Deliberação n.º 156/09



Documentos relacionados
DELIBERAÇÃO Nº 41 /2006 Aplicável aos tratamentos de dados no âmbito da Gestão da Informação dos Serviços de Segurança, Higiene e Saúde no Trabalho

Normas de protecção de dados aplicáveis ao marketing: o caso específico da subcontratação

澳 門 特 別 行 政 區 政 府 Governo da Região Administrativa Especial de Macau 個 人 資 料 保 護 辦 公 室 Gabinete para a Protecção de Dados Pessoais

Orientações para o tratamento de dados pessoais com finalidade da propaganda na eleição

CÓDIGO DE CONDUTA DOS PROFISSIONAIS DE ESTUDOS DE MERCADO E DE OPINIÃO RELATIVO AO TRATAMENTO DE DADOS PESSOAIS

Responsabilidades no crédito II

Avisos do Banco de Portugal. Aviso nº 2/2007

DELIBERAÇÃO Nº 72 / I - Introdução

COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS. As dinâmicas de grupo e os perfis de consumo

Artigo 1.º Âmbito. Artigo 2.º Equidade, Diligência e Transparência

(Atos não legislativos) REGULAMENTOS

REGULAMENTO SOBRE INSTALAÇÃO DE EQUIPAMENTO DE VIDEOVIGILÂNCIA

Decreto-Lei n.º 36/1992 de 28/03 - Série I-A nº74

O MARKETING DIRECTO POR

(85/577/CEE) Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o seu artigo 100º,

POLÍTICA DE PRIVACIDADE. Site

Programa de Formação para Profissionais

CAPÍTULO I DISPOSIÇÕES GERAIS

Regulamento da Política de Tratamento da MAPFRE SEGUROS no Quadro do seu Relacionamento com os Tomadores de Seguros, Segurados, Beneficiários ou

Concurso limitado por prévia qualificação para a celebração de acordo quadro para a prestação do serviço de seguro automóvel

ANTEPROJECTO DE DECRETO-LEI RELATIVO AOS SEGUROS DE GRUPO

Secção II 1* Fundos e sociedades de investimento imobiliário para arrendamento habitacional

MEDIDAS DE PROTECÇÃO DO CONSUMIDOR NA CELEBRAÇÃO DE CONTRATOS DE SEGURO DE VIDA ASSOCIADOS

A QUEM PODE DAR ORDENS PARA INVESTIMENTO COMO E ONDE SÃO EXECUTADAS

Por despacho do Presidente da Assembleia da República de 26 de Julho de 2004, foi aprovado

Publicado no Diário da República, I série nº 79, de 28 de Abril. Decreto Presidencial N.º 95/11 de 28 de Abril

Restituição de cauções aos consumidores de electricidade e de gás natural Outubro de 2007

L 306/2 Jornal Oficial da União Europeia

Índice Descrição Valor

PROGRAMA DE MODERNIZAÇÃO DA FEDERAÇÃO DE ANDEBOL DE PORTUGAL

REGULAMENTO DO PROVEDOR DO CLIENTE DAS EMPRESAS DO GRUPO EDP

CONDIÇÕES GERAIS DE VENDA ONLINE Artigo 1.º. (Âmbito e Definições)

Certificação da Qualidade dos Serviços Sociais. Procedimentos

FICHA DOUTRINÁRIA. Diploma: CIVA Artigo: 29º, 36º e 40º

Financiamento de Planos de Benefícios de Saúde através de Fundos de Pensões

Instrumento que cria uma Rede de Cooperação Jurídica e Judiciária Internacional dos Países de Língua Portuguesa

Artigo 2.º Equidade, diligência e transparência

Decreto-Lei n.º 26/2012. de 6 de fevereiro

Marketing e Dados Pessoais no Crédito ao Consumo. Dezembro 2011

COMÉRCIO ELECTRÓNICO ELECTRÓNICO

PARECER N.º 38/CITE/2005

Lei nº 8/90 de 20 de Fevereiro. Bases da contabilidade pública

Formulário para pessoa singular (a preencher pelas pessoas identificadas em 1.2.)

Política WHOIS do Nome de Domínio.eu

Emitente: CONSELHO DIRECTIVO. Norma Regulamentar N.º 07/2006-R. Data: Assunto: REGULAMENTAÇÃO DO DECRETO-LEI N.º 83/2006, DE 3 DE MAIO

Termos e Condições de Uso

Condições Particulares de Distribuição Atrium Investimentos Sociedade Financeira de Corretagem, S.A.

Norma ISO Norma ISO Norma ISO 9004 SISTEMA DE GESTÃO DA QUALIDADE REQUISITOS FUNDAMENTOS E VOCABULÁRIO

REGULAMENTO DA AGMVM N.º 1/2012 SUPERVISÃO PRUDENCIAL

Lei n.º 1/2005 de 10 de Janeiro.

Portaria nº 536/95, de 3 de Junho

UK-Londres: Prestação de serviços de organização de viagens 2012/S Anúncio de concurso. Serviços

Quais as principais diferenças entre um seguro de vida individual e um seguro de vida de grupo?

Decreto-Lei n.º 15/97/M. de 5 de Maio

Regulamento de Apoio Financeiro à Edição de Obras de Novos Autores Portugueses. Despacho Normativo n.º 9-C/2003 de 3 de Fevereiro de 2003

Portaria n.º 827/2005, de 14 de Setembro Estabelece as condições de venda de medicamentos não sujeitos a receita médica (MNSRM)

Proposta de adesão ao Programa de Comparticipação nos Cuidados de Saúde 2012

DIREITO AO ESQUECIMENTO NA INTERNET / / LIBERDADE DE INFORMAÇÃO (CASO PORTUGUÊS)

DIRECTIVA RELATIVA À CONCESSÃO DE EMPRÉSTIMOS HIPOTECÁRIOS PARA AQUISIÇÃO DE HABITAÇÃO

7. PROTOCOLO RELATIVO AOS PRIVILÉGIOS E IMUNIDADES DA UNIÃO EUROPEIA

PARECER N.º 28/CITE/2005

Procedimento de Contratação. (artº 5º do CCP Contratação Excluída) Procedimento 5/2013

PROJECTO DE CARTA-CIRCULAR SOBRE POLÍTICA DE REMUNERAÇÃO DAS INSTITUIÇÕES FINANCEIRAS

DIREITOS SINDICAIS I DISPOSIÇÕES GERAIS

Regulamento do Registo de Nomes de Domínio da Internet na Região Administrativa Especial de Macau

REGULAMENTO DE ATRIBUIÇÃO DE APOIOS PELO MUNÍCIPIO DE MORA. Nota justificativa

SISTEMA DE CERTIFICAÇÃO DE ENTIDADES FORMADORAS ASPECTOS PRINCIPAIS DA MUDANÇA

TELEDIAGNÓSTICO DO CASINO ONLINE UNIBET

CÓDIGO DAS SOCIEDADES COMERCIAIS

REGULAMENTO DO PROCESSO ESPECIAL DE ACREDITAÇÃO/RENOVAÇÃO DA ACREDITAÇÃO DE ENTIDADES CANDIDATAS À AVALIAÇÃO E CERTIFICAÇÃO DOS MANUAIS ESCOLARES

Princípios ABC do Grupo Wolfsberg Perguntas Frequentes Relativas a Intermediários e Procuradores/Autorizados no Contexto da Banca Privada

UK-Bramshill: Prestação de um serviço de linha de Internet alugada 2012/S Anúncio de concurso. Serviços

DELIBERAÇÃO. Por Deliberação do Conselho de Administração de 24 de Outubro de 2002, foi constituído um Grupo de Trabalho com o seguinte mandato:

Transcrição:

Deliberação n.º 156/09 Princípios aplicáveis aos tratamentos de dados pessoais no âmbito de Gestão de Informação com a finalidade de Prospecção de Opções de Crédito A Comissão Nacional de Protecção de Dados (CNPD) tem recebido diversas notificações de tratamentos de dados pessoais com a finalidade de gestão de informação de prospecção de opções de crédito. As entidades que desenvolvem esta actividade prestam serviços de aconselhamento e consultoria, com o objectivo de apresentar aos seus clientes as melhores opções de crédito, após consulta junto das instituições financeiras. Estes tratamentos de dados pessoais têm particularidades, designadamente a recolha de consentimento para a consulta à Central de Responsabilidades de Crédito do Banco de Portugal por parte de instituições de crédito. Acresce que a actividade é desenvolvida, em alguns casos, através do contrato de franchising, e, nesse contexto, os franqueados (responsáveis pelos tratamentos) estão vinculados ao fornecimento de informações à sociedade franqueadora, existindo, portanto, comunicação de dados a terceiros. Esta Deliberação analisa e delimita os princípios a observar pela CNPD na apreciação das notificações de tratamentos com esta finalidade que lhe sejam submetidas. Nas decisões a emitir, será feita remissão para esta Deliberação e respectivos fundamentos jurídicos, com o objectivo de adoptar critérios de eficácia e celeridade. Pretende-se, igualmente, com esta Deliberação: 1

- Disponibilizar aos responsáveis dos tratamentos os princípios de protecção de dados aplicáveis nestas situações e estabelecer as regras orientadoras para o cumprimento da Lei de Protecção de Dados; - Dar a conhecer aos titulares dos dados os direitos que lhes assistem e os limites estabelecidos para estes tratamentos de dados; Assim, tendo em conta: - A Convenção 108 do Conselho da Europa, de 28 de Janeiro de 1981; - A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro; - O artigo 35º da Constituição da República Portuguesa; - A Lei n.º 67/98, de 26 de Outubro; - O Decreto-Lei n.º 204/2008, de 14 de Outubro; - A Instrução n.º 7/2006 do Banco de Portugal; A Comissão Nacional de Protecção de Dados delibera estabelecer as seguintes orientações gerais para os tratamentos de dados pessoais com a finalidade de Gestão de Informação de Prospecção de Opções de Crédito: Controlo prévio Os tratamentos de dados com a finalidade de Gestão de Informação de Prospecção de Opções de Crédito incidem sobre dados de crédito e solvabilidade, pelo que, nos termos da alínea b) do artigo 28º da LPD, estão sujeitos a controlo prévio. Consequentemente, tais tratamentos não poderão iniciar-se antes da obtenção da respectiva Autorização da CNPD, a emitir nos termos e condições fixadas após notificação do tratamento a esta Comissão. 2

Princípios de Protecção de Dados Impõe-se que a CNPD aprecie, independentemente do fundamento de legitimidade aplicável ao caso concreto, se o tratamento está em conformidade com os princípios de protecção de dados, designadamente quanto à qualidade dos dados e quanto à admissibilidade do tratamento. Quanto à qualidade dos dados, estes devem ser adequados, pertinentes e não excessivos relativamente à finalidade da recolha. A adequação, pertinência, bem como a necessidade e não excessividade dos dados são aferidas pela ponderação das categorias de dados recolhidos em função da finalidade do tratamento. Importa, também, verificar se o tratamento é efectuado de forma lícita e com respeito pelos princípios da boa fé, tratando e conservando os dados pessoais apenas durante o tempo necessário ao cumprimento da finalidade. Desta forma, verifica-se a conformidade do tratamento com o artigo 5º da LPD. A observância dos princípios da transparência e da boa-fé está directamente relacionada com a prestação do direito de informação. De sublinhar que a informação efectivamente prestada pelos responsáveis pelo tratamento aos titulares dos dados é uma das medidas da transparência, da boa fé e da lealdade do tratamento. Impõe-se ainda realçar que os dados não podem tratados para finalidades diferentes das que justificaram a sua recolha. Finalidade A finalidade dos tratamentos é a Gestão de Informação de Prospecção de Opções de Crédito. 3

Responsável pelo Tratamento Nos termos do artigo 3º, alínea d), da Lei 67/98, o responsável pelo tratamento é a pessoa singular ou colectiva, ( ), que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento de dados pessoais. A entidade que presta o serviço de prospecção de opções de crédito, com quem o titular celebrou um contrato, é nos termos da alínea d), do artigo 3º, da Lei 67/98, o responsável pelo tratamento. Condições de legitimidade A condição de legitimidade para o tratamento de dados pessoais decorre da alínea a) do artigo 6º da Lei 67/98, na medida em que os dados são necessários para a execução do contrato celebrado entre o responsável pelo tratamento e o titular dos dados. No caso de a actividade ser desenvolvida no âmbito de um contrato de franchising, e, nesse contexto, os franqueados (responsáveis pelos tratamentos) estarem contratualmente vinculados ao fornecimento de informações à sociedade franqueadora, existe comunicação de dados a terceiros (entidades franqueadoras). O fundamento de legitimidade para esta comunicação de dados resulta, já não do contrato estabelecido entre o responsável e o titular dos dados, mas do consentimento prévio e inequívoco do titular dos dados (cf. corpo do artigo 6º da Lei n.º 67/98). Categorias de dados registados Nome, data de nascimento, estado civil, regime de bens, morada, número de telefone, e-mail, número de bilhete de identidade, número de identificação fiscal, profissão, entidade patronal, endereço da empresa, 4

NIB, rendimentos e dados patrimoniais, dados relativos ao crédito e solvabilidade, e existência de seguros de crédito. Não se admite o registo de opiniões valorativas, susceptíveis de gerar discriminação. Decisões individuais automatizadas Não são admitidas, nos termos do n.º 1, do artigo 13º, da Lei n.º 67/98, decisões que produzam efeitos na esfera jurídica do titular ou que o afectem de modo significativo tomadas exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente o seu crédito, a confiança de que é merecedora ou o seu comportamento. Tratamento efectuado por subcontratante Caso o responsável opte pela contratação de uma entidade externa, deve essa prestação de serviços ser regida por um contrato ou acto jurídico que vincule a entidade (subcontratante) ao responsável pelo tratamento. Desse contrato ou acto jurídico, que deverá revestir a forma escrita, com valor probatório legalmente reconhecido, deve constar que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe a obrigação de pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, bem como para garantir um nível de segurança adequado em relação aos riscos inerentes ao tratamento e à natureza dos dados a proteger (cf. artigo 14º da Lei n.º 67/98). 5

Medidas de Segurança Em relação à segurança da informação e porque estão em causa dados relativos a crédito e solvabilidade importa considerar as medidas previstas no artigo 15.º da Lei 67/98. Tais medidas devem aplicar-se tanto aos dados contidos em ficheiros automatizados, como aos dados manuais. Importa ainda ter em atenção os procedimentos concretos quanto às formas de recolha, processamento e circulação da informação. Nesse sentido, o sistema informatizado deve estar estruturado de modo a permitir o acesso à informação de acordo com os diferentes níveis de acesso dos utilizadores, sendo atribuídas palavras-passe de software que disciplinem as autorizações de acesso. Tais palavras-passe devem ainda ser periodicamente alteradas e eliminado o perfil do utilizador logo que este deixe de ter privilégios de acesso. Devem, pois, ser adoptadas medidas de segurança que impeçam o acesso à informação a pessoas não autorizadas. Sempre que haja circulação da informação em rede aberta, devem ser adoptadas especiais medidas de segurança, designadamente através da transmissão cifrada de dados (nº 4 do artigo 15º da Lei 67/98). Ainda no âmbito das condições de segurança, deve ser garantido um acesso restrito, sob o ponto de vista físico e lógico, aos servidores do sistema, que devem manter um registo de acesso à informação para controlo das operações e para a realização auditorias de internas e externas. De igual modo, devem ser feitas cópias de segurança (backups) da informação, as quais deverão ser mantidas em local apenas acessível ao administrador de sistema ou, sob sua direcção, a outros técnicos obrigados a segredo profissional. 6

No que diz respeito aos dados contidos em suporte de papel, devem ser adoptadas medidas organizacionais que garantam um nível de segurança idêntico, impedindo o acesso e manuseamento indevidos. Independentemente das medidas de segurança adoptadas pela entidade responsável pelo tratamento, é a esta que cabe assegurar o resultado da efectiva segurança da informação e dos dados tratados. Comunicação de dados Há comunicação dos dados aos Bancos e Instituições Financeiras de Crédito a operar em Portugal, com vista à apresentação das necessárias propostas de pedidos de crédito ou outros, no âmbito do contrato estabelecido. No caso de a actividade ser desenvolvida no âmbito de um contrato de franchising, e, nesse contexto, os franqueados (responsáveis pelos tratamentos) estarem contratualmente vinculados ao fornecimento de informações à sociedade franqueadora, existe comunicação de dados a terceiros (entidades franqueadoras). Esta comunicação de dados é necessária para o processamento de um pagamento (royalties) a realizar pelo franqueador ao franqueado. O pagamento é calculado, por regra, em função do número de clientes angariados para cada instituição de crédito. Nestas situações, apenas os dados considerados estritamente necessários para o processamento dos pagamentos contratualmente devidos ao franqueado podem ser comunicados identificação do cliente, identificação da entidade que concedeu o crédito, produto financeiro e montante da transacção e desde que exista consentimento 7

prévio e inequívoco do titular dos dados (cf. corpo do artigo 6º da Lei n.º 67/98). Consulta à Central de Responsabilidades de Crédito do Banco de Portugal As instituições de crédito e as sociedades financeiras necessitam de avaliar os riscos das operações de concessão de crédito. A consulta à base de dados da Central de Responsabilidades de Crédito do Banco de Portugal permite apoiá-las na avaliação desse risco, através da obtenção da informação agregada das responsabilidades de crédito efectivas assumidas pelo titular dos dados. Nos termos do n.º 3, do artigo 6.º, do Decreto-Lei n.º 204/2008, de 14 de Outubro, são condições de legitimidade do pedido de informação ser a entidade requerente credora actual da pessoa singular ou colectiva em causa ou, não sendo credora, ter desta recebido pedido de concessão de crédito. A Instrução n.º 7/2006 do Banco de Portugal 1 determina que o acesso à informação individual centralizada apenas é permitido às entidades participantes, às companhias seguradoras e aos beneficiários de crédito, nas condições previstas, respectivamente, nas alíneas a) e b) do ponto 5.3 e no ponto 6. São entidades participantes as entidades sujeitas à supervisão do Banco de Portugal que concedam crédito, sucursais de instituições de crédito com sede no estrangeiro e actividade em Portugal e outras entidades designadas pelo Banco de Portugal que, de algum modo, exerçam funções de crédito ou actividade com este directamente 1 1 Aplicável por força do disposto no n.º 2 do artigo 11.º do Decreto-Lei n.º 204/2008, de 14 de Outubro. 8

relacionada, e que figuram na lista publicada no sítio do Banco de Portugal na Internet (ponto 2.2 da referida Instrução). Não sendo o responsável pelo tratamento uma entidade participante, não pode aceder a esta informação. Contudo, nada obsta a que, materialmente, recolha o consentimento do titular dos dados/cliente, o qual é dado directamente a cada uma das instituições de crédito (devidamente identificada), para que estas acedam à informação junto do Banco de Portugal. Direitos dos Titulares A prestação de informação por parte do responsável do tratamento ao titular dos dados é um direito essencial no regime de protecção de dados, com consagração constitucional. Ademais, o direito de informação é corolário dos princípios da boa fé, da lealdade e da transparência, pelo que o titular dos dados deve «ter conhecimento da existência de um tratamento de dados pessoais e obter, no momento em que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias dessa recolha» (cf. Considerando 38 da Directiva 95/46/CE). Assim sendo, deve o responsável pelo tratamento, no momento da recolha dos dados, garantir que são fornecidas ao cliente (titular dos dados) todas as informações constantes do nº 1 do artigo 10º da Lei 67/98. O direito de acesso aos seus dados pessoais por parte do titular, bem como o direito de os rectificar são igualmente direitos fundamentais (nº 1 do artigo 35º da CRP), essenciais para a verificação dos princípios da adequação, pertinência, exactidão e actualização dos dados pessoais (alíneas c) e d) do artigo 5º da Lei 67/98). 9

Nos termos do nº 1 do artigo 11º da Lei 67/98, o titular dos dados tem o direito de obter directamente do responsável do tratamento, livremente, sem restrições, com periodicidade razoável, sem demoras ou custos excessivos, o conjunto das informações previstas nas alíneas a) a e) da norma acima mencionada. Quanto ao direito de rectificação, este é exercido junto do responsável pelo tratamento, que deverá estabelecer a forma como o titular dos dados o pode fazer, no momento da prestação do direito de informação. Prazo máximo de conservação de dados De acordo com o disposto na alínea e) do nº 1 do artigo 5º da LPD, os dados pessoais objecto de tratamento devem ser conservados apenas durante o período necessário à prossecução da finalidade. Nos tratamentos com a finalidade de Gestão de Informação de Prospecção de Opções de Crédito, considera a CNPD que a informação apenas pode ser conservada pelo período de doze meses após o termo da relação contratual estabelecida com o titular dos dados, sem prejuízo da sua conservação, para além daquele prazo, em caso de pendência de acção judicial, com limite de três meses após trânsito em julgado. Lisboa, 3 de Março de 2009 Ana Roque, Luís Barroso, Helena Delgado António, Carlos Campos Lobo, Vasco Almeida, Luís Paiva de Andrade Luís Lingnau da Silveira (Presidente, que relatou) 10

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback