadas.

Outrossim, existe uma preocupação particular para este setor que, para além de

interiorizarem nos seus métodos operacionais a IA, as seguradoras também irão,

tendencionalmente, segurar este risco, obrigando a uma análise e processamento da

informação, sinistros, por forma a conseguir avaliar e quantificar o mesmo. O

desenvolvimento destes algoritmos capazes de processar e extrapolar um volume infinito

de dados, permitiu o desenvolvimento de muitos serviços (e.g. acesso a crédito,

comercialização de seguros), descurando de um custo indireto valioso, a privacidade,

custo esse discutido devidamente no próximo capítulo.

Debruçando-nos no ramo Vida, as alterações são bastante significativas. Por um

lado, com o envelhecimento da população, as despesas médicas, os cuidados de longa

duração são superiores para as seguradoras. O mesmo acontece, com o perfil dos

segurados, que serão, à partida, mais “conservadores” à subscrição de novos métodos e

novos tipos de apólices, perturbando as relações com os segurados mais idosos. Por outro

lado, com as alterações na categoria biológica, como as inovações no campo da genética,

as pessoas idosas podem viver de forma independente e com maior longevidade, com

78 “O papel futuro de um profissional de sinistros será, em grande parte, impulsionado pelo tipo de sinistro

– os mais simples serão resolvidos por meio da tecnologia, permitindo maior tempo para que os especialistas

trabalhem em tipos de sinistros mais complexos. Também serão criados novos cargos, incluindo um

concierge do cliente, desenvolvimento de novos produtos, como seguros paramétricos para mudanças

climáticas, e o fornecimento de serviços de prevenção de perdas."




menor despesas e maior qualidade de vida, reduzindo os internamentos, custos e as taxas

de mortalidade para as seguradoras.

Relativamente ao ramo Patrimoniais, sendo que o erro humano se prende como a

principal causa dos sinistros, a automatização das máquinas poderá levar a uma menor

frequência de acidentes. No entanto, aqui nasce o problema da responsabilização: quem

é o responsável quanto existe uma falha na tecnologia? Provavelmente, o criador do

algoritmo, sendo que o erro humano estará sempre subjacente a todas estas novas

questões.

Quando falamos dos ramos acidentes de trabalho e acidentes pessoais, as

alterações são também notórias. Primeiro, através da IA, surgem novos tipos de

ferramentas de monitorização, com a substituição de maquinaria em situações mais

propícias a sinistros (e.g. refinarias, construção civil). Esta nova forma de subscrição

permite prever os riscos com mais precisão (novamente pelo enorme volume de dados),

reduzindo assim as perdas subjacentes e aumentando a exatidão no preço.

Destacando o risco financeiro, as novas tecnologias permitem auxiliar as

seguradoras a gerir o risco de liquidez e de crédito das suas atividades de investimento.

Repetidamente, pela análise e tratamento de um volume infinito de dados, é possível

melhorar as avaliações e previsões probabilísticas do comportamento dos fundos

financeiros analisando de melhor forma estes riscos e ainda os deveres e obrigações

regulamentares enfrentadas pelos gestores destes fundos.

A indústria seguradora era o setor dos dados. Hoje, o panorama mudou, e o

verdadeiro setor de dados é o setor TI79. A “Internet das Coisas” e o Big Data permitem,

com a enormidade de quantidade de dados existentes, uma maior gestão e interpretação

dos mesmos, sendo possível avistar um novo papel por parte das re/seguradoras e,

principalmente, das corretoras: um papel com maior peso em consultoria financeira e

gestão de risco, ao invés da simples subscrição/transferência de risco. Assim, pretende-se

combinar o Homem e a Máquina. Com esta junção, combina-se a criatividade e

79 KESSLER, Denis - How artificial intelligence will impact the (re)insurance industry. Focus [Em linha].

(March 2018).

Risco Cibernético


sensibilidade humana com a análise automatizada e sintetizada de grandes volumes de

dados (“Man Machine Learning”)80.

Não obstante todos estes benefícios, este tipo de modelo comporta-se de forma

semelhante aos modelos tradicionais, dependendo dos dados e de comportamentos

passados para prever riscos futuros. A única diferença é que é mais rápido e eficiente que

os modelos anteriores, pois lida com um volume de dados nunca antes medido. No

entanto, com os recentes desenvolvimentos dos riscos emergentes, deparamo-nos com

falta de informação passada sendo, na mesma medida, dificultada a sua análise. Espera-

se que, com os desenvolvimentos entusiastas da Quarta Revolução Industrial, e com o

desenvolvimento de aquisição de informação, no futuro, este tipo de modelo seja

amplamente bem-sucedido.

80 KESSLER, Denis - How artificial intelligence..., p. 8.

Regulamento Geral de Proteção de Dados


CAPÍTULO III – REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

1. ENQUADRAMENTO LEGAL: NOVO REGULAMENTO

Com a evolução tecnológica, qualquer indivíduo consegue aceder a dados

pessoais de qualquer ser humano, possibilidades essas a serem frequentemente utilizadas

de forma errada e abusiva. Neste sentido, e para garantir a segurança dos dados pessoais

e o direito à reserva da vida privada, exigiu-se a evolução do Direito, ainda obsoleto.

“Dados pessoais são qualquer informação, de qualquer natureza e

independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa

singular identificada ou identificável”81

Em primeiro lugar, a CRP consagra constitucionalmente a proteção de dados

pessoais, nos artigos 26.º e 35.º, prevendo como um “direito fundamental de cada cidadão

o acesso aos respetivos dados informativos, bem como retificação, a atualização, e ao

conhecimento da finalidade a que se destinam (…)”82.

Em segundo lugar, a Lei 43/2004 de 18 de agosto veio regular a Lei da

Organização e Funcionamento da Comissão Nacional da Proteção de Dados, sendo que a

Lei 32/2008 de 17 de julho “transpõe para a ordem jurídica interna a Diretiva nº

2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à

conservação de dados gerados ou tratados no contexto da oferta de serviços de

comunicações eletrónicas publicamente disponíveis ou de redes públicas de

comunicações”.83 Em terceiro lugar, a Lei 67/98 de 26 de outubro, a Lei de Proteção de

Dados Pessoais, “transpõe para a ordem jurídica portuguesa a Diretiva n.º 95/46/CE, do

Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das

pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre

circulação desses dados”84.

81 Conceito definido no art. 3.º, al. a) LPD (Lei de Proteção de Dados Pessoais, n.º 67/98, de 26 de outubro),

que transpõe para a nossa ordem jurídica a Diretiva nº 95/46/CE, do Parlamento Europeu e do Conselho,

de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de

dados pessoais e à livre circulação desses dados. 82 PEREIRA, Alexandre Libório Dias - Big data, e-health e «autodeterminação informativa» : a lei 67/98,

a jurisprudência e o regulamento 2016/679 (GDPR). Lex Medicinae – Revista Portuguesa de Direito da

Saúde [Em linha]. N.º 29 (2018), p. 3. 83 Vide LEI n.º 32/2008, de 17 de Julho : Conservação de dados gerados ou tratados no contexto oferta de

serviços de comunicações electrónicas. In PGDL : Procuradoria-Geral Distrital de Lisboa [Em linha].

Lisboa : PGDL, 2018. 84 Vide LEI n.º 67/98. Diário da República [Em linha]. Série I-A, n.º 247/1998 (26-10-1998).




Tendo em conta este progresso, e por se tratar de um problema transfronteiriço,

surgiu a necessidade de existir uma uniformização e homogeneização das normas

estabelecidas em todos os estados membros da União Europeia, emergindo assim o

“Regulamento Geral da Proteção de Dados”. Este Regulamento prende-se com o reforço

do direito fundamental à proteção de dados, como previsto na Carta dos Direitos

Fundamentais da UE e no Tratado de Funcionamento da UE, contribuindo para progresso

económico e social e consolidação e convergência, com a confiança necessária, das

economias no mercado interno.85

O RGPD teve aplicação obrigatória a 25 de maio de 2018, revogando assim em

Portugal, a Lei n.º 67/98, de 26 de outubro (que transpõe para a ordem jurídica Portuguesa

a anterior Diretiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro

de 1995). Importa clarificar que esta revogação não implica uma quebra entre os dois

sistemas, mas sim uma extensão de deveres e definições da anterior Diretiva para o

RGPD. Aplica-se assim a todas as pessoas singulares, independentemente da sua

nacionalidade ou residência (Considerando 14), remetendo-se para as jurisdições

nacionais a adequação do regulamento localmente.

Assim, segundo o artigo 3.º do RGPD, “o presente regulamento aplica-se ao

tratamento86 de dados pessoais efetuado no contexto das atividades de um

estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no

território da União, independentemente de o tratamento ocorrer dentro ou fora da União”.

Quanto às empresas não estabelecidas na UE, a legislação alarga o seu alcance territorial.

Desde que a sua atividade de tratamento de dados se prenda com a oferta de bens e

serviços aos titulares de dados pessoais da UE, aplica-se o disposto no regulamento.

O artigo 4.º n.º1 altera e amplia o conceito de dados pessoais: “informação relativa

a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada

85 Considerando 1, 2 e 7. 86 Também no regulamento, deparamo-nos com a definição de “Tratamento”, no Artigo 4.º, n.º 2:

“Tratamento, uma operação ou um conjunto de operações efetuadas sobre os dados pessoais ou sobre

conjunto de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo,

a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a

utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a

comparação ou interconexão, a limitação, o apagamento ou a destruição”. A lei abrange assim tratamento

de dados pessoais efetuados em território português ou dados pessoais situados no território português e

com base em videovigilância (Art.º 4.º n.º 4).

Aplica-se assim a dados automatizados e não automatizados. Se se aplicasse apenas aos dados

automatizados, deixar-se-ia uma abertura fácil de contornar as restrições do RGPD.



identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em

especial por referência a um identificador, como por exemplo um nome, um número de

identificação, dados de localização, identificadores por via eletrónica ou a um ou mais

elementos específicos da identidade física, fisiológica, genética, mental, económica,

cultural ou social dessa pessoa singular”.

Após análise do Artigo 5.º, verificamos assim os princípios elencados pelo RGPD.

Primeiramente, o princípio de “Responsabilidade”, através da criação da figura do

Encarregado de Proteção de Dados87, e pelo facto do responsável pelo tratamento ter que

responder por toda a implementação e conformidade com o Regulamento. Estabelece

também o princípio da “Licitude, Lealdade e Transparência”, com um tratamento

transparente, de forma lícita e legítima88, baseado no consentimento do titular dos dados.

De seguida, estabelece o princípio da “Limitação de Finalidade”, em que os dados

pessoais só poderão ser tratados para os fins determinados89, sendo que a legitimidade do

tratamento de dados pessoais dependerá também da finalidade do tratamento. Outrossim,

estabelece o princípio de “Minimização dos Dados”, sendo que os dados recolhidos

devem ser os necessários, pertinentes e limitados relativamente às finalidades para os

quais são tratados. O princípio da “Precisão e Exatidão” está também presente, com os

dados pessoais exatos, e atualizados, sempre que imprescindível90, assim como, o

princípio de “Limitação da Conservação”, em que os dados pessoais deverão ser

conservados de forma a identificar as pessoas durante o período acordado e necessário e

para os fins acordados91. Por último, dispomos do princípio de “Integridade e

Confidencialidade”, sendo que deverá ser garantida a segurança dos dados pessoais contra

o tratamento ilícito, bem como a sua integridade92. Analisando o Artigo 1.º detetamos a

referência ao princípio da “Livre Circulação”, como base de existência do regulamento:

proteger o tratamento de dados pessoais e a sua livre circulação.

O tratamento é lícito quando existe: (i) consentimento; (ii) a execução de um

contrato ou diligências pré-contratuais (do qual o titular dos dados é parte); (iii)

87 Remissão para os artigos 77.º (para apresentação de reclamação), 82.º e 83.º RGPD 88 Remissão para os artigos 6.º e 9.º 89 Remissão para o Artigo 26.º. Considerando 39. 90 Remissão para o Artigo 16.º 91 A conservação por períodos mais longos que o necessário poderá ser importante desde que seja para fins

de interesse público ou investigação científica, sendo obrigatória a adoção de medidas adequadas que

salvaguardam os direitos, liberdades e garantias do titular dos dados. 92 Remissão para os Artigos 32.º-34.º

https://www.privacy-regulation.eu/pt/77.htm






cumprimento de uma obrigação jurídica por parte do responsável pelo tratamento de

dados; (iv) proteção dos interesses vitais do titular dos dados; (v) a prática de funções de

interesse público ou a prática da autoridade pública responsável; (vi) os interesses

legítimos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os

direitos e liberdades fundamentais do titular cuja proteção dos dados pessoais se exige.93

Neste contexto, caso exista já uma relação pré-estabelecida com os clientes, é defensável

o tratamento dos dados com base no interesse legítimo do responsável do tratamento.

Assim, pela perspetiva comercial e organizacional, não será necessário requisitar o novo

consentimento, não sendo este o meio de licitude mais adequado.

Engloba assim novos conceitos, com as seguintes mudanças e adaptações:

i. Necessária a existência de uma base legal e de uma finalidade específica e lícita

para controlar e processar os dados pessoais (artigos 6.º e 7.º), incluindo o

consentimento9495 direto, específico e voluntário do titular dos dados, em

conformidade com as obrigações legais da entidade e dos deveres de informação

(artigos 7.º e 8.º da Carta dos Direitos Fundamentais da UE):

a) Este lê-se como uma declaração ou um ato positivo inequívoco, aceite pelo

titular dos dados a que estes sejam objeto de tratamento, de livre vontade,

de forma informada e explícita (Art.º 4.º, al) 11));

ii. Condições aplicáveis ao consentimento de crianças: só com idade igual ou

superior a dezasseis anos podem dar consentimento válido em relação aos

serviços da sociedade da informação (Art.º 8.º, n.º 1, Considerando 38):

a) No entanto, o regulamento admite que os Estados-Membros definam a

idade com que as crianças podem ter acesso aos serviços das TI, variando

entre os 13 e os 16 anos.

iii. Condições especiais para o tratamento de categorias especiais de dados

pessoais (Art.º 9.º, Considerando 51): “É proibido o tratamento de dados

pessoais que revelem a origem racial ou étnica, as opiniões políticas, as

93 PEREIRA, Alexandre Libório Dias - Big data, e-health e «autodeterminação informativa»…, p. 8. 94 Considerando 32 95 Apesar do consentimento existir na anterior diretiva, com o Regulamento, veio a adquirir uma maior

dimensão, com um alargamento do seu conceito.



convicções religiosas ou filosóficas, ou a filiação sindical, bem como o

tratamento de dados genéticos, dados biométricos para identificar uma

pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida

sexual ou orientação sexual de uma pessoa”;

a) Os dados de saúde, incluindo dados genéticos (Art.º 4.º al) 13),

Considerando 34), são considerados dados sensíveis;

b) O tratamento é proibido em princípio, exceto se existir: (i) consentimento

explícito do titular ou caso os torne públicos; (ii) cumprimento de

obrigações e direitos em matéria de legislação laboral, segurança social e

proteção social com base no direito da União ou dos Estados-Membros por

motivos de interesse público; (iii) defesa de direitos vitais do titular; (iv)

tratamento realizado por fundação, associação ou organismo sem fins

lucrativos, políticos, filosóficos, religiosos ou sindicais; (v) exercício ou

defesa de um direito num processo judicial; (vi) efeitos de medicina

preventiva ou do trabalho, diagnóstico médico, prestação de cuidados ou

tratamentos de saúde de ação social, por força de um contrato com um

profissional de saúde - sob reserva de sigilo profissional; (vii) interesse

público para investigação científica ou histórica para fins estatísticos.

iv. Direito à informação, em que o responsável pelo tratamento de dados deve

obter informação transparente e de fácil acesso e fornecê-la de forma

concisa, com linguagem clara e simples (Art.º 13.º);

v. Direito ao acesso, em que o titular pode solicitar ao responsável do

tratamento de dados a confirmação se os seus dados são objeto de tratamento

de dados, assim como tem o direito de aceder às informações como a

finalidade e a categoria dos dados pessoais em questão (Art.º 15.º);

vi. Direito de retificação, em que o titular pode solicitar a retificação dos seus

dados pessoais inexatos (Art.º16.º), sendo que lhe terá de ser comunicada a

retificação, apagamento ou limitação por parte do responsável pelo

tratamento, com o respetivo Direito à notificação (Art.º 19.º);




vii. Direito ao esquecimento96, em que um cidadão pode exigir a destruição

permanente dos seus dados pessoais. No entanto, apenas quando se justifique

um dos motivos enumerados nas alíneas do n.º 1 (Art.º 17.º): (i) deixaram de

ser necessários para as finalidades que motivaram a recolha ou tratamento;

(ii) o titular retira o consentimento que motiva o respetivo tratamento, e não

exista outro fundamento jurídico; (iii) o titular exerce o direito de oposição

nos termos do artigo 21.º, n.º 1 e/ou do n.º 2; (iv) os dados foram tratados

ilicitamente; (v) tem que ser cumprida uma obrigação jurídica decorrente do

Direito da União Europeia ou de um Estado-membro e (vi) os dados foram

recolhidos no âmbito do artigo 8.º, n.º 1;

viii. Direito de oposição/limitação ao tratamento dos dados97, em que o

cidadão pode exigir o não tratamento dos seus dados pessoais, mesmo ao

nível de campanhas de marketing (Art.º 18.º/21.º). No caso da oposição, deve

existir um equilíbrio entre os interesses do responsável pelo tratamento e do

titular dos dados;

ix. Direito à portabilidade dos dados, em que os titulares podem exigir a

migração dos seus dados de uma empresa prestadora de serviços para outra,

complementando o direito de acesso, em formato de leitura automática e uso

corrente (Art.º 20.º):

a) “O novo direito à portabilidade dos dados visa dar mais poderes aos

titulares dos dados em relação aos seus próprios dados pessoais, dado que

viabiliza a sua capacidade para transferir, copiar ou transmitir facilmente

dados pessoais de um ambiente informático para outro”98,

96 Considerando 65. 97 Para restringir/limitar o tratamento de dados pessoais pode-se recorrer a diversos métodos, como a

transferência temporária para outro sistema de tratamento, indisponibilização do acesso, retirada temporária

da Web. Considerando 67. 98 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações sobre o direito à

portabilidade dos dados [Em linha]. Bruxelas : Comissão Europeia, 2017.



x. Direito de oposição à definição de perfis automatizados99/profiling100,

não ficando o titular dos dados sujeito a nenhuma decisão tomada com base

no tratamento automatizado dos dados (Art.º 22.º, Considerando 71).

xi. Direito a ação administrativa e judicial contra os responsáveis pelo

tratamento dos dados, ou contra as decisões da autoridade de controlo,

podendo os titulares invocar danos patrimoniais e morais (Art.º 78.º-79.º);

xii. Accountability, elencado com o Princípio da Responsabilidade (Art.º 5.º, n.º

2), com a introdução de novas premissas de tratamento de dados: “Privacy

by Design” e “Privacy by Default”, que se tratam de medidas de minimização

de impacto e de segurança nos produtos e serviços oferecidos, com a

promoção de uma cultura de proteção de dados tanto na “conceção” como

por “defeito”. Relativamente ao primeiro, significa que, em cada novo

processo de negócios de serviços que utiliza dados pessoais, a organização

deve tomar uma posição de proteção desde o início do seu decurso (e.g.

pseudonimização; minimização do tratamento). Relativamente ao segundo,

quando um cliente obtém um novo serviço ou produto, as informações serão

apenas guardadas durante o tempo necessário. Ou seja, apenas serão tratados

os dados pessoais relativos às finalidades específicas e previamente definidas

(Art.º 25.º);

a) Pseudonimização, é uma técnica de reforço de privacidade, que vem

definida no art.º 4.º al) 5) e permite substituir as características de

identificação de dados com um pseudónimo, ou seja, em algo que não

identifique o sujeito diretamente (Considerando 28);

99 Remissão para Artigo 4.º n.º 4º. Forma de tramento automático dos dados pessoais para avaliar aspetos

pessoais relacionados com o titular dos dados (e.g. interesses, situação económica, saúde, localização). 100 “Broadly speaking, profiling means gathering information about an individual (or group of individuals)

and evaluating their characteristics or behaviour patterns in order to place them into a certain category

or group, in particular to analyse and/or make predictions about (…)”, in ARTICLE 29 DATA

PROTECTION WORKING PARTY - Guidelines on automated individual decision-making and profiling

for the purposes of regulation 2016/679 [Em linha]. Brussels : European Commission, 2018, p. 7.

“Recolha de informações sobre um individuo (ou grupo de indivíduos) por forma a avaliar as suas

características ou padrões de comportamento para colocá-los em uma determinada categoria ou grupo,

especialmente para analisar e / ou fazer previsões.”




xiii. Todas as atividades terão que ser devidamente registadas (Art.º 30.º),

prevendo-se uma exceção a essa obrigação, quando uma empresa emprega

menos de 250 colaboradores;

xiv. O responsável pelo tratamento de dados é o organismo que determina as

finalidades e os meios do tratamento. É a entidade que controla os dados e

pode recorrer a subcontratantes (Art.º 28.º). Uma vez que são equiparados

aos responsáveis pelo tratamento, e tendo que prestar todas as informações e

assistência necessárias ao mesmo, as obrigações dos responsáveis são

aplicáveis aos subcontratantes (Considerando 95), com um princípio de

responsabilidade solidária entre eles:

a) As responsabilidades do responsável e do subcontratante prendem-se com

o dever de segurança de tratamento, dever de notificação de uma violação

de dados pessoais à autoridade de controlo competente ou dever de

comunicação da violação ao titular dos dados (Art.º 32.º-33.º),

b) Estes devem adotar orientações internas por forma a estar em conformidade

e aplicar medidas que acompanhem os princípios de accountability,

procedendo à DPIA (Art.º 35.º), à consulta prévia (Art.º 36.º, Considerando

94) e designando o DPO (Art.º 37.º): “Tais medidas podem incluir (…)

transparência no que toca às funções e ao tratamento de dados pessoais, a

possibilidade de o titular dos dados controlar o tratamento de dados e a

possibilidade de o responsável pelo tratamento criar e melhorar medidas de

segurança.” (Considerando 78);

xv. É obrigatória a comunicação dos responsáveis pelo tratamento de dados à

Autoridade de Controlo Competente, de uma violação de dados101, até 72

horas após conhecimento do ataque (Direito de notificação em caso de

violação de dados pessoais, Art.º 33.º-34.º). Apesar de não ser necessário

avisar a autoridade supervisora e notificar o indivíduo se a violação de dados

não representar um risco para os direitos e liberdades dos indivíduos (e.g.

101 Remissão para Art.º 4.º, n.º 12, “(…) uma violação da segurança que provoque, de modo acidental ou

ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais

transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.



discriminação, perdas financeiras, prejuízos para a reputação102). É

necessária uma “justificação fundamentada” caso exista um atraso na

comunicação.

xvi. Avaliação de Impacto sobre a Proteção de Dados (DPIA) é uma avaliação

de risco, verificando o impacto das ameaças com a sua probabilidade de

ocorrência, efetuando uma auditoria dos processos organizacionais, para a

definição de estratégias de tratamento de dados pessoais. Esta é da

responsabilidade do responsável do tratamento e existe a obrigação de a

realizar quando o tratamento for “suscetível de implicar um elevado risco

para os direitos e liberdades das pessoas singulares”, quando existe

tratamento automatizado (incluindo definição de perfis) ou de dados

sensíveis, e em larga escala (Art. 35.º, Considerando 90). Inclui103:

a) uma descrição do tratamento,

b) a necessidade e da proporcionalidade do tratamento,

c) os riscos para os direitos e liberdades das pessoas em causa,

d) as salvaguardas e medidas para proteger contra esses riscos;

xvii. Figura do Encarregado de Proteção de Dados (DPO)104, designado pelo

responsável pelo tratamento e subcontratante, que deverá ter um forte

conhecimento da legislação e das operações de tratamento de dados, sendo

um pilar essencial nas empresas para o cumprimento no regulamento e na

criação de garantias para as organizações (Art. 37.º-39.º). Este pode ser um

colaborador da empresa ou contratado para o efeito. A nomeação é

obrigatória para as autoridades públicas, e para atividades em que tenham o

seu negócio central em tratamento de dados, que necessitam de

102 Considerando 75. 103 O Grupo de Trabalho 29 recomenda que a avaliação tenha em conta os seguintes critérios: (i) o tipo de

violação; (ii) a natureza, sensibilidade e volume de dados pessoais; (iii) facilidade de identificação de

indivíduos; (iv) gravidade das consequências para os indivíduos; (v) características especiais do indivíduo

(e.g se é criança); (vi) características especiais do controlador de dados; (vii) o número de indivíduos

afetados. Vide ARTICLE 29 DATA PROTECTION WORKING PARTY - Guidelines on Personal data

breach notification under Regulation 2016/679 [Em linha]. Brussels : European Commission, 2018, p. 24-

26. 104 Esta figura já havia sido identificada, ainda que a título facultativo, nos Arts.º 18.º, n.º 2 e 20.º, n.º 2, da

Diretiva 95/46/CE.




monitorização regular e sistemática dos indivíduos em larga escala (volume,

âmbito geográfico alargado), ou em categorias especiais de dados

(Considerando 97). O DPO tem um estatuto de independência e autonomia

dentro da organização e (i) deve cooperar com a autoridade de controlo

aplicável, com os titulares de dados; (ii) monitorizar as DPIA; (iii) informar

e aconselhar o responsável pelo tratamento ou o subcontratante; (iv)

controlar a conformidade com o regulamento (Art.º 39.º, n.º 1, b));

xviii. Extinção do mecanismo de autorização prévia pela Autoridade de

Controlo, a Comissão Nacional de Proteção de Dados (Art.º 28.º, Lei n.º

67/98, 26 de outubro), por originar cargos administrativos e financeiros

elevados, mas sem visibilidade em melhorias na proteção dos dados105. O

seu papel passa pela fiscalização do cumprimento das regras do RGPD e pela

promoção da sensibilização, compreensão e prevenção. Tem estatuto de

independência (Art.º 52.º) e é responsável pela cooperação com as

autoridades de controlo de proteção de dados dos outros Estados-Membros.

Dever-se-ão ser-lhe dados recursos financeiros e humanos e instalações

necessárias ao seu bom funcionamento106. O controlo financeiro a que cada

autoridade de controlo está sujeita nos termos do direito nacional não deve

afetar a sua independência107;

xix. Mecanismo de balcão único (“one-stop-shop”), para organizações que

tenham delegações em mais do que um país na UE, permitindo concentrar

uma única autoridade de controlo local para casos de tratamentos

transfronteiriços de dados. Aqui, insere-se a Autoridade de Controlo

Principal (Art.º 56.º), que tem como responsabilidade fundamental gerir a

atividade de tratamento transfronteiriço de dados. Para esta autoridade, é

necessário identificar o estabelecimento principal do responsável pelo

tratamento (onde se encontra a administração central108):

105 Considerando 89. 106 Considerando 120. 107 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -

Handbook on european data protection law [Em linha]. Luxembourg : Publications Office of the European

Union, 2018, p. 194. 108 Remissão para o Artigo 4.º, n.º 16. Considerando 127.



a) Para estas transferências pode-se declarar que o país terceiro oferece um

nível de proteção adequado (Decisão de Adequação), existindo a

transferência dos dados sem qualquer obtenção de autorização (Art.º 45.º),

b) Caso não exista uma decisão de adequação:

1. Não é necessária a obtenção de autorização da autoridade de controlo

quando existam (ii) instrumentos jurídicos vinculativos aplicados às

empresas, (iii) cláusulas-tipo de proteção de dados adotadas pela

Comissão Europeia, (iv) código de conduta, (v) procedimento de

certificação.

2. É necessário a obtenção de autorização da autoridade de controlo

competente através de (i) cláusulas contratuais vinculativas entre os

responsáveis pelo tratamento e os destinatários no país terceiro, (ii)

disposições nos acordos administrativos com os direitos concretos e

oponíveis aos titulares dos dados (Art.º 46.º);

xx. Promoção de códigos de conduta aprovados pela (Arts.º 40.º-41.º) e

mecanismos de certificação reconhecidos pelas autoridades de controlo por

forma a ficar comprovada a conformidade de todas as operações e

intervenientes com o RGPD (Arts.º 42.º-43.º, Considerando 100).

xxi. Criação do Comité Europeu para a Proteção de Dados (Art.º 68.º,

Considerando 139), com personalidade jurídica e um presidente, e composto

pelos diretores de cada uma das autoridades de controlo, por forma a

controlar e assegurar a correta e uniforme aplicação do regulamento,

aconselhar as comissões, emitir diretrizes, recomendações e melhores

práticas.

O não cumprimento das normas emergentes/decorrentes do Regulamento terá um

grande impacto: o responsável pelo tratamento é obrigado a indemnizar a pessoa que

tenha sofrido danos materiais ou imateriais. Está sujeita à aplicação de coimas pela

respetiva autoridade de controlo que podem ir até 20.000.000EUR ou até 4% do volume

de negócios da empresa (no caso de pessoas coletivas), consoante o montante mais

elevado, caso exista uma violação de princípios e direitos e incumprimento de ordens




impostas pela autoridade de controlo109. Caso haja um incumprimento de obrigações,

mencionadas no artigo 83.º n.º 4 ou n.º 5110, nomeadamente das obrigações do responsável

pelo tratamento e subcontratante ou do organismo de certificação e supervisão, é aplicada

uma coima até “10 000 000 Eur ou, no caso de empresa, até 2% do seu volume de

negócios anual a nível correspondente ao exercício financeiro anterior (…)”.

Porém, importa clarificar as exceções à aplicação do RGPD e aos direitos dos

titulares: a segurança do Estado e defesa e segurança pública; objetivos de interesse

público geral, nomeadamente económicos ou financeiros, de políticas de saúde ou

segurança social; a defesa do titular dos dados ou dos direitos e liberdades de terceiros111.

Relativamente às questões da liberdade de expressão ou tratamento jornalístico, cabe aos

Estados-Membros estabelecer regras específicas para estes casos, sendo obrigatória a

notificação à Comissão dessas disposições112. O acesso público aos documentos oficiais

para fins de interesse público investigação científica ou fins estatísticos deve ser

ressalvado dentro das normas do direito da UE. O tratamento destes dados deve ser feito

com medidas técnicas e organizativas que assegurem o Princípio da Minimização dos

Dados113. Partindo para o tratamento de dados pessoais no contexto laboral e verificando

o art.º 88.º n.º 1, os Estados-Membros podem estabelecer regras específicas para o

tratamento de dados pessoais neste caso114. Regras essas que regulam as condições para

situações de recrutamento, contrato de trabalho, saúde e segurança, igualdade, direitos e

benefícios e cessação de contrato. De outra forma, a Lei 87/2017, que estabelece as

medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo,

permite facilitar o acesso das autoridades judiciárias a informações de natureza fiscal,

sendo uma exclusão ao RGPD.

1.1. NECESSIDADE DA REFORMA REGULATÓRIA

O fenómeno da recolha de dados tem-se tornado uma realidade cada vez mais

frequente ao abrigo das novas tecnologias, sendo o seu tratamento, uma questão vital em

diversas dimensões da sociedade. O tratamento de dados é legítimo e necessário – tanto

109 Remissão para o artigo 83.º, n.º 5º e 6.º RGPD. 110 “Infrações menores” – Considerando 148 do RGPD. 111 Considerando 73. 112 Considerando 153. 113 Considerando 156. 114 Considerando 164.



para as empresas, estados e para os cidadãos.115 Para as empresas, é necessário para

verificar as necessidades do mercado, conhecer hábitos de consumo, tendências,

necessidades e apresentar uma oferta indicada e eficiente. Relativamente ao Governo,

numa dimensão macro, permite combater a criminalidade e prevenir doenças, pois mais

dados traduzem-se em maior informação e, consequentemente, num tratamento mais

eficaz dos dados históricos existentes. Os cidadãos acabam por sair também beneficiados

colateralmente, com os impactos positivos impostos na sociedade.

ROBERT VAN DEN HOVEN VAN GENDEREN116, diz-nos que existem quatro

tipos de razões morais e éticas para a proteção dos dados pessoais: (i) a prevenção do

dano – o uso indevido de dados pessoais por terceiros pode prejudicar o titular dos dados;

(ii) a desigualdade informacional – os dados pessoais são um ativo para a economia, para

estudos do comportamento dos consumidores, sendo que os seus titulares não dispõem

dos mesmos meios que os operadores económicos para verificar a forma como estes são

tratados; (iii) a discriminação – o significado dos dados e do seu tratamento pode mudar

consoante o contexto (e.g. cuidados de sáude vs propostas de marketing), podendo colocar

o titular em situações discriminatórias; (iv) a autonomia – a falta de privacidade que

enfrentam os titulares dos dados pode limitar as suas escolhas, levando a uma menor

autonomia na capacidade de decisão.

A necessidade de reformular a legislação resultou de diversos fatores: “o aumento

dos fluxos transfronteiriços e, em consequência, uma cada vez maior integração

económica, fruto, sem dúvida, da criação do mercado único, mas também em resultado

de um intercâmbio de dados que se verifica cada vez mais entre setores público e privado,

de uma evolução tecnológica contínua (…)”117 Na medida em que, várias empresas

estrangeiras dispõem de um papel chave no mercado europeu, com milhões de clientes

na UE, seria necessário sujeitar essas mesmas organizações às regras de proteção de

115 SLOOT, Bart - Legal fundamentalism : is data protection really a fundamental right?. In LEENES, R.,

ed. [et al.] - Data protection and privacy : (in)visibilities and infrastructures. New York : Springer, 2017,

p. 16. 116 VAN DEN HOVEN VAN GENDEREN, Robert - Privacy and data protection in the age of pervasive

technologies in AI and robotics. European Data Protection Law Review [Em linha]. Vol. 3, i. 3 (2017) p.

338 – 352. 117 SALDANHA, Nuno - Novo regulamento geral de proteção de dados : O que é? A quem se aplica?

Como implementar?. Lisboa : FCA, 2018, p. 15.




dados, alargando a proteção dos indivíduos e garantindo condições equitativas.118 Importa

aqui referir que, o RGPD se relaciona intrinsecamente com o risco cibernético, que tem

como maior impacto, conforme referido anteriormente, as violações de dados, questões

essas que o regulamento pretende regular.

O RGPD alinhou-se principalmente com a inevitabilidade de preservar os dados

pessoais e o seu valor, a sua recolha e gestão, sejam sistemas de gestão de capital humano,

sistemas de gestão da cadeia de abastecimento e sistemas de gestão de relacionamento

com clientes.119 Assim, a adoção deste enquadramento jurídico mais exigente, prende-se

com a necessidade primária, do direito fundamental de proteger o titular dos dados, a

todos os níveis, com o aumento da partilha de dados e a respetiva confiança das

organizações e os seus clientes e fornecedores; com uma imposição de novas obrigações

e novos direitos aos cidadãos, em contraponto com as obrigações impostas às entidades

das empresas e outras organizações públicas e privadas.

Surgiu assim uma nova economia, de rápido crescimento: a economia dos dados,

sem fronteiras digitais. Aqui, “os dados digitais são objeto de intercâmbio enquanto

produtos ou serviços obtidos a partir de dados em bruto”120, extraindo valor económico

intrínseco dos dados e criando aplicações para melhoria da vida em geral. O valor da

economia dos dados foi estimado em 272 mil milhões de euros em 2015, representando

1,87% do PIB da UE, estimando-se um aumento para 643 mil milhões até 2020121.

Confrontam-se aqui dois interesses, segundo MARIA EDUARDA

GONÇALVES122: o do indivíduo, que pretende ver as suas informações pessoais

salvaguardadas; das entidades públicas/privadas, que pretendem eficiência das novas

tecnologias, nas suas atividades, através da partilha e processamento de um maior número

de dados.

118 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -


Union, 2018, p. 31. 119 Vide IDC PORTUGAL – IDC GDPR Fórum [Em linha]. Lisboa : IDC Portugal, 2018. 120 SMART, 2013/0063, CID, 2016 apud UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao

Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões

«Construir uma economia europeia dos dados» [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 2. 121 UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao

Comité Económico e Social Europeu e ao Comité das Regiões «Construir uma economia europeia dos

dados» [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 2. 122 GONÇALVES, Maria Eduarda - Direito da informação : novos direitos e formas de regulação na

sociedade de informação. Coimbra : Almedina, 2003, p. 82.



“The choice is not with the company – the choice is with the people. It is for the

individual to judge. If the individual wants their data to be sold to third parties, searched

by advertisers – if an individual agrees to this, that is up to the individual. But the choice

is not with the company, the choice is with the people, that is European law.”123

2. IMPACTOS E DESAFIOS

O RGPD consiste na maior alteração dos últimos vinte anos na regulação europeia

referente ao tratamento de dados pessoais. Este apoiará o livre fluxo de dados pessoais na

UE e estimulará a concorrência equitativa entre os responsáveis pelo tratamento - entre

as empresas da UE e as empresas estrangeiras - tendo em conta que as normas utilizadas

no espaço europeu têm que ser igualmente aplicadas pelas empresas estrangeiras. Resulta

também num desenvolvimento do comércio e da cooperação internacional,124 pela fácil

mudança a nível de prestadores de serviços e estimulará o desenvolvimento de serviços

para o “Mercado Único Digital”125, aumentando a confiança dos consumidores.

O grande desafio passa por garantir o referido controlo sobre a privacidade dos

dados. A sociedade atual, com toda a proliferação de utilizadores – dependentes – da

Internet, redes sociais, do mundo digital, torna este controlo árduo, com a constante

partilha de dados pessoais. É necessária, adicionalmente, uma consciência de que, os

dados de localização, detetados em dispositivos portáteis e os endereços de IP, são dados

pessoais que identificam um indivíduo.

Um caso que acarretou uma enorme polémica envolveu o Facebook. Uma empresa

de análise de dados britânica utilizou os dados de milhões de utilizadores (cerca de 87

milhões), sem autorização prévia, para criar campanhas políticas personalizadas

(detetando esperanças, receios de cada um), com o objetivo de favorecer a campanha

eleitoral de Donald Trump, Presidente dos Estados Unidos da América e a decisão do

Brexit, favorecendo a saída do Reino Unido da União Europeia.126 Este grave problema

123 REDING apud ARTHUR, Charles - EU justice chief warns Google over 'sneaking' citizens' privacy

away. The Guardian [Em linha]. (1 mar. 2012). “A escolha não é com a empresa - a escolha é com as

pessoas. É para o indivíduo julgar. Se o indivíduo quiser que os seus dados sejam vendidos a terceiros,

procurados pelos anunciantes - se um indivíduo concordar com isso, isso depende do mesmo. Mas a escolha

não é com a empresa, a escolha é com as pessoas, isto é, a Lei Europeia.”. 124 SALDANHA, Nuno - Novo regulamento geral de proteção de dados : O que é? A quem se aplica?

Como implementar?. Lisboa : FCA, 2018, p. 133. 125 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações sobre o direito à

portabilidade dos dados [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 3. 126 Vide PEQUENINO, Karla - Facebook avisa cada utilizador que teve os dados expostos à Cambridge

Analytica. Público [Em linha]. (9 Abr. 2018)




despertou diversas violações do regulamento, que ainda não se encontrava em vigor.

Desde logo, a questão do consentimento - direto, específico e voluntário - que não foi

dado, à partida, pelos titulares dos dados. Outra questão que surge é o profiling, com a

definição de perfis automatizados, em que os titulares têm o direito à sua oposição.

Adicionalmente, a questão da transferência de dados pessoais para países terceiros, que

terá que ser realizada a decisão de adequação para verificar se o nível de proteção é

devidamente adequado. Caso o RGPD estivesse em vigor, e para com a empresa de

análise de dados britânica, os titulares dos dados teriam adicionalmente o direito de

oposição ou limitação do tratamento dos dados pessoais, bem como o direito ao

apagamento/esquecimento dos seus dados127 128.

Tal como verificado no caso descrito, a proliferação dos dados exige uma maior

consciência por parte dos titulares, sendo que a cooperação adquire também um papel

pertinente: as autoridades de controlo devem cooperar entre si e também com a própria

Comissão – Princípio da Cooperação e Assistência Mútua.129

Um conjunto elevado de responsabilidades, aplicadas ao responsável pelo

tratamento e/ou subcontratante, vem também subjacente ao tratamento de dados,

nomeadamente responsabilidades criminais, contraordenacionais, civil (com pedidos de

indemnização subjacentes), do foro disciplinar (com violação de deveres pelos

funcionários), social (com violações de ética)130.

2.1. AS EMPRESAS

Os impactos do RGPD fazem-se sentir de forma transversal, principalmente

quando falamos das organizações empresariais. Nesta questão, deve-se verificar o

conceito de empresa no TJUE, para aplicação dos artigos 101.º e 102.º do TFUE, sendo

uma unidade económica com empresa-mãe e eventuais filiais131.

127 Considerando 24 128 Apesar de já existir este direito na anterior Diretiva 95/46/CE, art.º 12.º. No entanto, atualmente, a

questão da responsabilização é que adquire um novo significado com o não cumprimento dos direitos dos

titulares. 129 SALDANHA, Nuno - Novo regulamento geral de proteção de dados…, p. 153. 130 SALDANHA, Nuno - Novo regulamento geral de proteção de dados…, p. 163. 131 GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Diretrizes de aplicação e fixação de

coimas para efeitos do Regulamento 2016/679 [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 6.



As Empresas, nas suas bases de dados, contêm um enorme montante de dados

pessoas, incluindo os dados dos colaboradores (com dados de recursos humanos e dados

sensíveis – Medicina do Trabalho), dos fornecedores e dos clientes. ARTURO

SALAZAR, Business Solutions Manager do SAS132, recomenda: “Aconselhamos que

comecem com uma sólida estratégica de governo de dados, para garantir que a tecnologia

e as políticas estão em vigor de forma a perceber onde os dados estão armazenados e

quem tem acesso a eles”.

Este novo regulamento faz com que as empresas prescindam de pedir autorização

de tratamento de dados junto da CNPD, que passa a ter um papel de mera supervisão,

diminuindo assim as atuais burocracias e custos e aumentando a sua responsabilidade

individual133. Passamos de um modelo de heterorregulação, com notificações e

autorizações obrigatórias por parte da CNPD para um modelo de autorregulação134. Este

modus operandi atual, permite, de igual forma, a construção de uma relação com o cliente

mais saudável e na base da confiança, com maiores níveis de transparência e proteção.

Com os deveres de consentimento, existem novas barreiras e regras mais

exigentes, obrigando as organizações a utilizarem alternativas e a correspondente

utilização de recursos, tanto humanos como financeiros, podendo existir aqui uma perda

de receita. Isto porque, os potenciais clientes poderão não consentir apenas por questões

de inércia e não porque o realmente não desejam consentir. Mas de facto, quando falamos

dos prospetos, o pedido de consentimento é a solução que menos risco comporta para o

responsável pelo tratamento, sendo que para os clientes atuais e antigos, o interesse

legítimo é uma condição de licitude válida para o responsável pelo tratamento. A

finalidade terá que ser claramente definida, sendo que os dados pessoais apenas serão

tratados quando existir uma finalidade claramente delimitada. Esta questão poderá

despertar aspetos negativos para os clientes: a burocracia aumentará, existirá mais papel

informativo, com maior exigência de assinaturas e, consequentemente, maior atenção por

parte de quem presta informações ao cliente e por parte do próprio que assina a

declaração.

132 Vide CARREIRO, Henrique, dir. - Mais de metade das empresas não compreendem consequências de

incumprimento do RGPD. IT Insight [Em linha]. (25 Out. 2017). 133 Considerando 89 do RGPD 134 A autorregulação é a capacidade de uma instituição regular-se a si mesma, ocorrendo a monitorização e

controlo, documentação da atividade, dentro das próprias instalações para estarem em conformidade.




Outra questão que se levanta prende-se com a notificação obrigatória em 72horas,

de violações de dados com risco para o titular, obrigando a deteção imediata por parte da

organização, sendo, na minha perspetiva, algo irreal. Esta obrigatoriedade de informar

aumenta a probabilidade de exposição mediática negativa e, consecutivamente, do risco

reputacional. No entanto, a notificação da violação de dados deve ser vista como uma

ferramenta que permite melhorar a conformidade em relação à proteção de dados

pessoais, passando o ónus para as entidades sobre as quais recaem grandes

responsabilidades.

Para se adaptarem às novas regras de proteção, os custos poderão ser muitíssimo

significativos. A própria implementação do regulamento implica custos operacionais,

desde formações (específica, obrigatória e contínua, exigida no domínio da legislação135)

revisão dos arquivos atuais, subcontratação de auditorias para ajudar na implementação

dos deveres. Segundo JOÃO FRADE136, “Para uma PME, o custo nunca fica a menos de

3000 euros. (…) A nossa experiência em clientes de média e grande dimensão permite-

nos estimar esse esforço entre os 50 mil e os 500 mil euros”. Estes custos poderão colocar

as empresas com menos capacidade em desvantagem competitiva.

O DPO, por si só, será um custo acrescido e tangível para muitas pequenas e

médias empresas. Será pertinente verificar a questão da imparcialidade: deverá ser uma

pessoa interna ou uma nova entidade externa? Isso tudo dependerá da capacidade

financeira da empresa e da existência, ou não, de alguém competente para o cargo. Não

obstante, é possível verificar também uma vantagem competitiva para as empresas, pois

esta nova figura, além de facilitar a conformidade com o RGPD (com os novos

instrumentos de responsabilização – e.g. DPIA), serve de intermediário entre as

autoridades de controlo, as empresas e os titulares de dados.

Igualmente necessário será manter os registos sobre tratamentos de dados, com as

avaliações do impacto e adotar princípios exigidos de proteção: privacy by design e

privacy by default, obrigações essas, bastante onerosas, que tomam também bastante

tempo aos colaboradores. A DPIA também se insere nesta questão, como uma nova

realidade. A sua realização e constante revisão é bastante relevante para efeitos de

135 Remissão para os Artigos 34.º b), 39.º b), 47.º n), 70.º v) 136 É sócio da Delloite que trabalha na área de risco. Vide SÉNECA, Hugo - RGPD : regulamento de

proteção de dados pode custar meio milhão às maiores empresas. Exame Informática [Em linha]. (24 mai.

2018).



melhoria contínua e trata-se de um instrumento de apoio às tomadas de decisões relativas

ao tratamento dos dados, identificando os riscos e combatendo-os numa fase incial.

Com todos estes novos investimentos, com custos elevados para as empresas, para

além dos feitos em melhores soluções tecnológicas para responderem adequadamente aos

novos direitos dos cidadãos, estes serão, muito possivelmente, por forma a compensar a

diminuição da capacidade financeira da empresa, repassados para os seus clientes, através

do aumento do preço dos seus produtos e serviços. Por outro lado, para se alinharem com

o RGPD, pode existir um investimento e financiamento de recursos totalmente focado no

mesmo, descurando de outras áreas de defesa cibernética da organização, investindo

enfaticamente na conformidade com o regulamento e não apostando totalmente na

prevenção e mitigação do risco cibernético.

O grande alarme do RGPD prende-se com as coimas bastante avultadas, com a

CNPD a atuar em conformidade. A aplicabilidade destas coimas terá de ser de forma

consistente e coerente por todas as autoridades de supervisão para todas as violações

equivalentes e com impacto semelhante, sendo que estas constituem o elemento central

do novo regime e uma ferramenta de execução das autoridades de controlo137. A medida

utilizada por estas deve ser “efetiva, proporcionada e dissuasiva”138 e exige uma avaliação

individual para cada caso139. A coima pode também ser imputada a todas as empresas

constituintes (empresa-mãe e filiais), ou ainda tendo em consideração o volume de

negócios de todas as empresas constituintes (Art.º 83.º, n.º 4), o que aumenta

consideravelmente o valor final da coima.

Segundo PAULA PANARRA140, diretora geral da Microsoft Portugal, existem

três mitos relativamente ao RGPD: (i) que se traduz num obstáculo ao desenvolvimento

económico e ao negócio das empresas; (ii) que o seu impacto está circunscrito à área

tecnológica ou processual; (iii) que o regulamento é de difícil implementação. Segundo a

diretora, "é importante compreender que o RGPD é muito positivo na medida em que

137 O considerando 13 do RGPD diz-nos que a aplicação de sanções equivalentes em todos os Estados-

Membros, conjuntamente com uma cooperação entre todas as autoridades de controlo, serve para “evitar

que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno”. 138 Remissão para o Artigo 83.º, n.º 1 139 Remissão para o Artigo 83.º, n.º 2 140 Breaking GDPR: Become a Master – Vide MICROSOFT NEWS CENTER - Apenas 2,5% dos decisores

considera que a sua organização está preparada para lidar com o RGPD [Em linha]. [S.l.] : Microsoft,

2018.




reforça os direitos individuais dos cidadãos em relação a uma área tão sensível como a

privacidade, é uma oportunidade para as empresas porque lhes permite reorganizarem

processos e revisitarem a sua política de dados criando condições para extraírem todo o

potencial e valor dessa informação, e permite à Europa posicionar-se como um espaço de

referência mundial para quem pretende viver e investir num ecossistema seguro em

termos de respeito por direitos individuais e por uma forma ética de fazer negócios".

Quanto aos desafios, a nomeação do DPO e uma Política de Privacidade que

garanta a proteção, confidencialidade, privacidade e disponibilidade dos dados pessoais

são fundamentais para o contexto das organizações. Para além desta nova figura, todas as

equipas das organizações deverão estar em conformidade com estas questões, passando

pela formação e sensibilização dos departamentos, desde os recursos humanos até ao

marketing e comercial, com auditorias internas para verificar o acompanhamento dos

requisitos de conformidade relacionados com a privacidade.

Quando falamos do profiling, para efeitos de marketing direto141, este poderá ser

considerado um interesse legítimo para o responsável de tratamento (Considerando 70),

uma vez que existe um interesse económico na realização do tratamento de dados,

refletindo-se numa melhoria na prestação de serviços e oferta de produtos (criando boas

oportunidades de negócio). O óbvio a evitar será o potencial discriminatório, reduzindo e

condicionando a capacidade de escolha dos titulares dos dados. Pelas vantagens que este

tratamento acarreta, pode trazer, da mesma forma, tentação por parte das empresas de

recolher largas quantidades de informação e trabalhá-las de forma incorreta, criando um

perfil íntimo e exaustivo do titular e afastando dois dos princípios que regem o tratamento:

Princípio da Minimização dos Dados e o Princípio da Conservação.

De igual forma relevante, é o direito à portabilidade de dados. Nestas situações,

os Estados-Membros têm a liberdade para estabelecer regras específicas, a aplicar no

direito nacional, reforçando as exigências aplicáveis, que garantam a defesa e proteção

dos titulares dos dados. Urge, portanto, a questão da existência de regras especiais na

141 Remissão para a Lei n.º 41/2004, que regula a realização de comunicações não solicitadas, entre elas o

marketing direto. Se verificarmos o art.º 13.º A, este diz-nos que é obrigatória a obtenção do consentimento

expresso e prévio do titular dos dados pessoais. Existem, no entanto, exclusões a esta questão (art.º 13.º A,

n.º 3), sendo que não é necessário consentimento caso o responsável pelo tratamento tenha obtido os dados

do cliente: (i) no contexto da venda de um produto ou serviço; (ii) a comunicação seja para fins de marketing

direto dos seus próprios produtos ou serviços análogos aos transacionados; (iii) desde que garanta aos

clientes em causa, clara e explicitamente, a possibilidade de recusarem.



regulação desta transferência entre entidades que prestem serviços financeiros, banca,

seguros e de comunicações. Isto porque, com a portabilidade de dados de uma empresa

para outra, violações de dados, quebras de segurança, são sempre passíveis de acontecer.

O mesmo acontece com o direito a ser esquecido. É importante verificar também que,

tendo em conta a velocidade da circulação da informação, estes direitos muitas vezes

podem se tornar inaplicáveis, sobretudo quando envolve o ciberespaço. Verificando

também o setor da saúde, dever-se-á restringir este último direito, dado que para analisar

o historial médico de um paciente, os seus dados pessoais de saúde, não deverão ser

apagados, dependendo destes, muitas vezes, a vida futura de um doente.

A transferência de dados para países fora da UE e do Espaço Económico Europeu,

trará também alguns desafios, sendo que os dados pessoais não podem ser transferidos, a

menos que garantam o mesmo nível de proteção de dados142. Verifica-se aqui um grande

desafio na sua implementação, especialmente com empresas não europeias que lidam com

dados pessoais da UE, concluindo-se que a política de comércio internacional ainda não

está totalmente em linha com o RGPD. É um facto que, se os dados pessoais atravessam

as fronteiras da UE, o risco para os titulares aumenta, com menos capacidade de resposta

e proteção dos seus dados. É aqui necessária, uma cooperação ainda mais intensa entre as

autoridades de controlo.143

CARLOS FIGUEIREDO, Diretor de Specialties da Marsh, indica que a

implementação do RGPD é uma oportunidade que “permite ter uma visão mais ampla e

estratégica da gestão do risco cibernético. A conformidade com as novas regras,

transforma o que geralmente é visto como uma restrição numa vantagem competitiva”.144

De facto, o novo regulamento vem forçar as organizações a reverem toda a sua

gestão de risco cibernético. Este não se cinge apenas a questões jurídicas e de TI, sendo

necessário a implementação transversal nas organizações, de um sistema de gestão de

risco, de segurança da informação e a adoção de novos comportamentos. É necessária a

existência de formação especial, com uma consciencialização dos colaboradores para o

142 Considerando 101 143 Considerando 116, Artigo 50.º 144 BEXIGA, Sónia - Proteção de dados leva risco cibernético para o topo das preocupações das empresas.

Jornal Económico [Em linha]. (23 out. 2017).




cumprimento dos direitos dos cidadãos e um reforço nos requisitos de segurança de forma

a garantir os dados privados e uma deteção e resposta eficaz aos casos cibernéticos.

2.2. SETOR SEGURADOR

As obrigações mais desafiadoras para o setor segurador, tendo em conta o

tratamento dos dados, prendem-se com a especificação dos motivos para o tratamento,

qual o período de retenção de dados adequado, ou seja, qual o tempo que as seguradoras

podem armazenar/deter os dados dos seus clientes, e as questões da categoria especiais

de dados. Para este setor, toda a informação é necessária tanto para efeitos estatísticos

como para probabilísticos145, por forma a adaptar as coberturas e os limites de

indemnização às necessidades dos clientes e, para prever e analisar riscos.

É importante discriminar, dentro do setor segurador, os impactos para as

corretoras e, separadamente, para as seguradoras, uma vez que as corretoras são as

intermediárias e, muitas vezes, agem como subcontratadas das seguradoras.

No caso das seguradoras, prever-se um decréscimo na oferta, pelo simples facto

dos clientes, por inércia, não prestarem o consentimento, não existindo a renovação

automática de contratos de seguro, uma vez que quando o contrato termina, a finalidade

extingue-se. Assim, prevêem-se clientes menos informados, muitas vezes subseguros e

mais insatisfeitos por toda a burocracia necessária.

Para o tratamento de categorias especiais de dados (nomeadamente genéticos,

biométricos e de saúde), consagrados no artigo 9.º n.º 1, desenvolvidos tanto no ramo

Vida como ramo Não Vida, onde o tratamento de dados de saúde para fins de subscrição

de seguro é bastante frequente, torna-se necessária a obtenção de consentimento explícito

(requisitos do art.º 7.º). Assim, o pedido de dados pessoais sensíveis por parte das

seguradoras e corretoras torna-se agora mais restrito. O n.º 4 do artigo 9.º diz-nos que os

Estados-Membros têm a possibilidade de estabelecer condições e formalidades próprias

no tratamento deste tipo de dados, permitindo-nos questionar quais os limites do

estritamente necessário – que é, per si, um conceito indeterminado. A verdade é que não

145 Veja-se aqui a Lei dos Grandes Números, teorema fundamental para este setor. Este teorema diz-nos

que, sendo a amostra crescente, a média da amostra tenderá para a média da população. Isto significa que

a seguradora, com base na agregação de riscos e na Lei dos Grandes Números, pode diminuir os custos das

apólices, com a venda do maior número possível das mesmas, cobrindo assim as perdas. Vide PORTO

EDITORA - Lei dos grandes números [Em linha]. Porto : Porto Editora, 2018.



é possível subscrever um produto de cobertura de risco vida/morte/doença/saúde, sem

dados clínicos do cliente. É, por isso, bastante alarmante o facto de se eliminar todos os

dados de saúde, deixando muitas pessoas “desprotegidas”. A grande questão para as

seguradoras prende-se pela existência de um enorme vazio legal. Enquanto se espera pela

legislação nacional, questões como o consentimento expresso para o acesso a dados de

saúde dos titulares e de pessoas falecidas encontram-se nesta zona cinzenta. Para os

seguros de vida, por exemplo, apenas após a morte do segurado é que os beneficiários

têm direito a receber a indemnização, tendo que ser comunicados os seus dados.

Ao destacarmos as transferências internacionais, verificamos uma mais-valia para

este setor. Os custos e os prazos envolvidos na transferência de dados são reduzidos,

sendo que as seguradoras com várias sucursais em diferentes países europeus,

necessitavam de notificações e aprovações demoradas para envio de dados para empresas

fora da UE. Com a questão do mecanismo de balcão único (“one-stop-shop”),

concentrando uma única autoridade de controlo local, torna-se o caminho administrativo

mais curto e menos dispendioso, com uma maior segurança jurídica para o setor. No

entanto, aquando de um evento de violação de dados, e visto que as autoridades de

controlo/supervisão de todos os Estados-Membros envolvidos precisam de ser

consultadas, este mecanismo acaba por não se mostrar tão eficiente. Não obstante, note-

se que, muitas vezes, no setor segurador, os requisitos para subscrição de seguros,

dependem da lei de cada Estado-membro, não existindo assim um intercâmbio tão grande

na oferta de bens e serviços pelas seguradoras ao nível internacional.

No que toca às corretoras de seguros, com estes novos pedidos de consentimento

prevê-se uma alteração do seu papel. Os clientes, por tanta questão burocrática (prestar

consentimento à corretora e à seguradora), com este duplo consentimento, poderão deixar

de contratar os serviços da corretora e deslocarem-se diretamente à seguradora. Terá que

existir uma adaptação do papel das corretoras a esta nova realidade.

Quanto aos impactos comuns, no caso do profiling, este permite, de certo modo,

uma maior eficiência e economização dos recursos. Assim, o novo direito de oposição à

definição de perfis acarreta algum impacto ao setor segurador, pois o processo de

subscrição engloba o perfil sistemático e automático de indivíduos. Podendo ser

considerado um contrato, as atividades de perfil para fins de subscrição poderão

permanecer permitidas. No entanto, quando se trata de marketing direcionado, para algum




tipo de solução de seguro, é necessário sempre um consentimento por parte do titular. É

imprescindível fazer uma análise exaustiva em cada empresa deste setor e verificar quais

as que requerem consentimento explícito.

O novo direito à portabilidade dos dados aplica-se a grande parte dos dados

pessoais detidos pela indústria seguradora. O problema surge pelo facto de que as

seguradoras ou corretoras dispõem da informação e dos dados de forma separada, ou seja,

para os processos de subscrição existe um sistema e, para os processos de reclamação e

gestão de sinistros, existirá outro sistema ou base de dados. Este setor necessita de se

preparar devidamente para este tipo de pedidos, através de códigos de conduta específicos

para estas situações, e para fornecer os dados dos clientes a outras empresas.

Com a nova cultura de proteção de dados por design e padrão, é necessário adaptar

todas as áreas de negócio e o planeamento do mesmo. Tudo isto acarreta um custo

adicional para o setor, com a formação dos funcionários. No entanto, a indústria

seguradora, por necessitar de gerir o seu risco operacional146, já dispõe de bastantes

mecanismos e sistemas apropriados para o tratamento de dados, com a anonimização dos

dados pessoais que já não são necessários e a pseudonimização.

Será relevante também formar códigos de conduta147 que verifiquem as

características do setor e, consequentemente, as necessidades de cada empresa

(especialmente das pequenas e médias), adequando essas mesmas realidades ao RGDP.

Com as elevadas coimas trazidas pelo regulamento, o risco cibernético e,

consequentemente o RGPD, trazem também novas oportunidades para este setor, com a

maior subscrição de seguros cibernéticos. O RGPD será bastante semelhante aos

regulamentos em vigor nos Estados Unidos da América148. Uma vez que estes têm sido

um fator importante para o crescimento da indústria de seguros cibernéticos, prevê-se o

mesmo para a UE. As empresas sentem a necessidade de cobrir este risco e transferi-lo

146 “O risco operacional é definido como o risco de perdas resultantes de procedimentos internos

inadequados ou deficientes, do pessoal ou dos sistemas, ou ainda de eventos externos, tais como a

subcontratação, catástrofes, legislação ou fraude externa, incluindo ataque informático. Esta definição

inclui os riscos jurídicos, mas, de uma perspetiva de requisito de capital, exclui os riscos resultantes de

decisões estratégicas e os riscos de reputação. O risco operacional também inclui o risco de verificação do

cumprimento e de conduta do Cliente.”, in ZURICH - COMPANHIA DE SEGUROS VIDA - Relatório

sobre a solvência e a situação financeira 2016 [Em linha]. Lisboa : Zurich, 2017. 147 Considerando 98 148 PARSOIRE, Didier ; HEON, Sébastien - State of the cyber (re)insurance market. Focus [Em linha]. N.º

22 (April 2017) p. 25.



para o mercado segurador, aumentando assim a subscrição deste tipo de seguro –

indemnizando os custos e despesas incorridos pelos tomadores na sequência de violações

de dados. Não obstante, por outro lado, o risco de cobrir as empresas que processam

dados pessoais também aumenta, dada a elevada exigência para garantir o cumprimento

do regulamento.

Os impactos neste setor são superiores nas seguradoras em comparação com as

corretoras, sendo que, grande parte das vezes, com o acompanhamento da gestão

contratual feito por estas últimas, acabam por impactar consequencialmente, enquanto

subcontratadas das seguradoras. É necessária uma revolução interna por forma a

demonstrar conformidade e evitar as elevadas coimas.

3. PERSPETIVAS FUTURAS

No passado, a privacidade foi percebida como um direito de proteger os

indivíduos contra a interferência das autoridades públicas. Hoje, a privacidade pode ser

ameaçada pela interferência dos poderes das autoridades privados, com o uso da

tecnologia e análise preditiva nas decisões dos cidadãos.149

De um modo geral, com o RGPD prevê-se uma maior facilidade na resolução de

problemas cibernéticos no âmbito da violação de dados, pelo facto de existir uma base

mais sólida a nível de regulamentação. A segurança da proteção dos dados aumentará.

No entanto, os funcionários, em regra, não estão preparados e não dispõem de formação

necessária.

A nova “Era Tecnológica” trará, certamente, vantagens económicas significativas

para as empresas. Avista-se um possível aumento do volume de negócios, uma maior

facilidade na gestão de risco, um estímulo na economia e inovação, potenciando a sua

expansão e refletindo-se em benefícios reputacionais. Além de evitar a vinculação a um

único prestador de serviços, perspetiva-se a oportunidade de inovação e da partilha segura

de dados pessoais entre os responsáveis e os titulares.

149 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -


Union, 2018, p. 349.




Os procedimentos internos necessitam de ser revistos e assegurados, por forma a

existir uma conformidade com a aplicação da norma ISO 27001: Confidencialidade,

Integridade e Disponibilidade, sendo “o padrão e a referência internacional para a gestão

da Segurança da Informação”150. Esta tem como princípio a adoção pela organização de

requisitos específicos exigidos, processos e controlos para efetuar uma gestão e mitigação

do risco apropriada. Existe, portanto, um modelo para “estabelecimento, implementação,

operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da

Informação”151, com uma abordagem holística à segurança das TIC.

Outrossim, a Diretiva NIS, sobre segurança de redes e sistemas de informação,

veio também estabelecer uma uniformização da legislação na UE, relativamente à

cibersegurança e à prevenção de incidentes cibernéticos na Europa. Esta diretiva, à

semelhança do RGPD, visa aumentar a cooperação entre os Estados-Membros, criando

uma cultura de segurança, com notificações às autoridades públicas, que não comprometa

os serviços básicos e os setores críticos da sociedade. Impõe, da mesma forma, obrigações

aos serviços de energia, saúde, banca, etc., e aos provedores de serviços digitais por forma

a gerir riscos e a garantir a segurança das redes e sistemas de informação.

Da mesma forma, o Privacy Shield UE-EUA152, criado em 12 de julho de 2016,

declara que os EUA garantem um nível adequado de proteção de dados pessoais

transferidos da UE. No seguimento dos códigos de conduta e mecanismos de certificação,

este prevê-se como um mecanismo de elevada relevância.

A BEUC153, afirma que os novos conceitos de “privacy by design” e “privacy by

default” devem tornar-se em “fundamental guiding principles in the online

environment”154. Acrescentando também que, o legislador europeu, deve garantir uma

inovação contínua e “clareza quanto à aplicação prática e a interdependência de atos

jurídicos específicos”.155

150 Vide INTEGRITY - O que é a norma ISO 27001? [Em linha]. Lisboa : Integrity, 2018. 151 Vide INTEGRITY - O que é a norma ISO 27001? [Em linha]. Lisboa : Integrity, 2018. 152 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -


Union, 2018, p. 257. 153 BEUC, The European Consumer Organisation. A Organização Europeia de Consumidores 154 “Princípios orientadores fundamentais no mundo online”. Vide JABLONOWSKA, Agnieszka -

Protecting privacy online : GDPR and e-privacy directive revisited [Em linha]. Bristol : Society for

Computers and Law, 2016. 155 Vide JABLONOWSKA, Agnieszka - Protecting privacy online…



Importa agora referir que as coimas avultadas subjacentes ao RGPD, sujeitam as

empresas e os indivíduos a criarem barreiras mais consistentes, a utilizarem alternativas

de diversificação do risco cibernético a que, no panorama atual, todos estamos sujeitos.

É necessária uma investigação profunda em cada violação de dados, por forma a apurar

os factos e tomar todas as circunstâncias em consideração. Assim, com o aumento do

risco cibernético e com as novas exigências regulamentares, prevê-se um aumento na

subscrição de seguros cibernéticos.

De igual forma, a sua interpretação revela-se também um desafio. O RGPD diz-

nos que as empresas deverão estabelecer um nível “razoável” de proteção de dados156,

existindo uma margem abrangente quando se avalia multas por violações de dados e a

não conformidade com o regulamento. É igualmente necessária a existência de um nível

único de proteção de dados para todos os Estados Membros, pois interpretações diferentes

do regulamento podem levar a níveis díspares de privacidade para cada empresa. É,

portanto, primordial que o bom senso oriente a interpretação deste regulamento. É por

isso que, cada Estado-Membro, tem que avaliar as “medidas técnicas e organizativas”

mais adequadas. No entanto, é também necessário um acompanhamento por parte do

legislador, em garantir que o regime jurídico acompanha a realidade que regula.

Segundo STEWART ROOM157, cyber security e data protection partner na PwC,

o RGPD,“(…) will impact every entity that holds or uses European personal data both

inside and oustide of Europe”158.

A proteção de dados tem uma importância primordial na nova época digital, mas

é importante não tornar a sua leitura demasiado fundamentalista. Dever-se-á manter o

objetivo primário da legislação: regular o uso e transferências de informação, existindo

um propósito legítimo para a sua utilização. Não se deve impedir o processamento e o

fluxo de dados sem uma justificação devida, comprometendo a livre prestação de serviços

e conduzindo a uma “fragmentação do mercado, diminuição da qualidade dos serviços e

156 Remissão para o artigo 32º do RGPD 157 Vide BUSINESSCLOUD - EU data protection rules will affect everyone [Em linha]. Manchester :

BusinessCloud, 2016. 158 “Terá impacto em todas as entidades que detêm ou utilizam dados pessoais europeus, tanto dentro como

fora da Europa”




enfraquecimento da competitividade dos prestadores de serviços de dados”159. Segundo

MICHAEL BOBEK160, “in sum, common sense is not a source of law. But it certainly

ought to guide interpretation of it. It would be most unfortunate if protection of personal

data were to disintegrate into obstruction by personal data.”

A proteção do tratamento dos dados pessoais é um dos principais objetos de

reflexão. Segundo JORGE MARTINEZ BATALHA, “cada entidade terá que avaliar

casuisticamente as medidas a tomar para mitigar os riscos inerentes a cada operação de

tratamento de dados pessoais”.161 Esta não pode ser transferida ou terceirizada, sendo

necessária a aplicação de políticas efetivas e apropriadas.

A questão da Quarta Revolução Industrial no RGPD desperta também algumas

preocupações futuras, nomeadamente na responsabilização por violações de dados.162 A

IA e as decisões automatizadas, que envolvem algoritmos, suscitam este tipo de questões

pois a identificação do responsável, pela complexidade e quantidade de dados gerados,

não é atribuída com total certeza. O RGPD dispõe de um quadro jurídico para

responsabilizar os responsáveis pelo tratamento, no entanto, os algoritmos e IA são

produtos. Nesse sentido, encontramo-nos novamente num vazio legal que deverá ser

colmatado, por forma a acompanhar as exigências trazidas pelo novo panorama

tecnológico. O mesmo acontece se pensarmos nos novos princípios do “Privacy by

Design” e “Privacy by Default”, que têm inerentes o princípio da minimização, limitação

e da precisão dos dados, algo que não se coaduna com o Big Data.

A conformidade com o regulamento não é uma escolha, mas sim uma obrigação

legal. As autoridades de controlo devem cooperar entre si e com a Comissão Europeia,

com um constante intercâmbio de experiências e informações. É fundamental o contacto

com parceiros especializados, como especialistas em TI, advogados e seguradoras,

159 UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao

Comité Económico e Social Europeu e ao Comité das Regiões «Construir uma economia europeia dos

dados» [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 4. 160 AG (Advocate General) BOBEK “Em suma, o senso comum não é fonte de lei. Mas certamente deve

orientar sua interpretação. Seria muito lamentável se a proteção de dados pessoais se desintegrasse em

obstrução por dados pessoais”. Vide HOPKINS, Robin - Don’t be a data protection fundamentalista. Local

Government Lawyer [Em linha]. (16 Feb 2017). 161 BATALHA, Jorge Martinez - Novos Desafios sobre a Proteção de Dados. ResPublica : Revista Lusófona

de Ciência Política, Segurança e Relações Internacionais [Em linha]. N.º 16 (2017) p. 201-217. 162 EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -


Union, 2018, p. 356.



distinguidos para compreender melhor os riscos subjacentes e dar o seu contributo,

através dos conhecimentos técnicos, para a mitigação dos mesmos e proteger os balanços

da empresa. Devem ser criados os recursos e estruturas adequadas à sua atividade,

evitando que o responsável pelo tratamento e o subcontratante invoquem a falta de

recursos para tornar legítimas as violações do RGPD.

Case Study


CAPÍTULO IV - CASE-STUDY

1. RISCO CIBERNÉTICO

A MDS, enquanto empresa do setor segurador, atuando como corretora, enfrentou

alguns desafios para se adaptar ao emergente risco cibernético.

Os procedimentos internos relativos ao TI na MDS são diversos. Para o

armazenamento de informações/ficheiros internos, existem três diretórios: a pasta Pública

(X:), a Local (C:) e a Data (G:) – o último com os respetivos departamentos. Estes

diretórios têm backup automático diário. Tendo em conta as impressoras, é necessário

sempre digitar o código de segurança de cada colaborador e o e-mail é o meio de

comunicação “oficial” da MDS, em que cada colaborador tem disponível uma mailbox,

com um backup efetuado diariamente e de forma automática.

Se nos focarmos na questão relativa à ameaça do risco cibernético no setor

segurador, existiram algumas adaptações em conformidade com o que já foi apresentado

em cima. Primeiro, não se sentiu a necessidade de alterar o sistema informático pois, se

relacionarmos estas alterações com o RGPD, ainda não existem diretrizes específicas,

com um vazio legal sobre as medidas técnicas a tomar e as alterações ao sistema

informático a realizar. O hardware e as infraestruturas de TI apresentam um sistema de

segurança credível, com os computadores encriptados, pertencentes a cada um dos

colaboradores, com utilizadores e passwords individuais e não transmissíveis, com

renovação periódica mensal e com impossibilidade de repetição. O software e as

aplicações de TI apresentam, da mesma forma, um nível de segurança elevado, com

acesso restrito a colaboradores a cada “Pasta de Departamento” à qual estes não

pertencem. As autorizações para downloads são da mesma forma limitadas, sendo que,

qualquer instalação de software, carece de autorização pela equipa de TI. Informações

pessoais de titulares dos dados são expressamente proibidas de serem mantidas na Pasta

Pública/de acesso geral da MDS, no armazenamento em cloud pessoal (como a dropbox,

que não seja o Google Drive Corporativo) e no computador do colaborador. Os sistemas

têm proteção contra vírus, sistematicamente atualizados, com protocolos seguros de

transmissão de dados e acessos por terceiros à Organização. Existe também uma parceria

com a S21sec, uma empresa de cibersegurança líder na prestação de serviços de proteção

de infraestruturas críticas, softwares, dados pessoais. Os serviços que disponibilizam




incluem a avaliação da maturidade de uma organização para a segurança da informação,

auditorias técnicas, ações de sensibilização e formação, monitorização contínua de

segurança, equipas de resposta a incidentes críticos de segurança e análise forense.

Relativamente aos acidentes cibernéticos verificou-se uma resposta rápida e eficaz

durante o ano de 2017, como é possível verificar nos gráficos abaixo.

Figura 4 - Indicadores Cibernéticos Helpdesk 2017163

O OPEX164 do ano de 2017 foi quase de 21.000.000 EUR, sendo que para IT

correspondeu a 5,6% (cerca de 1.000.000 EUR), relevando aqui o elevado investimento

em prevenção e segurança cibernética165. Após análise do relatório de contas, constante

no anexo I relativo aos ativos intangíveis, é possível verificar que em 2016, o ativo

intangível no final do ano era de EUR 1.884.623,56, sendo que o ativo bruto de software

(manutenção e desenvolvimento) era de EUR 7.647.054,54, com um valor líquido166 de

626.446,35. Durante este ano houve o investimento nos ativos intangíveis de EUR

327.616,59, entre eles o da MDS Affinity. Já em 2017, o ativo intangível era de EUR

1.203.409,79, sendo que o ativo bruto de software era de EUR 7.677.335,81,

correspondendo a um valor líquido de 88.494,82. Os aumentos nesta rubrica dizem

respeito a investimentos no desenvolvimento de software operacional relativos à gestão

de carteiras e de prémios da empresa e na elaboração do portal de interação com os

clientes da empresa, verificando-se a adoção de uma política de resiliência desde 2016.

163 TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017, p. 3. 164Operational Expenditure – despesas operacionais para manter ou melhorar os bens físicos de uma

empresa, tais como equipamentos, propriedades e imóveis. In MAVERICK, J.B. - What is the difference

between CAPEX and OPEX? [Em linha]. New York : Investopedia, 2018. 165 TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017. 166 Valor líquido = Ativo bruto – Amortizações acumuladas

Case Study


Os principais projetos atingidos no ano de 2017 para a MDS, ao nível cibernético,

prendem-se com a utilização de novos servidores e serviços de impressão, com a

renovação/inovação das impressoras, permitindo um acesso mais simples. Foi também

implementado uma melhoria no Projeto CRM167, com a aposta na evolução do Proximity

e o Agility168 e um upgrade do SAP169. Se nos focarmos na questão da Quarta Revolução

Industrial e a aposta em novas plataformas e modelos de negócio, verificamos que a MDS

aposta na digitalização, com a utilização de sistemas como o Phoenix170 e o Proximity171,

e a utilização do Bitsight172. A InsurTech está cada vez mais presente na empresa.

Figura 5 - Principais Projetos 2017173

167 Customer Relationship Management - gestão do relacionamento com o cliente - é a identificação,

aquisição, desenvolvimento e retenção de clientes lucrativos, através de um relacionamento constante,

eficaz e eficiente com estes. 168 Agility é uma solução de gestão do relacionamento com o cliente (CRM), complementar ao Phoenix,

que irá atuar na gestão dos clientes atuais, prospects, no marketing comercial e que, cumulativamente, será

crucial para a consolidação da informação dos portais de parceiros e clientes. 169 SAP, sistema de gestão financeira da MDS. 170 Plataforma interna para colaboradores da MDS, que assegura o backoffice, a gestão dos clientes,

apólices, sinistros. Sistema totalmente em cloud. 171 Plataforma eletrónica para clientes MDS, que permite o acesso online, de forma rápida e segura, à

carteira de seguros da empresa, histórico de pagamentos, apólices em qualquer hora. 172 A BitSight transforma a forma como as empresas gerem o risco de terceiros, subscrevem políticas de

seguro cibernético, avaliam o desempenho de segurança e avaliam o risco agregado com os Ratings de

Segurança. Vide BITSIGHT TECHNOLOGIES – BitSight : the standard in security ratings [Em linha].

Cambridge : BitSight Technologies, 2018. 173 TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017, p. 5.

RGPD 21%

Integração de Seguradores

0%

Integração APP GIS14%

Segurança11%Storage

8%

Renovação / Inovação parque

20%

Upgrade SAP12%

Proximity 10%

reformulação Brandinsurance

4%




É possível concluir que, para o departamento de TI, a grande ocupação foi a

implementação do RGPD - caso analisado no próximo tópico – seguido da

renovação/inovação parque (impressoras).

Verificamos também que, com a tecnologia no setor segurador (InsurTech) cada

vez mais desenvolvida, o trabalho de corretagem pura está cada vez mais à margem da

prioridade da empresa. Neste momento, a preferência é a consultoria e gestão de risco

(com a Herco, focando-se na prevenção dos riscos catastróficos). A consultoria passa pela

análise do clausulado e coberturas, efetuando um trabalho exaustivo de recomendações e

alterações como melhorias às apólices em vigor, com prospetos e due dillingence.

Diversas formações e palestras foram também transmitidas pela MDS, por forma

a despertar a carência das empresas para a sua proteção cibernética.

Por outro lado, se nos focarmos na questão relativa ao risco cibernético como um

risco a segurar, a MDS, enquanto fundador e membro da Brokerslink, beneficia de uma

solução de seguros desenvolvida no mercado Lloyd’s, o Pocydon, que confere um grau

de proteção elevado na dimensão da responsabilidade perante terceiros e,

simultaneamente, em sede de danos próprios, tratando-se de um produto integrado, com

equipas de respostas a incidentes e peritos. A distribuição foi bastante bem-sucedida; os

clientes sentiram a necessidade de procurar um seguro que se adequasse às suas

necessidades cibernéticas e que garantisse ambas as coberturas, aumentando a procura

com o aumento subsequente das comissões da empresa e o seu ativo. Em 2016, apenas

dois clientes tinham pedido cotação para seguro cibernético, enquanto que em 2017 se

verificou um aumento para quatro clientes. O aumento na procura e na concretização dos

pedidos deu-se no primeiro semestre de 2018, com três novos pedidos de cotação, com a

concretização efetiva do contrato de seguro. Atualmente, cerca de seis pedidos de cotação

(Pocydon) estão pendentes de resposta definitiva por parte dos clientes. Por outro lado,

surgiram novos pedidos relacionados com a Quarta Revolução Industrial, nomeadamente

pedidos de cotação para veículos autónomos.

Conclui-se assim que se verifica uma política de resiliência cibernética, com a

identificação precoce, a prevenção e a resposta eficaz a falhas tecnológicas, com uma

constante supervisão por parte do setor de TI. Avista-se também uma necessidade

Case Study


constante de evolução e acompanhamento das inovações tecnológicas acarretadas pela

InsurTech, colmatando este risco com o sucesso na mediação de seguros cibernéticos.

2. REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

A implementação do novo regulamento demonstrou ser um desafio constante para

a MDS.

Primeiramente, criou-se o Grupo de Trabalho Data Protection, constituído por

cinco colaboradores da MDS, tanto da área jurídica como tecnológica, incluindo a Dr.ª

Ana Cristina Borges, para assegurar a conformidade. Este Grupo de Trabalho trabalhou

em parceria com uma equipa de consultores, (nomeadamente da MLGTS e da Delloitte),

com o levantamento, avaliação e definição de um plano de ação para mitigar as atuais

limitações face aos requisitos do RGPD, e adoção das medidas de transformação para

assegurar a monitorização contínua associada à proteção de dados. Tornou-se obrigatória

a consulta ao Grupo antes do desenvolvimento de projetos ou parcerias, tendo sido criado

um endereço de e-mail específico para qualquer questão levantada pelos parceiros,

fornecedores ou clientes. Tomou-se a atitude de autorregulação imposta pelo novo

regulamento.

Adicionalmente, foram realizadas ações de formação “Data Protection” nesta

matéria. Para um nível mais básico, foi feita para todos os colaboradores, de caráter

obrigatório, sujeita a uma avaliação de conhecimentos, com os princípios gerais de

proteção de dados. Para um nível intermédio, para colaboradores com envolvimento

superior em matéria de dados pessoais, foi feita uma formação de aprofundamento dos

procedimentos subjacentes ao RGPD. Para um nível avançado, para as equipas técnicas,

houve uma formação de tratamento especializado de dados pessoais, como acessos aos

sistemas, hardware, gestão de crises.

Outrossim, uma revisão do arquivo foi obrigatória. Todos os documentos com

dados pessoais sem finalidades foram destruídos, tendo em conta o prazo de conservação

admitido pelas seguradoras.

Foi também fundamental, em primeira instância, verificar quais os departamentos

que tratam dados pessoais, para que se pudesse definir claramente as finalidades que

englobam o tratamento de dados da empresa. Posteriormente, qual a sua base de licitude




e os prazos de conservação associados, de acordo com cada legislação em cada caso

concreto.

Após estas análises, criou-se a nova “Política de Privacidade” 174 da empresa, que

foi enviada por correspondência eletrónica para todos os clientes. Esta encontra-se

enquadrada no corpo normativo para a proteção de dados pessoais da MDS, estabelecendo

orientações para a adoção de padrões de segurança e definindo os tratamentos,

finalidades, bases de licitude, direitos dos titulares e o período de conservação dos dados.

Esta nova Política vai de encontro à Proteção, Confidencialidade, Privacidade e

Disponibilidade dos dados pessoais. O mesmo aconteceu com a “Política de Cookies” 175,

que teve a sua devida alteração por forma a proporcionar um acesso seguro, personalizado

e eficiente aos utilizadores do website.

A implementação per si passou por várias etapas, dividindo-se em duas análises:

(i) Clientes, (ii) Recursos Humanos, sendo que a última ainda está em curso. Primeiro,

foi criado um framework com a análise/inventário de todos os tratamentos de dados na

MDS, com a identificação das condições de tratamento e recursos ainda a implementar

para alcançar um nível de conformidade total com as exigências conjeturadas no RGPD.

Segundo, após identificação das áreas que carecem de melhoria, ou seja, das lacunas

existentes em cada área, iniciou-se o processo de remediação, com as medidas

organizativas transversalmente aplicadas a todos os tratamentos de dados pessoais da

MDS, sejam clientes, colaboradores ou terceiros. Aqui, verifica-se o nível de

desconformidade entre o que está a ser feito e as normas do RGPD, elaborando uma

estratégia de conformidade e definindo um modelo jurídico, procedimental e tecnológico

para a relação entre as diversas empresas do Grupo. Os normativos internos foram

revistos e novas políticas foram elaboradas, com a revisão de todos os consentimentos

existentes e contratos com subcontratantes, adaptando-os para o RGPD.

Sendo assim, chegou-se ao seguinte quadro final, relativa à implementação nos

Clientes:

174 Vide MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de privacidade de

clientes [Em linha]. Porto : MDS Group, 2018a. 175 “Os cookies são ficheiros informáticos (software) de reduzida dimensão que são armazenados no

Dispositivo do utilizador, através do seu navegador de internet, por ocasião do acesso ao website.” Vide

MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de cookies [Em linha]. Porto

: MDS Group, 2018b.

Case Study


Finalidades Categorias de Dados Base Licitude Prazos de Conservação Justificação

Registo e Prova de

Transações Comerciais e

Informações Pré-

contratuais

70, 71

Dados de gravação de chamadas; dados

de identificação do tomador e pessoas

seguras, lesados e beneficiários; dados

identificação do objeto seguro

Diligências pré-

contratuais

No que respeita aos prazos do branqueamento

de capitais, sugerimos que esta referência seja

feita apenas na finalidade de cumprimento de

obrigações legais, já que poderá causar

confusão e levar a que os dados acabem por

ser conservados para outros fins. Por outro

lado, neste caso concreto, o prazo em causa

apenas seria aplicável se fossem recolhidos

os dados previstos na Lei n.º 83/2017, de 18

de agosto, durante a gravação de chamadas.

Assim, e de acordo com a deliberação, os

prazos seriam (i) 90 dias desde a gravação da

chamada, como prazo geral, (ii) no caso de

celebração de contratos à distância, o prazo

de duração do contrato, admitindo-se a

conservação até ao cumprimento de todas as

obrigações emergentes do contrato.

Os 3 meses dizem respeito às gravações que

impliquem transações comerciais. As gravações

que impliquem transações de operações

financeiras são 7 anos, mas as que sejam sem e com

períodos de fidelização são 6 meses após o período

de vigência do contrato*. No que diz respeito às

gravações de chamadas são os tais 6 meses.





Acompanhamento da

Gestão e Execução do

Contrato

64-71, 73

Dados de identificação do tomador,

pessoas seguras, e beneficiários, dados

identificação do objeto seguro

Execução do contrato Duração contrato seguro

Deliberação n.º 7680/214 da CNPD e Código

Comercial Art.º 40.º, Lei 83/2017 Art.º 51.º,

Código IRC Art.º 123 Arquivo digital do contrato

de seguro 10 Anos após cessão do Contrato.

O prazo de retenção que se colocaria só e apenas,

seria o da relação contratual acrescidos dos tais 6.

Prospeção comercial

70 e 71

Dados de identificação do titular,

pessoas seguras e beneficiários; dados

identificação do objeto seguro.

Consentimento 1 ano

Marketing e

Comunicação

70 e 71

Dados de identificação do titular,

pessoas seguras, e beneficiários; dados

identificação do objeto seguro.

Interesses legítimos 1 anos após cessação do contrato/1 Ano

(Worksites Particulares)

Art.º 51.º da Lei n.º 83/2017, de 18 de agosto, Art.º

40.º Código Comercial, Art.º123º Código IRC.

Os 7 anos dizem respeito ao worksite para

empresas e 1 ano para particulares.

Case Study



Gestão de Reclamações/

Processos Judiciais

64-71, 73


pessoas seguras, lesados e

beneficiários; dados de registo de

sinistros no ramo vida; dados de registo

de sinistros no ramo saúde; dados de

registo de sinistros no ramo acidentes

de trabalho; dados de registo de

sinistros no ramo acidentes pessoais;

dados de registo de sinistros no ramo

automóvel; dados de registo de

sinistros noutros ramos; dados de saúde

e hábitos de vida

Interesses legítimos Duração do Litigio/Duração da reclamação

Melhoria Qualidade

Serviço

70


pessoas seguras, lesados e

beneficiários; dados de gravação de

chamadas.

Interesses legítimos 12 meses e 3 meses para gravação de

chamadas





Cumprimento das

Obrigações Legais

64 ao 73


pessoas seguras, beneficiários, dados

de cobrança

Cumprimento de

obrigações legais

10 anos*, 7 Anos para o cumprimento de

obrigações em matéria de prevenção do

branqueamento de capitais e financiamento

do terrorismo.

Deliberação n.º 1039/2017 da CNPD, Solicitado

autorização CNPD 23/10/2017

*Prazo: acresce sempre o seguinte prazo de segurança:

- 1 mês (para questões de notificações e citações);

- até 2 meses (para questões técnicas relacionadas com a eliminação, quando não for possível implementar uma rotina automática de eliminação; havendo esta rotina, acresce apenas o prazo

necessário inerente à mesma, que será necessariamente mais curto);

- 6 meses (no caso de eliminação dos suportes documentais). para tratamento do respetivo processo administrativo

Case Study


Para além dos dados pessoais tratados pela empresa mencionados no quadro

acima, a MDS trata, da mesma forma, os casos em que os titulares sejam menores de

idade. No entanto, as categorias especiais referidas, são apenas tratadas enquanto

subcontratante, eliminando em seguida os dados pessoais dos titulares após remissão para

a seguradora. Nos casos de dados sensíveis, com questionários de vida ou saúde, a MDS

deverá reencaminhá-los para o segurador, eliminando-os do sistema interno da empresa.

Tendo em conta a Política de Privacidade, a MDS tem dois papéis distintos:

responsável pelo tratamento e subcontratante.

Nos casos em que esta é responsável pelo tratamento, define as finalidades.

Primeiramente a MDS trata de dados para a execução de um contrato/realização de

diligências pré-contratuais: para registo e prova de transações comerciais e informações

pré-contratuais (como pedidos de simulação de propostas de seguro), ou para

acompanhamento da gestão e execução do contrato. Seguidamente, para o cumprimento

de obrigações legais a que a MDS está sujeita, como obrigações de retenção, pagamento,

efeitos fiscais ou pedidos de autoridades públicas (Autoridade de Supervisão de Seguros

e Fundos de Pensões), ou em matéria de prevenção e combate ao branqueamento de

capitais. Posteriormente, tanto para a satisfação de interesses da MDS como para a

satisfação de interesses dos clientes: para a melhoria da qualidade do serviço (e.g. estudos

de mercado), nos casos do marketing e comunicação, na gestão de reclamações, e para

prospeção comercial. Dever-se-á assim garantir a atualização do registo de todas as

atividades de tratamento de dados pessoais.

A MDS age como subcontratante das seguradoras, quando procede ao tratamento

dos dados por conta de outra entidade, sendo que as finalidades serão assim definidas

pelas mesmas. O seu tratamento prende-se com o acompanhamento da gestão do contrato

de seguro em que o titular de dados faça parte e a gestão de sinistros. Nestes casos, deverá

conservar um registo de todas as atividades de tratamento de dados pessoais realizados

em nome do responsável pelo tratamento, sendo este serviço formalizado através de

contrato176. Após a cessação do mesmo, tem de ser assegurado o apagamento de todos os

dados. Os serviços prestados pelos subcontratados serão revistos de acordo com o risco

176 Caso estes contratos já estejam formalizados vão ser necessárias adendas aos mesmos.




que estes comportam. Para (i) baixo risco, são revistos de três em três anos; (ii) médio

risco, anualmente; (iii) alto risco, semestralmente; (iv) risco crítico, trimestralmente.

Relativamente ao DPO, a MDS não terá um encarregado próprio, sendo que irá

partilhar os serviços com a SONAE.

Relativamente à DPIA, foram adotadas medidas relativamente ao seu processo:

Figura 6 - Processo DPIA177

A avaliação preliminar tem o objetivo de avaliar se as condições em que o

tratamento ocorre, obrigam à realização da DPIA. A caracterização do tratamento avalia

o contexto, determinando os impactos dos riscos para os titulares dos dados. O

cumprimento normativo pretende analisar os controlos aplicados pela MDS para garantir

a conformidade com o RGPD. O risco de segurança avalia o risco de proteção dos dados

com as medidas utilizadas pela empresa, nomeadamente no setor TI. A validação é a fase

final, com o objetivo de documentar o processo e efetuar consultas prévias à Autoridade

de Controlo. Durante a sua execução, o responsável pelo tratamento deverá envolver uma

equipa constituída pelo departamento legal da MDS, o gestor de risco cibernético,

nomeadamente a equipa de TI, e a administração.

Aquando de um incidente de segurança de dados pessoais, o colaborador que o

identifique deverá comunicar o email interno da MDS para o efeito, do Grupo de

Trabalho, com a informação descritiva do acidente, com o tipo de violação de dados

pessoais, a origem do incidente, a natureza dos dados e a extensão do incidente, no

máximo em 72 horas. Estes incidentes podem ser divididos em três violações: violação

de confidencialidade (divulgação/acesso a dados não autorizada/acidental), violação de

disponibilidade (perda/destruição não autorizada/acidental), violação de integridade

(alteração dos dados).

177 MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - N7 - avaliação de impacto.

[S.l.] : MDS Group - Global Insurance & Risk Consultants, 2018, p. 5.

Case Study


Após uma violação, segue abaixo algumas medidas técnicas, aprovadas pela

MDS, no âmbito da subcontratação:

• A alteração de passwords em sistemas operativos e/ou aplicações impactadas pela

violação de dados pessoais;

• A revogação e geração de novos certificados digitais178;

• A formatação e reinstalação de sistemas e aplicações em equipamentos

impactados;

• A recuperação de informação através de backups existentes para o último estado

considerado válido;

Da mesma forma, é possível verificar um aumento na procura de seguros

cibernéticos por parte das empresas a partir do momento da implementação do RGPD.

Em 2018, a subscrição aumentou 60% em relação ao ano de 2017, muitos com a

justificação da entrada em vigor do novo regulamento, tendo surgido após maio de 2018.

Os custos operacionais, tanto administrativos como financeiros, para a

implementação do RGPD foram bastante elevados. Primeiramente, o Grupo de Trabalho,

durante os primeiros meses de 2018 focou-se intensamente neste projeto, ocupando

grande parte do seu tempo, com reuniões (internas e externas), com a contratação de uma

equipa externa para o auxílio (MLGTS e Delloite). Os custos em honorários, até à data

de entrega do presente relatório, foram de 15.470 EUR, apresentando um impacto elevado

no balanço da empresa.

Para as mediadoras/corretores, como a MDS, o esforço é ainda maior, uma vez

que estas são subcontratadas das seguradoras, tendo que adaptar o seu tratamento à

política de privacidade das seguradoras. Não obstante todos estes desafios na

implementação, a MDS conseguiu e tem vindo a conseguir cumprir com as disposições

no RGPD.

178 “Os certificados digitais são ficheiros electrónicos autenticados com assinatura digital, que garantem a

identificação de pessoas, bem como a realização das transacções electrónicas com segurança.” Vide

INSTITUTO DOS MERCADOS PÚBLICOS, DO IMOBILIÁRIO E DA CONSTRUÇÃO - O que são

certificados digitais? [Em linha]. Lisboa : IMPIC, 2018.

Conclusões


CONCLUSÕES

O risco cibernético transporta um conjunto de riscos subjacentes com elevados

impactos e custos para as empresas, que reclamam da falta de apoios ao nível orçamental

(e.g. interrupção/continuidade do negócio, a responsabilidades para terceiros, uma falha

provocada por sistemas de fornecedores, despesas para responder ao incidente, custos de

extorsão, danos à reputação), riscos esses que podem condicionar de forma determinante

as demonstrações financeiras da empresa e, em alguns casos, a sua própria subsistência.

Relativamente ao setor segurador, podemos verificar duas vertentes:

a. Risco a enfrentar – em que os três maiores riscos para o setor se prendem

com a violação de dados, perda de integridade de dados e indisponibilidade

dos serviços. Pelo volume substancial de dados que partilham, tanto

internamente, como com terceiros (pela terciarização presenciada), torna este

setor bastante atrativo para ataques;

b. Risco a segurar – este setor pode potenciar a gestão deste risco, através da

criação/comercialização de seguros cibernéticos, sendo uma oportunidade de

crescimento, com o aumento no volume de prémios e carteira.

Subjacente às alterações globais que todos presenciamos, a Quarta Revolução

Industrial está a avançar a um ritmo fulminante, com alterações no modelo de produção,

na organização empresarial, no marketing e na relação com os clientes, demonstrando

uma vantagem competitiva nas empresas que o implementam.

As InsurTech’s adquirem uma importância ainda mais significativa, com maior

eficiência na subscrição de seguros, processamento de sinistros e análise de risco (com o

tratamento e análise de um número infinito de dados, registando-se uma melhoria nas

avaliações e previsões), alterando o modus operandi das empresas deste setor, com um

papel mais focalizado na consultoria/gestão de risco. Surgem novos produtos, com

soluções para segurar os novos riscos, como veículos autónomos. No entanto, é

importante reforçar o elevado risco operacional e sistémico que a IA e o “Big Data”

podem trazer, devido à elevada terceirização do setor.

Se distinguirmos os impactos do Ramo Vida vs Ramo Não Vida:




a. Ramo Vida – a questão do envelhecimento da população transporta para as

seguradoras um aumento de despesas, com população cada vez mais idosa.

No entanto, com as alterações na categoria biológica e genética, os idosos

conseguem viver com maior independência, reduzindo os custos para as

seguradoras;

b. Ramo Não Vida – a automatização das máquinas poderá levar a uma menor

frequência de acidentes, com novos tipos de monitorização. No entanto,

nasce o problema da responsabilização numa falha tecnológica com a

utilização de algoritmos. Provavelmente dever-se-á responsabilizar o criador

do algoritmo.

Surgiu assim o RGPD, fruto da necessidade sentida de adaptação dos regimes de

proteção em vigor aos atuais desafios do risco cibernético. De uma forma geral, contribui

para o progresso económico e social e potencia o mercado único europeu de dados,

apoiando o livre fluxo de dados pessoais na UE, estimulando a concorrência entre os

responsáveis pelo tratamento e a cooperação internacional, entre as autoridades de

controlo e a Comissão.

Para as Empresas, é adotada uma atitude de autorregulação, com novas regras de

accountability, que acarretam valores e tempo despendido por parte dos colaboradores.

Da mesma forma, a notificação obrigatória em 72 horas pode aumentar a exposição

mediática negativa, obrigando a deteção imediata por parte da organização. A criação do

DPO, será um custo novo e tangível para a empresa, no entanto poderá ser considerado

uma vantagem competitiva para quem o contrata, na medida que este facilita a

conformidade. As transferências de dados também revelam ser um desafio, uma vez que

a política de comércio internacional ainda não está totalmente em linha com o

regulamento: países como Angola não dispõem deste tipo de mecanismos exigidos, por

exemplo; no entanto, os custos e os prazos envolvidos são reduzidos.

As coimas adquirem aqui o novo papel e a importância primordial neste

regulamento. Caso exista uma violação dos direitos dos titulares ou das obrigações do

responsável pelo tratamento, existirão coimas até 20.000.000 EUR ou 4% do volume de

negócios, sendo considerado o maior impacto trazido pelo RGPD.

Conclusões


Os custos de adaptação serão muito elevados, desde formações específicas,

revisão dos arquivos, até à contratação de auditorias especializadas na implementação,

com encargos administrativos bastante elevados. Com todos estes investimentos, é

possível que os custos sejam repassados para os clientes, com o aumento dos preços dos

bens e serviços, por forma a compensar a diminuição da capacidade financeira da

empresa.

Relativamente ao setor segurador, os maiores desafios prendem-se com a

definição das finalidades e do período de retenção dos dados.

Assim, foi relevante dividir em três análises, com os respetivos impactos

inerentes:

a. Corretoras

i. Duplo consentimento – Com a prestação de consentimento às corretoras e

seguradoras, terá de existir uma adaptação do papel das corretoras a esta

nova realidade, que poderá passar pelo enfoque na consultoria e não tanto

na intermediação. Existe um aumento de burocracias, com maior exigência

de assinaturas/informação, sendo que os potenciais clientes poderão não

consentir apenas por questões de inércia.

b. Seguradoras

i. Decréscimo na oferta – aquando do término do contrato, a finalidade

extingue-se, ou seja, é necessário pedir novo consentimento. Muitas vezes,

como já mencionado, por questão de inércia e por toda a burocracia

subjacente, os clientes não a prestam, ficando sem proteção;

ii. Categorias especiais de dados – requerem o consentimento explícito por

parte dos titulares, sendo que é necessário eliminar todos os dados cujas

finalidades já estejam extintas. Existência de um enorme vazio legal para

esta questão, sem precaver estas situações para o setor;




c. Corretoras e Seguradoras – Setor Segurador

i. Profiling – o processo de subscrição engloba o perfil sistemático e

automático, sendo que com o direito à sua oposição, as finalidades e bases

de licitude terão que ser claramente definidas por forma a ser considerado

ou para execução contratual ou para interesse legítimo. Para efeitos de

marketing direto, o profiling acarreta vantagens para as empresas, uma vez

que permite a criação de negócio com a melhoria da divulgação de bens e

serviços. Sendo assim, os novos direitos de oposição ao profiling, poderão

trazer desvantagens económicas para as empresas, sem a maximização dos

benefícios que este tratamento acarretava;

ii. Portabilidade de dados – uma vez que as seguradoras/corretoras dispõem

de bases/sistemas de dados diferentes, um para subscrição e outro para

gestão de sinistros, será necessário adaptar modelos para tratar eficazmente

estes pedidos;

iii. Aumento da procura dos seguros cibernéticos por forma a cobrir as

elevadas coimas impostas pelo RGPD.

Não obstante os impactos negativos, prevê-se aqui uma oportunidade de inovação

e de partilha de dados de forma segura, com o aumento do volume de negócios pela

crescente proliferação dos seguros cibernéticos, estimulando assim a economia.

A Quarta Revolução Industrial acarreta também alguns impactos na questão da

responsabilização das violações de dados (com as coimas aos responsáveis pelo

tratamento). Com a inteligência artificial e os inerentes algoritmos, considerados

produtos, a identificação do responsável não é tarefa fácil. A questão dos produtos não

está explicitada no RGPD, deparando-nos, mais uma vez, com um vazio legal.

Após anunciar os impactos nas empresas, focalizadas no setor segurador, do risco

cibernético e das novas exigências do RGPD, importa agora clarificar como a MDS,

corretora do setor segurador, se preparou para os mesmos.

Ao compararmos os impactos identificados do risco cibernético e do RGPD no

setor segurador, com o comportamento da MDS verificamos que:

Conclusões


Tabela 1 - Impactos Risco Cibernético no Setor Segurador e MDS

Impactos Setor Segurador MDS

Ameaça à Segurança do Setor

Estratégia de resiliência cibernética Sim

Medidas técnicas Ainda em processo

Definição de protocolos Sim – S21sec

Formação Sim

Risco a Segurar

Aumento da procura Sim

Quarta Revolução Industrial

InsurTech - Novas Plataformas/Modelos de negócio Sim

Aumento da procura – Outros riscos/Novos produtos Sim – Veículos Autónomos

Papel em consultoria/gestão de risco Sim – Herco

Tabela 2 – Impactos RGPD no Setor Segurador e MDS

Impactos Setor Segurador MDS

Política de Privacidade

Definição das finalidades Sim

Definição dos bases de licitude Sim

Definição dos prazos de conservação Sim

Definição dos direitos dos titulares Sim

Política de Cookies Sim

Medidas Técnicas Ainda em processo

Formação Sim

DPO/DPIA Sim

Revisão do Arquivo Sim




Subcontratação de Auditorias Sim – MLGTS/Delloite

Aumento da Procura – Seguro Cibernético Sim

Modelo de Autorregulação Sim

Após a análise efetuada, importa agora responder à questão que conduziu o

presente relatório:

Estará o setor segurador preparado para fazer face aos impactos do risco

cibernético e das novas exigências consagradas no RGPD?

A resposta não é clara.

Verificou-se que, com o estudo teórico realizado, os impactos do risco cibernético

e do RGPD são elevados e de real valor. Com o estudo de caso da MDS, cingindo-nos a

uma empresa do setor segurador, é possível concluir que, nesta fase de adaptação, esta

está devidamente preparada e continua a apostar, em grande medida, na preparação para

este risco e para a entrada em vigor do regulamento.

Uma das grandes preocupações e fragilidades sentidas atualmente, prendem-se

com o facto de ainda não existir uma lei que transponha o regulamento para a ordem

jurídica. Da mesma forma, existe uma lacuna no âmbito de legislação específica para

determinadas matérias, em especial do setor segurador, resultando num vazio legal que

pode levar à interrupção da atividade das empresas deste setor.

O mesmo acontece com as medidas técnicas e organizativas, o que deixa as

empresas em desvantagem competitiva, uma vez que ainda não estão definidas as medidas

para implementar, no âmbito do risco cibernético, em concordância com o RGPD.

É, por conseguinte, necessária a promoção de uma cultura de resiliência

cibernética com a devida consciencialização e formação.

Dever-se-á apostar na regulação e supervisão, com reforço de auditorias e

penalizações, e com estipulação de diretrizes para o risco cibernético e códigos de conduta

para o RGPD, sugerindo-se um papel mais ativo da CNPD e da ASF nestes âmbitos, no

que concerne ao setor segurador.

Conclusões


Os orçamentos, no âmbito do risco cibernético e RGPD, deverão aumentar por

forma a existir maior investimento na prevenção, ao invés de na resolução.

Uma das soluções mais eficazes será a exploração do seguro cibernético, por

forma a combater o risco cibernético (danos próprios e danos contra terceiros) e cobrir as

eventuais coimas que possam surgir face a uma violação de dados subjacente ao RGPD.

Concluindo, com este relatório de estágio, pretende-se alertar as empresas,

especialmente as do setor segurador, sobre os impactos acarretados por estas duas

variáveis e de que forma, através do estudo de caso da MDS, podem combatê-los. Por um

lado, como potenciar a sua política de resiliência cibernética, por outro, como efetuar uma

Política de Privacidade à medida das exigências consagradas no RGPD.

Bibliografia


BIBLIOGRAFIA

ADVISEN - European cyber losses 2011-2017 [Em linha]. New York : Advisen, 2018.

[Consult. 18 jul. 2018]. Disponível em

WWW:<URL:https://www.advisenltd.com/2018/01/16/european-cyber-losses-2011-

2017/>.

ANTUNES, José A. Engrácia - Direito dos Contratos Comerciais. Coimbra : Almedina,

2009.

AON - Gestão de cativas [Em linha]. Lisboa : AON, 2018. [Consult. 19 jun. 2018].

Disponível em WWW:<URL: http://www.aon.com/portugal/produtos-e-

servicos/especialidades/consultoria-gestao-riscos/gestao_%20de_cativas.jsp>.

AON - Global Risk Management Survey 2017 [Em linha]. London : AON, 2017. [Consult.

19 mai. 2018]. Disponível em WWW:<URL:http://www.aon.com/2017-global-risk-

management-survey/pdfs/2017-Aon-Global-Risk-Management-Survey-Full-Report-

062617.pdf>.

ARTHUR, Charles - EU justice chief warns Google over 'sneaking' citizens' privacy

away. The Guardian [Em linha]. (1 mar. 2012). [Consult. 10 jun. 2018]. Disponível em

WWW:<URL:https://www.theguardian.com/technology/2012/mar/01/eu-warns-google-

over-privacy>.

ARTICLE 29 DATA PROTECTION WORKING PARTY - Guidelines on automated

individual decision-making and profiling for the purposes of regulation 2016/679 [Em

linha]. Brussels : European Commission, 2018. 17/EN WP251rev.01. Adopted on 3

October 2017, as last revised and adopted on 6 February 2018. [Consult. 18 jun. 2018].

Disponível em WWW:<URL:

http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826>.

ARTICLE 29 DATA PROTECTION WORKING PARTY - Guidelines on Personal data

breach notification under Regulation 2016/679 [Em linha]. Brussels : European

Commission, 2018. 18/EN WP250rev.01. Adopted on 3 October 2017, as last revised and

adopted on 6 February 2018. [Consult. 18 jun. 2018]. Disponível em WWW:<URL:

http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49827>.




AZEREDO PERDIGÃO & ASSOCIADOS – SOCIEDADE DE ADVOGADOS - O

novo regulamento de protecção de dados : partes IV, V e VI. Newsletter Juris [Em linha].

(2018). [Consult. 25 jun. 2018]. Disponível em

WWW:<URL:https://www.ccip.pt/pt/newsletter-juris/1220-iii-o-novo-regulamento-de-

proteccao-de-dados-partes-iv-v-e-vi>.

BATALHA, Jorge Martinez - Novos Desafios sobre a Proteção de Dados. ResPublica :

Revista Lusófona de Ciência Política, Segurança e Relações Internacionais [Em linha].

N.º 16 (2017) p. 201-217. [Consult. 14 mar. 2018]. Disponível em WWW:<URL:

http://recil.grupolusofona.pt/handle/10437/8522>.

BEXIGA, Sónia - Proteção de dados leva risco cibernético para o topo das preocupações

das empresas. Jornal Económico [Em linha]. (23 out. 2017). [Consult. 18 jul. 2018].

Disponível em WWW:<URL: https://jornaleconomico.sapo.pt/noticias/protecao-de-

dados-impulsiona-risco-cibernetico-para-topo-das-preocupacoes-das-empresas-

223795>.

BIT MAGAZINE - Instituições e empresas não estão protegidas contra o crime

cibernético. Bit Magazine [Em linha]. (21 Dez. 2017). [Consult. 18 mar. 2018].

Disponível em WWW:<URL:http://www.bit.pt/instituicoes-empresas-nao-estao-

protegidas-crime-cibernetico/>.

BITSIGHT TECHNOLOGIES – BitSight : the standard in security ratings [Em linha].

Cambridge : BitSight Technologies. [Consult. 30 jun. 2018]. Disponível em

WWW:<URL:https://www.bitsighttech.com/>.

BUSINESSCLOUD - EU data protection rules will affect everyone [Em linha].

Manchester : BusinessCloud, 2016. [Consult. 14 mar. 2018]. Disponível em

WWW:<URL:http://www.businesscloud.co.uk/news/eu-data-protection-rules-will-

affect-everyone->.

CALVÃO, Maria Filipa Pires Urbano da Costa - “Não posso garantir que a privacidade

das pessoas esteja assegurada”. Entrevista realizada por João D’Espiney. Dinheiro Vivo

[Em linha]. (1 Abr. 2017). [Consult. 2 jun. 2018]. Disponível em

WWW:<URL:https://www.dinheirovivo.pt/entrevistas/nao-posso-garantir-que-a-

privacidade-das-pessoas-esteja-assegurada/>.

Bibliografia


CANN, Oliver - Five million jobs by 2020 : the real challenge of the fourth industrial

revolution [Em linha]. Geneva : World Economic Forum, 2016. [Consult. 10 mar. 2018].

Disponível em WWW:<URL:https://www.weforum.org/press/2016/01/five-million-

jobs-by-2020-the-real-challenge-of-the-fourth-industrial-revolution/>.

CARREIRO, Henrique, dir. - Mais de metade das empresas não compreendem

consequências de incumprimento do RGPD. IT Insight [Em linha]. (25 Out. 2017).

[Consult. 2 jun. 2018]. Disponível em WWW:<URL:http://www.itinsight.pt/news/it-

strategy/mais-de-metade-das-empresas-nao-compreendem-consequencias-de-

incumprimento-do-rgpd>.

CARTA dos direitos fundamentais da União Europeia. Jornal Oficial das Comunidades

Europeias [Em linha]. Série C, n.º 364 (18-12-2000). 2000/C 364/01. [Consult. 19 jun.

2018]. Disponível em WWW:<URL:

http://www.europarl.europa.eu/charter/pdf/text_pt.pdf>.

CASTELLI, Christopher [et al.] - Strengthening digital society against cyber shocks :

Key findings from The Global State of Information Security® Survey 2018 [Em linha].

Hong Kong : PwC, 2017. [Consult. 25 fev. 2018]. Disponível em

WWW:<URL:https://www.pwchk.com/en/risk-assurance/publications/the-global-state-

of-information-security-survey-2018.pdf>.

CASTELLS, Manuel - A era da informação: economia, sociedade e cultura : a sociedade

em rede. Lisboa : Fundação Calouste Gulbenkian CERT-EU. Vol. 1.

COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS – 10 medidas para preparar a

aplicação do Regulamento Europeu de Proteção de Dados [Em linha]. [S.l.] : Comissão

Nacional de Proteção de Dados, 2017. [Consult. 25 mai. 2018]. Disponível em

WWW:<URL:https://www.cnpd.pt/bin/rgpd/10_Medidas_para_preparar_RGPD_CNPD

.pdf>.

COMPUTER HOPE - What are the differences between hardware and software? [Em

linha]. Utah : Computer Hope, 2018. [Consult. 14 mar. 2018]. Disponível em

WWW:<URL:https://www.computerhope.com/issues/ch000039.htm>.




CONSTITUIÇÃO da República Portuguesa [Em linha]. Texto originário da Constituição,

aprovada em 2 de Abril de 1976. [Consult. 19 jun. 2018]. Disponível em WWW:<URL:

https://www.parlamento.pt/parlamento/documents/crp1976.pdf>.

COUNCIL OF EUROPE. Consultative Committee of Convention for The Protection of

Individuals With Regard to Automatic Processing of Personal Data - Guidelines on the

protection of individuals with regard to the processing of personal data in a world of big

data [Em linha]. Strasbourg : Council of Europe, 2017. T-PD(2017)01. [Consult. 22 mar.

2018]. Disponível em WWW:<URL: https://rm.coe.int/16806ebe7a>.

DASCALESCU, Ana - 10+ critical corporate cyber security risks : a data driven list :

revealing the risk sources that expose your organization to cyber attacks [Em linha].

København K : Heimdal Security, 2018. [Consult. 25 jun. 2018]. Disponível em

WWW:<URL:https://heimdalsecurity.com/blog/10-critical-corporate-cyber-security-

risks-a-data-driven-list/>.

DL n.º 72/2008, de 16 de abril : Regime Jurídico do Contrato de Seguro. In PGDL :

Procuradoria-Geral Distrital de Lisboa [Em linha]. Lisboa : PGDL, 2015. [Consult. 19

jun. 2018]. Disponível em WWW:<URL:

http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=2657&tabela=leis&so_mio

lo=>.

ERNST & YOUNG GLOBAL LIMITED - O caminho para a ciber-resiliência :

perceção, resistência, reação : 19ª pesquisa global de segurança da informação EY 2016-

17 [Em linha]. [S.l.] : EY, 2017. [Consult. 17 jul. 2018]. Disponível em

WWW:<URL:https://www.ey.com/Publication/vwLUAssets/GISS_2016/$File/GISS_2

016_Report_Final.pdf>.

EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF

EUROPE - Handbook on european data protection law [Em linha]. Luxembourg :

Publications Office of the European Union, 2018. [Consult. 17 jul. 2018]. Disponível em

WWW:<URL:http://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-

handbook-data-protection_en.pdf>.

FERNANDES, Filipe S. - O novo Regulamento Geral da Protecção de Dados. Negócios

[Em linha]. (19 jun. 2017). [Consult. 2 jun. 2018]. Disponível em

Bibliografia


WWW:<URL:http://www.jornaldenegocios.pt/negocios-iniciativas/detalhe/o-novo-

regulamento-geral-da-proteccao-de-dados>.

FORTIN, Marie-Fabienne - O processo de investigação : da concepção à realização. 3.ª

ed. Loures : Lusociência, 2003.

FREIXO, Manuel João Vaz - Metodologia científica : fundamentos, métodos e técnicas.

Lisboa : Instituto Piaget, 2009.

GIBSON, William – Neuromancer. Nova Iorque : Ace Books, 1984.

GONÇALVES, Maria Eduarda - Direito da informação : novos direitos e formas de

regulação na sociedade de informação. Coimbra : Almedina, 2003.

GROUP OF TEN - Report on Consolidation in the Financial Sector [Em linha]. [S.l.] :

BIS [et al.], 2001. ISBN 92-9131-611-3. [Consult. 15 mai. 2018]. Disponível em

WWW:<URL: https://www.imf.org/external/np/g10/2001/01/Eng/pdf/file1.pdf>.

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Diretrizes de aplicação

e fixação de coimas para efeitos do Regulamento 2016/679 [Em linha]. Bruxelas :

Comissão Europeia, 2017. Adotadas em 3 de outubro de 2017. [Consult. 15 mai. 2018].

Disponível em WWW:<URL:

https://www.cnpd.pt/bin/rgpd/docs/wp253_pt_aplicacao_de_coimas.pdf>.

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações relativas

à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o

tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento

(UE) 2016/679 [Em linha]. Bruxelas : Comissão Europeia, 2017. Adotadas em 4 de abril

de 2017, revistas e adotadas pela última vez em 4 de outubro de 2017. 17/PT WP 248

rev.01. [Consult. 15 mai. 2018]. Disponível em WWW:<URL:

https://www.cnpd.pt/bin/rgpd/docs/wp248rev.01_pt.pdf>.

GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações sobre o

direito à portabilidade dos dados [Em linha]. Bruxelas : Comissão Europeia, 2017.

Adotadas em 13 de dezembro de 2016, com a última redação revista e adotada em 5 de

abril de 2017. 16/PT WP 242 rev.01. [Consult. 15 mai. 2018]. Disponível em

WWW:<URL: https://www.cnpd.pt/bin/rgpd/docs/wp242rev01_pt.pdf>.




HOPKINS, Robin - Don’t be a data protection fundamentalista. Local Government

Lawyer [Em linha]. (16 Feb 2017). [Consult. 10 mar. 2018]. Disponível em

WWW:<URL:http://www.localgovernmentlawyer.co.uk/index.php?option=com_conten

t&view=article&id=30033%3Adont-be-a-data-protection-

fundamentalist&catid=59&Itemid=27>.

HUGHES Barry B. [et al.] - ICT/Cyber benefits and costs : reconciling competing

perspectives on the current and future balance. Technological Forecasting & Social

Change [Em linha]. Vol. 115 (February 2017) p. 117-130.

https://doi.org/10.1016/j.techfore.2016.09.027. [Consult. 15 mai. 2018]. Disponível em

WWW:<URL:https://www.sciencedirect.com/science/article/pii/S0040162516303560>.

IDC PORTUGAL – IDC GDPR Fórum [Em linha]. Lisboa : IDC Portugal, 2018.

[Consult. 10 mar. 2018]. Disponível em WWW:<URL:http://www.idcdx.pt/insights/idc-

event/regulamento-geral-de-protecao-de-dados-rgpd-3/>.

INSTITUTO DOS MERCADOS PÚBLICOS, DO IMOBILIÁRIO E DA

CONSTRUÇÃO - O que são certificados digitais? [Em linha]. Lisboa : IMPIC, 2018.

[Consult. 20 jun. 2018]. Disponível em

WWW:<URL:http://www.inci.pt/Portugues/Branqueamento/Paginas/CertificadoDigital.

aspx>.

INTEGRITY - O que é a norma ISO 27001? [Em linha]. Lisboa : Integrity, 2018.

[Consult. 18 mar. 2018]. Disponível em WWW:<URL:https://www.27001.pt/>.

INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper

on cyber risk to the insurance sector [Em linha]. [Basel] : IAIS, 2016. This document was

prepared by the Financial Crime Task Force (FCTF). [Consult. 15 mai. 2018]. Disponível

em WWW:<URL:https://www.iaisweb.org/file/61857/issues-paper-on-cyber-risk-to-

the-insurance-sector>.

INTERNATIONAL TELECOMMUNICATION UNION - ICT Facts and Figures 2016

[Em linha]. Geneva : ITU, 2016. [Consult. 18 jan. 2018]. Disponível em

WWW:<URL:https://www.itu.int/en/ITU-

D/Statistics/Documents/facts/ICTFactsFigures2016.pdf>.

Bibliografia


IT GOVERNANCE - Cyber resilience [Em linha]. Cambridgeshire : IT Governance,

2018. [Consult. 5 jul. 2018]. Disponível em

WWW:<URL:https://www.itgovernance.co.uk/cyber-resilience>.

JABLONOWSKA, Agnieszka - Protecting privacy online : GDPR and e-privacy

directive revisited [Em linha]. Bristol : Society for Computers and Law, 2016. [Consult.

10 mar. 2018]. Disponível em WWW:<URL:https://www.scl.org/articles/3758-

protecting-privacy-online-gdpr-and-e-privacy-directive-revisited>.

KESSLER, Denis - How artificial intelligence will impact the (re)insurance industry.

Focus [Em linha]. (March 2018) p. 6-10. [Consult. 22 jun. 2018]. Disponível em

WWW:<URL:https://www.scor.com/sites/default/files/focus_scor-

artificial_intelligence.pdf>.

KPMG ADVISORY - CONSULTORES DE GESTÃO - O Impacto do Regulamento

Geral de Protecção de Dados em Portugal : estudo [Em linha]. [S.l.] : KPMG, 2017.

[Consult. 19 mai. 2018]. Disponível em WWW:<URL:

https://portal.oa.pt/media/121529/estudo_rgpd_kpmg.pdf>.

KUCHLER, Hannah - Cost of cyber crime rises rapidly as attacks increase. Financial

Times [Em linha]. (8 Nov. 2017). [Consult. 25 mai. 2018]. Disponível em

WWW:<URL:https://www.ft.com/content/56dae748-af79-11e7-8076-

0a4bdda92ca2?utm_source=Financial%20Times&utm_medium=LinkedIn&utm_campa

ign=Cost%20of%20cyber%20crime%20article%20-

%20Ed%20Stroz&_lrsc=907471a7-07df-44b4-931d-

31da0ed6d70a&utm_Source=Linkedin_Elevate>.

LEI n.º 32/2008, de 17 de Julho : Conservação de dados gerados ou tratados no contexto

oferta de serviços de comunicações electrónicas. In PGDL : Procuradoria-Geral Distrital

de Lisboa [Em linha]. Lisboa : PGDL, 2018. Transpõe para a ordem jurídica interna a

Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março.

[Consult. 19 jun. 2018]. Disponível em WWW:<URL:

http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=1264&tabela=leis&so_mio

lo=>.




LEI n.º 41/2004. Diário da República [Em linha]. Série I-A, n.º 194/2004 (18-08-2004)

5241-5245. [Consult. 18 jul. 2018]. Disponível em WWW:<URL:

https://dre.pt/pesquisa/-/search/480710/details/maximized>.

LEI n.º 67/98. Diário da República [Em linha]. Série I-A, n.º 247/1998 (26-10-1998). Lei

da Protecção de Dados Pessoais (transpõe para a ordem jurídica portuguesa a Directiva

n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995. [Consult.

30 jun. 2018]. Disponível em WWW:<URL:https://dre.pt/web/guest/pesquisa/-

/search/239857/details/maximized>.

LLOYD’S - Closing the gap : insuring your business against evolving cyber threats [Em

linha]. In association with KPMG and DAC Beachcroft. [S.l.] : Lloyd’s, 2017. [Consult.

10 fev. 2018]. Disponível em

WWW:<URL:https://www.dacbeachcroft.com/media/909469/closing-the-gap-report-

full.pdf>.

LORENZ, Markus [et al.] - Man and machine in industry 4.0: how will tecnology

transform the industrial workforce through 2025 [Em linha]. Boston : Boston Consulting

Group, 2015. [Consult. 18 mar. 2018]. Disponível em WWW:<URL: http://image-

src.bcg.com/Images/BCG_Man_and_Machine_in_Industry_4_0_Sep_2015_tcm9-

61676.pdf>.

MACRAE, Angus - GDPR - The good, the bad and the ugly. The State of Security [Em

linha]. (23 Feb. 2016). [Consult. 25 jun. 2018]. Disponível em

WWW:<URL:https://www.tripwire.com/state-of-security/security-awareness/gdpr-the-

good-the-bad-and-the-ugly/>.

MARSH ; RIMS - Emerging risks : anticipating threats and opportunities around the

corner [Em linha]. Report analysis and review Brian C. Elowe, Carol Fox. [S.l.] :

MARSH; RIMS, 2016. (Excellence in Risk Management XIII). [Consult. 10 fev. 2018].

Disponível em WWW:<URL: https://nacm.org/pdfs/surveyResults/emerging-risks-

anticipating-threats-opportunities-around-corner.pdf>.

MARTINS, Cláudia Fernandes - A alteração na regulação na Proteção de Dados Pessoais.

Eco : Economia Online [Em linha]. (17 Out. 2017). [Consult. 10 jun. 2018]. Disponível

Bibliografia


em WWW:<URL:https://eco.pt/opiniao/a-alteracao-na-regulacao-na-proteccao-de-

dados-pessoais/>.

MAYNARD, Trevor ; NG, George - Counting the cost : cyber exposure decoded :

emerging risks report 2017 [Em linha]. [S.l.] : Lloyd’s, 2017. [Consult. 10 fev. 2018].

Disponível em WWW:<URL:https://www.lloyds.com/~/media/files/news-and-

insight/risk-insight/2017/cyence/emerging-risk-report-2017---counting-the-cost.pdf>.

McLUHAN, M. - Os meios de comunicação como extensão do homem. [S.l.] : Editora

Cultrix, 1998.

MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - N7 - Avaliação de

Impacto. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2018. Documento

interno.

MAVERICK, J.B. - What is the difference between CAPEX and OPEX? [Em linha]. New

York : Investopedia, 2018. [Consult. 18 jul. 2018]. Disponível em WWW:<URL:

https://www.investopedia.com/ask/answers/020915/what-difference-between-capex-

and-opex.asp>.

MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de

cookies [Em linha]. Porto : MDS Group, 2018b. [Consult. 20 jun. 2018]. Disponível em

WWW:<URL:https://www.mdsinsure.com/pt/politica-de-cookies/>.

MDS GROUP - GLOBAL INSURANCE & RISK CONSULTANTS - Política de

privacidade de clientes [Em linha]. Porto : MDS Group, 2018a. [Consult. 20 jun. 2018].

Disponível em WWW:<URL:https://www.mdsinsure.com/pt/politica-de-privacidade/>.

MICROSOFT NEWS CENTER - Apenas 2,5% dos decisores considera que a sua

organização está preparada para lidar com o RGPD [Em linha]. [S.l.] : Microsoft, 2018.

[Consult. 10 jun. 2018]. Disponível em WWW:<URL:https://news.microsoft.com/pt-

pt/2018/01/30/apenas-25-dos-decisores-considera-que-sua-organizacao-esta-preparada-

para-lidar-com-o-rgpd/>.

NEGROPONTE, Nicholas - Being digital. London : Hodder & Stoughton, 1995.

NJEGOMIR, Vladimir ; MAROVIĆ, Boris - Contemporary trends in the global insurance

industry. Procedia - Social and Behavioral Sciences [Em linha]. Vol. 44 (2012) p. 134-




142. [Consult 14 jun. 2018]. Disponível em WWW:<URL:

https://www.sciencedirect.com/science/article/pii/S1877042812011342>.

OLIVEIRA, Déborah, ed. - Cibercrime gera prejuízo de quase US$ 600 bilhões para

economia mundial [Em linha]. Rio de Janeiro : ITF 365, 2018. [Consult. 18 jul. 2018].

Disponível em WWW:<URL:https://www.itforum365.com.br/seguranca/cibercrime-

gera-prejuizo-de-quase-us-600-bilhoes-para-economia-mundial/>.

OLIVEIRA, José Galamba de – Editorial. In ASSOCIAÇÃO PORTUGUESA DE

SEGURADORES - Panorama do mercado segurador 16/17 [Em linha]. Lisboa : APS,

2017. [Consult. 14 mai. 2018]. Disponível em WWW:<URL:

https://www.apseguradores.pt/Portal/ContentResourceDownload_Entry.aspx?ResourceI

d=16284>.

PARSOIRE, Didier ; HEON, Sébastien - State of the cyber (re)insurance market. Focus

[Em linha]. N.º 22 (April 2017) p. 23-29. [Consult. 22 jun. 2018]. Disponível em

WWW:<URL: https://www.scor.com/en/file/19208/download?token=lXBp2e_R>.

PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of

insurance [Em linha]. Amsterdam : CRO Forum, 2014. [Consult. 22 mar. 2018].

Disponível em WWW:<URL: https://www.thecroforum.org/wp-

content/uploads/2015/01/Cyber-Risk-Paper-version-24-1.pdf>.

PEIGNET, Victor - Technology : shaping the risk landscape. Focus [Em linha]. N.º 22

(April 2017) p. 34-40. [Consult. 22 jun. 2018]. Disponível em WWW:<URL:

https://www.scor.com/en/file/19208/download?token=lXBp2e_R>.

PEQUENINO, Karla - Facebook avisa cada utilizador que teve os dados expostos à

Cambridge Analytica. Público [Em linha]. (9 Abr. 2018). [Consult. 10 jun. 2018].

Disponível em

WWW:<URL:https://www.publico.pt/2018/04/09/tecnologia/noticia/como-saber-se-foi-

afectado-pela-cambridge-analytica-1809638>.

PEREIRA, Alexandre Libório Dias - Big data, e-health e «autodeterminação informativa»

: a lei 67/98, a jurisprudência e o regulamento 2016/679 (GDPR). Lex Medicinae –

Revista Portuguesa de Direito da Saúde [Em linha]. N.º 29 (2018). [Consult. 25 mar.


Bibliografia


https://estudogeral.sib.uc.pt/bitstream/10316/48094/1/Big%20data%20ehealth%20autod

eterminacao%20informativa.pdf>.

PINHEIRO, Vanda Cardoso - Indústria 4.0 a quarta revolução industrial [Em linha].

Lisboa : Compete 2020, 2016. [Consult. 6 mar. 2018]. Disponível em

WWW:<URL:http://www.poci-compete2020.pt/destaques/detalhe/Industria_4ponto0>.

PONEMON INSTITUTE - 2016 cost of cyber crime study & the risk of business

innovation [Em linha]. Michigan : Ponemon Institute. [Consult. 20 jul. 2018]. Disponível

em WWW:<URL:

http://www.ponemon.org/local/upload/file/2016%20HPE%20CCC%20GLOBAL%20R

EPORT%20FINAL%203.pdf>.

PORTER, Michael - Competitive advantage. New York : The Free Press, cop. 1985.

PORTO EDITORA - Lei dos grandes números [Em linha]. Porto : Porto Editora, 2018.

[Consult. 18 jul. 2018]. Disponível em WWW:<URL: https://www.infopedia.pt/$lei-dos-

grandes-numeros>.

PROPOSTA de Lei n.º 120/XIII [Em linha]. [Lisboa] : Presidência do Conselho de

Ministros. [Consult. 19 jun. 2018]. Disponível em WWW:<URL:

http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c3246795958

42774f6a63334e7a637664326c756157357059326c6864476c3259584d7657456c4a5353

39305a58683062334d76634842734d5449774c56684a53556b755a47396a&fich=ppl120

-XIII.doc&Inline=true>.

REGO, Margarida Lima - O contrato e a apólice de seguro. In REGO, Margarida Lima,

coord. - Temas de direito dos seguros : a propósito da nova lei do contrato de seguro.

Coimbra : Almedina, 2012. p. 15-37.

Risk Outlook [Em linha]. Comissão do Mercado de Valores Mobiliários, ed. Lisboa :

CMVM, Autumn 2016. [Consult. 18 mai. 2018]. Disponível em

WWW:<URL:http://www.cmvm.pt/pt/EstatisticasEstudosEPublicacoes/Publicacoes/ris

koutlook/Documents/RiskOutlook%20autumn2016.pdf>.

RODRIGUES, Bruno - A APDPO-Portugal pronunciou-se, recentemente, sobre o

documento relativo a eventual legislação nacional no âmbito do RGPD [Em linha].




Lisboa : APDPO, 2017. [Consult. 25 Abr. 2018]. Disponível em

WWW:<URL:https://www.dpo-portugal.pt/index.php/2017/10/31/a-apdpo-portugal-

pronunciou-se-recentemente-sobre-o-documento-relativo-a-eventual-legislacao-

nacional-no-ambito-do-rgpd/>.

RODRIGUES, José Conde - O ciberespaço e a ordem mundial. Observador [Em linha].

(8 nov. 2016). [Consult. 18 jun. 2018]. Disponível em WWW:<URL:

https://observador.pt/opiniao/o-ciberespaco-e-a-ordem-mundial/>.

RODRIGUES, Miguel Videira ; ESTEVES, Pedro - Ataques informáticos. As empresas

portuguesas estão preparadas?. Observador [Em linha]. (26 mar. 2017). Artigo publicado

originalmente a 26 de março de 2017 e foi republicado a 12 de maio de 2017 devido ao

ataque informático a nível internacional. [Consult. 18 jul. 2018]. Disponível em

WWW:<URL:http://observador.pt/2017/03/26/ataques-informaticos-empresas/>.

SALDANHA, Nuno - Novo regulamento geral de proteção de dados : O que é? A quem

se aplica? Como implementar?. Lisboa : FCA, 2018.

SANTOS, Lino ; GUEDES, Armando Marques - Breves reflexões sobre poder e

ciberespaço = Brief thoughts on power and cyberspace. RDeS – Revista de Direito e

Seguranca. N.º 6 (julho-dezembro 2015) p. 189-209. [Consult. 22 jun. 2018]. Disponível

em

WWW:<URL:https://comum.rcaap.pt/bitstream/10400.26/14329/1/PodereCiberesa%C3

%A7o.pdf>.

SCHWAB, Klaus - The fourth industrial revolution : what it means, how to respond [Em

linha]. Geneva : World Economic Forum, 2016. [Consult. 14 mar. 2018]. Disponível em

WWW:<URL:https://www.weforum.org/agenda/2016/01/the-fourth-industrial-

revolution-what-it-means-and-how-to-respond/>.

SCHWAB, Klaus - The fourth industrial revolution. Geneva : WEF, 2016.

SCOR - Summary of the panel discussion on cyber risks and insurance for corporates : a

true global risk management approach and a need for further dialogue. Focus [Em linha].

N.º 22 (April 2017) p. 30-33. [Consult. 22 jun. 2018]. Disponível em WWW:<URL:

https://www.scor.com/en/file/19208/download?token=lXBp2e_R>.

Bibliografia


SÉNECA, Hugo - RGPD : regulamento de proteção de dados pode custar meio milhão às

maiores empresas. Exame Informática [Em linha]. (24 mai. 2018). [Consult. 5 jun. 2018].

Disponível em WWW:<URL:http://exameinformatica.sapo.pt/noticias/mercados/2018-

05-24-RGPD-regulamento-de-protecao-de-dados-pode-custar-meio-milhao-as-maiores-

empresas>.

SHEEHAN, Matt - Artificial intelligence risks may outweigh benefits, reports Allianz.

Reinsurance News [Em linha]. (29 mar. 2018). [Consult. 25 jun. 2018]. Disponível em

WWW:<URL:https://www.reinsurancene.ws/artificial-intelligence-risks-may-outweigh-

benefits-reports-allianz/>.

SHEEHAN, Matt - Digitalisation will ‘redefine’ insurance claims handling: PwC.

Reinsurance News [Em linha]. (12 jul. 2018). [Consult. 20 jul. 2018]. Disponível em

WWW:<URL:https://www.reinsurancene.ws/digitalisation-will-redefine-insurance-

claims-handling-pwc/>.

SHEEHAN, Matt - EU’s data protection regulations will significantly impact re/insurers

: Sidley. Reinsurance News [Em linha]. (16 mar. 2018). [Consult. 25 jun. 2018].

Disponível em WWW:<URL:https://www.reinsurancene.ws/eus-data-protection-

regulations-will-significantly-impact-re-insurers-sidley/>.

SIMONS, Dawn - Ciber-risco : a sua empresa está protegida?. FullCover [Em linha]. N.º

3 (Abril 2011) p. 125 128. [Consult. 22 jun. 2018]. Disponível em WWW:<URL:

https://issuu.com/mdsit/docs/fullcover3>.

SJOHOLM, Hans ; ROSENCRANCE, Linda – Hacker [Em linha]. Posted by: Margaret

Rouse. Newton, MA : TechTarget, 2017. [Consult. 5 jun. 2018]. Disponível em

WWW:<URL:https://searchsecurity.techtarget.com/definition/hacker>.

SLOOT, Bart - Legal fundamentalism : is data protection really a fundamental right?. In

LEENES, R., ed. [et al.] - Data protection and privacy : (in)visibilities and

infrastructures. New York : Springer, 2017. P. 3-30.

SOUSA, Antonio J. Fernandes, dir. ; FEDEC, Anna, dir. - PIB - lista de países [Em linha].

New York : IECONOMICS, 2018. [Consult. 5 jun. 2018]. Disponível em

WWW:<URL:https://pt.tradingeconomics.com/country-list/gdp>.




TEIXEIRA, Andreia - Mecanismos de gestão do risco e mitigação do impacto : como

avaliar a prevenção à resposta [Em linha]. Lisboa : AON, 2017.

TELES, Joana Galvão - Deveres de informação das partes. In REGO, Margarida Lima,

coord. - Temas de direito dos seguros : seguros : a propósito da nova lei do contrato de

seguro. Coimbra : Almedina, 2012. P. 213-273.

TENDULKAR, Rohini - Cyber-crime, securities markets and systemic risk [Em linha].

Survey Grégoire Naacke and Rohini Tendulkar. [S.l.] : IOSCO, 2013. (Staff Working

Paper ; [SWP1/2013]). Joint Staff Working Paper of the IOSCO Research Department

and World Federation of Exchanges. [Consult. 15 jun. 2018]. Disponível em

WWW:<URL:https://www.iia.nl/SiteFiles/Cyber-Crime-Securities-Markets-and-

Systemic-Risk.pdf>.

TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk

Consultants, 2017. Documento interno.

TRATADO sobre o funcionamento da União Europeia : (versão consolidada). Jornal

Oficial da União Europeia [Em linha]. Série C, n.º 202 (07-06-2016) p. 47-199. [Consult.

14 mai. 2018]. Disponível em WWW:<URL: https://eur-

lex.europa.eu/resource.html?uri=cellar:9e8d52e1-2c70-11e6-b497-

01aa75ed71a1.0019.01/DOC_3&format=PDF>.

UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao Parlamento Europeu,

ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões

«Construir uma economia europeia dos dados» [Em linha]. Bruxelas : Comissão

Europeia, 2017. COM(2017) 9 final, SWD(2017) 2 final}. [Consult. 18 mar. 2018].

Disponível em WWW:<URL:https://eur-lex.europa.eu/legal-

content/PT/TXT/PDF/?uri=CELEX:52017DC0009&from=EN>.

UNIÃO EUROPEIA. Parlamento ; UNIÃO EUROPEIA. Conselho - Regulamento (UE)

2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção

das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre

circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a

Proteção de Dados). Jornal Oficial da União Europeia [Em linha]. Série L, n.º 119 (04-

Bibliografia


05-2016). [Consult. 14 mai. 2018]. Disponível em WWW:<URL:https://eur-

lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT>.

VAN DEN HOVEN VAN GENDEREN, Robert - Privacy and data protection in the age

of pervasive technologies in AI and robotics. European Data Protection Law Review [Em

linha]. Vol. 3, i. 3 (2017) p. 338 – 352. DOI https://doi.org/10.21552/edpl/2017/3/8.

[Consult. 15 mai. 2018]. Disponível em WWW:<URL:

https://edpl.lexxion.eu/article/EDPL/2017/3/8>.

VILELAS, José – Investigação : o processo de construção do conhecimento. Lisboa :

Edições Sílabo, 2009.

WORLD ECONOMIC FORUM - Risk and responsibility in a hyperconnected : world

pathways to global cyber resilience [Em linha]. Prepared in collaboration with Deloitte.

Geneva : World Economic Forum, 2012. [Consult. 15 jun. 2018]. Disponível em

WWW:<URL:

http://www3.weforum.org/docs/WEF_IT_PathwaysToGlobalCyberResilience_Report_

2012.pdf>.

WORLD ECONOMIC FORUM - The global risks report 2017 [Em linha]. 12th ed.

Geneva : World Economic Forum, 2017. [Consult. 15 jun. 2018]. Disponível em

WWW:<URL: http://www3.weforum.org/docs/GRR17_Report_web.pdf>.

WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience -

Understanding systemic cyber risk [Em linha]. Geneva : World Economic Forum, 2016.

White Paper. [Consult. 15 jun. 2018]. Disponível em WWW:<URL:

http://www3.weforum.org/docs/White_Paper_GAC_Cyber_Resilience_VERSION_2.pd

f>.

WORLD ECONOMIC FORUM. Global Agenda Council on Risk & Resilience -

Resilience insights [Em linha]. Geneva : World Economic Forum, 2016. [Consult. 15 jun.


http://www3.weforum.org/docs/GRR/WEF_GAC16_Risk_Resilience_Insights.pdf>.

WORLD ECONOMIC FORUM. Global Agenda Council on the Future of Software &

Society - Deep shift : technology tipping points and societal impact [Em linha]. Geneva :

World Economic Forum, 2015. [Consult. 15 jun. 2018]. Disponível em WWW:<URL:




http://www3.weforum.org/docs/WEF_GAC15_Technological_Tipping_Points_report_2

015.pdf>.

ZURICH - COMPANHIA DE SEGUROS VIDA - Relatório sobre a solvência e a

situação financeira 2016 [Em linha]. Lisboa : Zurich, 2017. [Consult. 15 jun. 2018].

Disponível em WWW:<URL: https://www.zurich.com.pt/_/media/dbe/portugal/docs/a-

zurich/informacoes-financeiras/zurich-vida_relatrio-solvncia-e-situao-

financeira_2017.pdf?la=pt-

pt&hash=F3781D7C7BFB00B0A783203F2BA20AF0E06BB0E2>.

Anexo


ANEXO I

Índice


ÍNDICE DE FIGURAS

Figura 1 – Riscos Críticos ............................................................................................. 28

Figura 2 - Quais os principais obstáculos ou razões que desafiam a contribuição e o

valor da sua operação de segurança da informação para a organização? ....................... 29

Figura 3 - Relação entre o PIB per capita e o índice de desenvolvimento das TIC ...... 31

Figura 4 - Indicadores Cibernéticos Helpdesk 2017 ..................................................... 80

Figura 5 - Principais Projetos 2017 ............................................................................... 81

Figura 6 - Processo DPIA .............................................................................................. 90

ÍNDICE DE TABELAS

Tabela 1 - Impactos Risco Cibernético no Setor Segurador e MDS ............................. 97

Tabela 2 – Impactos RGPD no Setor Segurador e MDS ............................................... 97

Índice


ÍNDICE

Declaração de Compromisso Antiplágio ........................................................................ III

Agradecimentos ............................................................................................................. VII

Indicações de Leitura ...................................................................................................... IX

I. Modo de citação ...................................................................................................... IX

II. Declaração de carateres .......................................................................................... IX

Lista de Abreviaturas ...................................................................................................... XI

Resumo ......................................................................................................................... XIII

Abstract .......................................................................................................................... XV

Introdução ....................................................................................................................... 17

Metodologia e Problema de Estudo ................................................................................ 21

Capítulo I – Estágio Curricular ....................................................................................... 23

1. A MDS RE .............................................................................................................. 23

2. O estágio ................................................................................................................. 23

Capítulo II – Risco Cibernético ...................................................................................... 25

1. Contextualização: panorama do ciberespaço .......................................................... 25

2. Dados reais: custos e responsabilidades ................................................................. 25

3. Impactos, desafios e recomendações ..................................................................... 30

3.1. As empresas...................................................................................................... 33

3.2. Setor segurador ................................................................................................. 36

4. Perspetivas futuras .................................................................................................. 39

4.1. Quarta Revolução Industrial............................................................................. 40

4.1.1. As empresas ............................................................................................... 42

4.1.2. Setor segurador .......................................................................................... 43

Capítulo III – Regulamento Geral de Proteção de Dados .............................................. 49

1. Enquadramento legal: novo regulamento ............................................................... 49

1.1. Necessidade da reforma regulatória ................................................................. 60

2. Impactos e desafios ................................................................................................. 63

2.1. As empresas...................................................................................................... 64

2.2. Setor segurador ................................................................................................. 70

3. Perspetivas futuras .................................................................................................. 73

Capítulo IV - Case-Study ............................................................................................... 79

1. Risco cibernético ..................................................................................................... 79

2. Regulamento Geral de Proteção de Dados ............................................................. 83




Conclusões ...................................................................................................................... 93

Bibliografia ................................................................................................................... 101

Anexo I ......................................................................................................................... 117

Índice de Figuras .......................................................................................................... 119

Índice de Tabelas .......................................................................................................... 119

Índice ............................................................................................................................ 121