No mercado segurador, a confiança sempre foi o alicerce da relação entre empresas e clientes. Ao contratar um seguro, o consumidor compartilha dados sensíveis que vão muito além de informações cadastrais: envolvem aspectos de saúde, patrimônio, hábitos de vida e até histórico financeiro. Esse nível de exposição exige das seguradoras um compromisso inequívoco com a proteção da privacidade.
Mais do que cumprir exigências legais, a forma como uma seguradora lida com a informação pessoal pode ser determinante para sua reputação no mercado.
Além disso, no contexto atual de transformação digital, em que tecnologias como IoT e iniciativas como o Open Insurance ampliam o volume e a circulação de dados, o desafio de manter a confiança do segurado se intensifica. É nesse contexto que a privacidade deixa de ser apenas uma obrigação legal e passa a ocupar um papel estratégico nas decisões de TI.
Este artigo explora as melhores práticas, tecnologias e abordagens de governança que podem apoiar executivos de TI do setor segurador na construção de um ambiente de proteção sólida, reforçando a confiança do cliente e fortalecendo o posicionamento da empresa frente aos desafios atuais.
Cenário Atual: O Desafio da Proteção de Dados no Mercado Segurador
O setor de seguros lida com uma das maiores concentrações de dados sensíveis entre os segmentos da economia. Informações sobre saúde, bens, perfil de risco, localização, apólices e sinistros exigem uma abordagem rigorosa de segurança e privacidade. Com o avanço da transformação digital, a complexidade dessa missão aumentou significativamente.
Volume e Sensibilidade dos Dados Tratados
Cada interação com o segurado — desde a cotação até o pagamento de indenizações — gera dados que precisam ser armazenados, processados e, muitas vezes, compartilhados com terceiros (corretoras, resseguradoras, plataformas de serviços, órgãos reguladores). O alto valor dessas informações torna as seguradoras alvos frequentes de ataques cibernéticos.
Adoção Acelerada de Tecnologia
A digitalização do setor trouxe ganhos em agilidade, personalização e eficiência, mas também aumentou a superfície de exposição. Dispositivos IoT embarcados em veículos e imóveis, algoritmos de precificação baseados em comportamento e o compartilhamento estruturado de dados via Open Insurance são exemplos de como a tecnologia potencializa tanto as oportunidades quanto os riscos.
Crescimento das Ameaças Cibernéticas
Casos de vazamentos de dados têm se tornado recorrentes em empresas de todos os setores, e o impacto reputacional para uma seguradora pode ser devastador. Além da perda de confiança dos clientes, os prejuízos incluem multas regulatórias, ações judiciais e a interrupção de operações críticas.
Esses elementos tornam clara a necessidade de uma abordagem estratégica e estruturada para a proteção de dados. E é justamente nesse ponto que entra o próximo tópico: o papel das regulações e obrigações legais como guias para a construção de um ambiente mais seguro e confiável.
Regulações e Obrigações Legais
A proteção de dados pessoais não é apenas uma boa prática: é uma exigência legal cada vez mais rigorosa. No setor de seguros, onde a coleta e o tratamento de dados sensíveis são intensivos, o cumprimento da legislação é fundamental para evitar sanções e fortalecer a confiança do consumidor. Executivos de TI devem estar atentos não só à LGPD, mas também às normas específicas da SUSEP e aos requisitos do Open Insurance.
LGPD e sua Aplicação no Setor de Seguros
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece princípios e obrigações claras para o tratamento de dados pessoais. Para seguradoras, isso significa:
- Justificativa legal para o tratamento de dados, como execução de contrato, legítimo interesse ou consentimento;
- Transparência com o titular, garantindo acesso, correção e eliminação de dados quando aplicável;
- Segurança da informação, com medidas técnicas e administrativas para prevenir acessos não autorizados, vazamentos e perda de dados;
- Responsabilização, com a necessidade de comprovar boas práticas e governança em proteção de dados.
Requisitos da SUSEP e Regulamentações Específicas
A SUSEP tem atuado de forma ativa na regulamentação do setor em relação à privacidade e segurança. O destaque vai para o Open Insurance, que impõe diretrizes técnicas e operacionais sobre:
- Compartilhamento padronizado e seguro de dados entre participantes do ecossistema;
- Implementação de APIs com padrões de segurança baseados em FAPI (Financial-grade API);
- Obrigatoriedade de autenticação robusta, criptografia de ponta-a-ponta e uso de certificados digitais;
- Políticas de governança, com papéis e responsabilidades bem definidos entre controladores, operadores e agentes de tratamento.
Responsabilidades de Controladores e Operadores de Dados
De acordo com a LGPD, seguradoras normalmente atuam como controladoras dos dados — ou seja, são responsáveis por definir a finalidade e os meios de tratamento. Já parceiros tecnológicos, prestadores de serviço ou insurtechs frequentemente atuam como operadores, com obrigações de segurança, confidencialidade e subordinação contratual às instruções do controlador.
Entender e documentar claramente essa cadeia de responsabilidade é essencial para mitigar riscos e responder de forma eficaz a fiscalizações ou incidentes.
Governança e Cultura de Privacidade
Proteger dados pessoais vai além da adoção de ferramentas tecnológicas. Requer uma mudança cultural dentro da organização, em que todos — da alta liderança aos times operacionais — compreendam seu papel na proteção da privacidade. A governança sólida e a liderança da TI são os pilares dessa transformação.
Papel da Liderança de TI na Construção da Cultura de Proteção
Os executivos de tecnologia têm um papel estratégico na consolidação da cultura de privacidade. São eles que conectam as exigências regulatórias às soluções práticas, equilibrando inovação e segurança. Mais do que definir padrões técnicos, a liderança de TI deve:
- Participar ativamente das decisões de negócio que envolvam uso de dados;
- Engajar outras áreas (jurídico, comercial, marketing) para garantir o alinhamento organizacional.
Estrutura de Governança: DPO, Comitês, Data Steward
A maturidade em privacidade passa pela criação de estruturas formais de governança:
- DPO (Data Protection Officer): figura prevista na LGPD, responsável por atuar como canal entre a empresa, os titulares de dados e a ANPD.
- Comitês de privacidade: grupos multidisciplinares que avaliam riscos, aprovam políticas e acompanham planos de ação.
- Data Stewards: profissionais que atuam na linha de frente da qualidade e segurança dos dados, garantindo que o tratamento esteja em conformidade com as normas internas e externas.
Essas estruturas promovem a responsabilidade organizacional, garantem a rastreabilidade das decisões e consolidam uma cultura de proteção e prestação de contas sobre o uso dos dados.
Treinamento e Conscientização de Colaboradores
Mesmo com boas políticas e controles técnicos, falhas humanas continuam sendo uma das principais causas de incidentes. Por isso, é fundamental investir em capacitação contínua dos colaboradores:
- Treinamentos regulares sobre boas práticas de segurança da informação;
- Campanhas internas de conscientização com linguagem acessível;
- Simulações de incidentes e testes de phishing para avaliar a prontidão da equipe.
Privacidade e segurança da informação não são apenas responsabilidades do time de TI — são compromissos de toda a organização.
Tecnologias e Práticas para Garantia da Privacidade
A proteção efetiva dos dados no setor de seguros exige a combinação de boas práticas de governança com o uso inteligente de tecnologias. Com o aumento da complexidade dos ambientes digitais e da sofisticação das ameaças, é essencial adotar mecanismos robustos que garantam a confidencialidade, integridade e disponibilidade das informações dos segurados.
Criptografia, Mascaramento e Anonimização de Dados
- Criptografia é uma das principais barreiras contra acessos indevidos, sendo fundamental tanto em trânsito quanto em repouso.
- Mascaramento permite ocultar dados sensíveis em ambientes de desenvolvimento e testes, sem comprometer a funcionalidade dos sistemas.
- Anonimização e pseudonimização são práticas cada vez mais relevantes para análises estatísticas e de machine learning, minimizando riscos e mantendo a conformidade com a LGPD.
Gestão de Consentimento e Rastreabilidade
A coleta e o uso de dados devem ser realizados de forma transparente e documentada. Para isso, é necessário:
- Implementar mecanismos de registro e controle de consentimento, com histórico das permissões dadas pelos titulares;
- Garantir a rastreabilidade do ciclo de vida dos dados, desde a coleta até o descarte, passando por acessos, compartilhamentos e alterações;
- Criar dashboards de conformidade que apoiem o DPO e os gestores de TI no acompanhamento dos riscos.
Monitoramento de Acessos e Auditoria
A visibilidade sobre quem acessa o quê, quando e com qual finalidade é fundamental para detectar e responder rapidamente a incidentes:
- Controle de acesso baseado em perfil (RBAC – Role-Based Access Control);
- Logs de acesso detalhados e protegidos contra alteração;
- Auditorias periódicas de conformidade, com alertas automatizados para comportamentos fora do padrão.
Soluções de DLP (Data Loss Prevention), CASB e Zero Trust
- DLP (Data Loss Prevention) ajuda a identificar e bloquear o envio indevido de informações sensíveis por e-mail, uploads ou cópias externas.
- CASB (Cloud Access Security Broker) atua como intermediário entre usuários e serviços em nuvem, monitorando e protegendo o uso de dados em ambientes SaaS, IaaS e PaaS.
- Zero Trust representa uma mudança de paradigma: nenhum acesso é confiável por padrão, mesmo dentro da rede corporativa. A validação contínua da identidade e do contexto de acesso é a base desse modelo.
Casos de Uso: Open Insurance e a Troca Segura de Dados
O Open Insurance é um marco na transformação digital do setor segurador brasileiro. Ao permitir o compartilhamento padronizado e controlado de dados entre diferentes participantes do ecossistema — como seguradoras, plataformas de comparação, corretoras digitais e insurtechs — ele amplia as possibilidades de inovação, mas também impõe novos desafios relacionados à segurança e à privacidade.
Desafios de Interoperabilidade e Segurança na Abertura de Dados
O modelo de Open Insurance exige que as seguradoras implementem APIs seguras, autenticação robusta, gestão de consentimento transparente e um controle preciso sobre os dados trafegados. Alguns dos principais desafios incluem:
- Interoperabilidade entre sistemas com diferentes graus de maturidade tecnológica;
- Troca de dados sensíveis em tempo real, exigindo alta confiabilidade e disponibilidade;
- Gestão de consentimentos de forma auditável, conforme os princípios da LGPD;
- Autenticação baseada em padrões como o FAPI 2.0, incluindo uso de certificados digitais, criptografia avançada e validação de tokens JWT com base em chaves públicas distribuídas (JWKS).
A segurança precisa estar embutida desde a concepção da arquitetura: o simples vazamento de um token de acesso ou o uso inadequado de um consentimento pode comprometer a confiança de todo o sistema.
Exemplos Práticos de Proteção de Dados no Open Insurance
Abaixo, alguns exemplos de boas práticas já observadas em iniciativas do mercado:
- Consentimento granular, com prazo de validade definido e opção de revogação facilitada;
- Tokenização com escopos restritos, garantindo que cada acesso ocorra apenas dentro da finalidade aprovada;
- Uso de ambientes segregados, como sandbox e produção, com dados anonimizados durante testes;
- Logs detalhados e assinados digitalmente para rastrear operações de leitura e escrita em APIs sensíveis.
Essas práticas não apenas reduzem o risco de incidentes como também oferecem maior transparência ao cliente, reforçando a confiança na proposta do Open Insurance.
Indicadores e Métricas para Avaliar a Maturidade em Privacidade
Medir a maturidade em privacidade é essencial para que seguradoras possam identificar lacunas, priorizar investimentos e demonstrar comprometimento com a conformidade. No contexto corporativo, os indicadores de privacidade permitem que executivos de TI transformem iniciativas regulatórias em ações mensuráveis e acompanháveis ao longo do tempo.
Como Mensurar o Nível de Conformidade e Segurança
A avaliação da maturidade pode seguir frameworks estruturados como o NIST Privacy Framework, a ISO/IEC 27701 ou metodologias de mercado adaptadas ao setor. Alguns aspectos essenciais que devem ser acompanhados:
- Cobertura do mapeamento de dados: percentual de sistemas, processos e fornecedores com inventário atualizado de dados pessoais;
- Número de consentimentos válidos e rastreáveis no sistema, por escopo e tempo de validade;
- Tempo médio de resposta a requisições de titulares (acesso, correção, exclusão);
- Índice de não-conformidades encontradas em auditorias internas e externas;
- Volume e criticidade dos incidentes de privacidade registrados e tratados.
Essas métricas devem alimentar painéis de controle (dashboards) gerenciais e facilitar a prestação de contas para a alta liderança e órgãos reguladores.
KPIs Estratégicos para Executivos de TI
Além dos indicadores operacionais, é fundamental que a TI acompanhe KPIs que dialoguem com os objetivos estratégicos da seguradora:
- Índice de exposição a risco de dados sensíveis, com base em análises de risco automatizadas;
- Aderência aos requisitos do Open Insurance, como conformidade com os padrões FAPI, gerenciamento de tokens e segregação de ambientes;
- Taxa de atualização de patches de segurança e políticas de acesso em sistemas críticos;
- Engajamento dos colaboradores em treinamentos de privacidade;
- Nível de maturidade dos fornecedores em relação à segurança da informação e privacidade de dados.
Com esses indicadores, a liderança de TI pode demonstrar de forma objetiva o impacto das iniciativas de privacidade na redução de riscos, na melhoria da experiência do cliente e no fortalecimento da reputação da marca.
Conclusão: Privacidade como Pilar da Experiência e Fidelização
Em um mercado tão competitivo e sensível como o de seguros, a confiança é um ativo intangível, mas de valor inestimável. Cada interação com o cliente é uma oportunidade de reforçar — ou de comprometer — essa confiança. E a maneira como uma seguradora trata os dados pessoais de seus segurados tornou-se um dos principais termômetros dessa relação.
Privacidade de dados não é apenas uma exigência legal ou uma prática de mitigação de riscos: é um elemento central da experiência do cliente. Organizações que protegem os dados de forma transparente, ética e proativa não apenas reduzem sua exposição a incidentes, mas também constroem relacionamentos mais duradouros e leais com seus clientes.
Implementar uma cultura de privacidade sólida, sustentada por governança forte, tecnologias adequadas e práticas transparentes, posiciona a empresa como referência no mercado e diferencia sua marca num cenário cada vez mais sensível às questões de segurança e direitos dos titulares.
Próximos Passos para Evoluir a Maturidade em Privacidade
Para as seguradoras que desejam fortalecer ainda mais sua atuação em privacidade de dados, algumas recomendações práticas são:
- Avaliar a maturidade atual com frameworks reconhecidos (como NIST ou ISO/IEC 27701);
- Investir em iniciativas de Privacy by Design em novos produtos e serviços;
- Ampliar programas de treinamento e conscientização em toda a organização;
- Estabelecer KPIs claros para acompanhar a evolução da privacidade;
- Preparar-se para futuras atualizações regulatórias, como evoluções do Open Insurance e SRO.
Construir a confiança do cliente por meio da proteção de dados é um caminho contínuo e, ao mesmo tempo, uma das maiores oportunidades estratégicas para o futuro do setor de seguros.
Como a add pode apoiar
A add possui expertise no mercado segurador e em projetos de tecnologia voltados à proteção de dados. Estamos prontos para apoiar sua organização na jornada de fortalecimento da privacidade, aumentando a confiança dos seus clientes e impulsionando sua posição no mercado.
Autor: Ricardo Brandão – Head de projetos da add
