La LGPD y los retos regulatorios del Seguro Abierto
*Por Alfredo Viana, Superintendente Jurídico de la Confederación Nacional de Aseguradoras, y Karini Madeira, Superintendente de Seguimiento Técnico de la Confederación Nacional de Aseguradoras.
Brasil se encuentra en un momento decisivo en su agenda digital. La Unión Europea ha presentado la versión preliminar de la decisión de adecuación que reconoce la LGPD como compatible con el RGPD. Este es el proceso más exhaustivo jamás llevado a cabo por la Comisión Europea, consolidando al país como referente internacional en privacidad y protección de datos. Este reconocimiento crea un entorno de mayor seguridad jurídica para el flujo transfronterizo de información, aumenta la confianza mutua entre jurisdicciones y posiciona a Brasil en una posición más competitiva a nivel mundial.
Sin embargo, este progreso coexiste con acontecimientos preocupantes. Ciberataques recientes que involucraron a intermediarios PIX en el sector de las Finanzas Abiertas, como los casos de Sinqia y C&M Software, revelaron graves fallos de gobernanza y gestión de credenciales, lo que resultó en pérdidas multimillonarias. Si bien algunos fondos se bloquearon rápidamente, la magnitud de los incidentes pone de relieve cómo las cadenas de suministro críticas pueden convertirse en puntos vulnerables, lo que podría comprometer la resiliencia del sistema.
Desde la perspectiva de la LGPD, estos incidentes no se limitan a pérdidas financieras, sino que también constituyen posibles brechas de seguridad de la información que generan obligaciones legales específicas. En caso de un ciberataque, las instituciones deben contar con sólidos planes de respuesta a incidentes de seguridad de datos. Según el artículo 48 de la LGPD, estos planes deben incluir la comunicación obligatoria del incidente a la Autoridad Nacional de Protección de Datos (ANPD) y a los interesados afectados, detallando la naturaleza de los datos comprometidos, las medidas de seguridad aplicadas, los riesgos y las medidas adoptadas para mitigar los daños.
Además, la importancia de la gestión de proveedores exige cláusulas contractuales estrictas con todos los proveedores e intermediarios críticos, especialmente en el ámbito de las Finanzas Abiertas y los Seguros Abiertos. Estos contratos, basados en los artículos 39, 42 y 43 de la LGPD, deben definir claramente las responsabilidades de cada parte (responsable del tratamiento y operador). La debida diligencia legal con estos terceros debe ser continua y exhaustiva, e ir más allá de una simple auditoría técnica.
En el sector asegurador, podría ocurrir un evento similar, salvo que, en lugar de transacciones financieras inmediatas, el mayor riesgo sería el uso indebido o la filtración de datos personales. En el ámbito asegurador, los impactos de una filtración pueden ser silenciosos, acumulativos y difíciles de medir a corto plazo. A menudo, las consecuencias de un ataque de este tipo solo se manifiestan meses o años después, de forma difusa y con efectos duraderos. Aquí es donde entran en juego las Evaluaciones de Impacto sobre la Protección de Datos (EIPD), según el art. 38 de la LGPD, además de las normas y directrices de la ANPD. Estos informes son herramientas esenciales para identificar y mitigar de forma proactiva los riesgos asociados al tratamiento de datos personales en sistemas complejos como Open Insurance y otros sistemas “abiertos”, mediante la modelización de escenarios de fuga y uso indebido de datos para evaluar los impactos a largo plazo y proponer medidas preventivas.
En este escenario, de acuerdo con la RIPD/DPIA, la protección de las credenciales de los clientes cobra aún más importancia. Tanto la gestión de credenciales como los sistemas de autenticación deficientes o poco sofisticados amplían la superficie de ataque y aumentan la exposición al riesgo. Por lo tanto, es fundamental invertir en mecanismos de verificación de identidad modernos y robustos capaces no solo de prevenir el acceso no autorizado, sino también de empoderar a los clientes, garantizando un mayor control y transparencia sobre cuándo, cómo y quién accede a sus datos.
Por ello, en el contexto de los Seguros Abiertos, el estricto cumplimiento de la LGPD adquiere un papel fundamental. Más que simplemente cumplir con una obligación legal, es un requisito esencial para garantizar la confianza del consumidor en un modelo basado precisamente en el intercambio de datos personales. El cumplimiento de la LGPD ofrece no solo seguridad jurídica, sino también una diferenciación competitiva para las instituciones que demuestran un firme compromiso con la privacidad y la protección de datos. En un entorno abierto e integrado, el cumplimiento legal debe ir de la mano de los controles tecnológicos y las buenas prácticas de gobernanza, garantizando que la innovación avance sin comprometer los derechos fundamentales de los clientes.
Por lo tanto, es crucial que las instituciones aborden los desafíos prácticos de la gestión del consentimiento en un entorno multisectorial, garantizando que este sea libre, informado e inequívoco, y que pueda revocarse en cualquier momento (artículo 8 de la LGPD). Esto requiere un mapeo legal detallado de los flujos de datos, una arquitectura de consentimiento granular que distinga las finalidades del tratamiento y la implementación de mecanismos para auditar y demostrar la base legal de cada operación de tratamiento de datos. El rol de un Delegado de Protección de Datos (DPD) con autonomía y experiencia legal es crucial en este contexto.
Este conjunto de factores refuerza la necesidad de estrategias de monitorización continua, inteligencia aplicada a la detección de anomalías y rigurosas auditorías externas. Los modelos abiertos e integrados, como Open Insurance y Open Finance, requieren no solo cumplimiento legal y normativo, sino también solidez operativa y madurez en ciberseguridad. La confianza del consumidor, después de todo, es un activo intangible que debe protegerse rigurosamente.
El reconocimiento europeo es un paso histórico y merece ser celebrado. Sin embargo, para que se convierta en una ventaja real, el país deberá transformar los avances regulatorios en prácticas consistentes de seguridad y gobernanza. El futuro del Seguro Abierto —y de la economía digital brasileña— dependerá de cómo equilibremos la innovación, la regulación y la resiliencia, garantizando que los logros alcanzados hoy se traduzcan en una protección eficaz y un mercado más sólido en el futuro.
