A. INTRODUÇÃO
No âmbito da sua actividade o Banco BPI, S.A., sociedade aberta, com sede no Porto, na Rua Tenente Valadim, n.º 284, matriculado na Conservatória do Registo Comercial do Porto, sob o número de matrícula e de Pessoa Colectiva 501 214 534, com o capital social de 1.293.063.324,98 Euros (doravante designado como "Banco BPI") recolhe junto dos seus Clientes dados pessoais relacionados com os mesmos, quer presencialmente, quer remotamente, através dos seus Websites e aplicações móveis (Apps BPI), assegurando que o seu tratamento é feito de acordo com as regras de protecção da privacidade emergentes do Regulamento (UE) 2016/679 e demais legislação nacional aplicável, bem como de acordo com os deveres de confidencialidade a que o Banco BPI se encontra sujeito nos termos do Regime Geral das Instituições de Crédito e Entidades Financeiras (Decreto-Lei n.º 298/92, de 31 de Dezembro).
Os dados recolhidos correspondem a dados que são fornecidos pelos próprios Clientes mediante o preenchimento de formulários, como será o caso da abertura de conta ou a contratação de um cartão de crédito, ou, ainda, dados pessoais que resultam dessas mesmas relações, incluindo da utilização dos canais digitais do Banco a que o Cliente tenha aderido, nomeadamente acessos, consultas, instruções, transações e outros registos relativos à sua utilização. Adicionalmente, o Banco trata dados dos seus Clientes que recolhe, nos termos da lei aplicável, (i) junto da Central de Responsabilidades de Crédito, ou (ii) no âmbito da venda de produtos e serviços por si comercializados na qualidade de mediador de seguros ou agente de sociedades prestadoras de serviços financeiros.
B. ENTIDADE RESPONSÁVEL PELO TRATAMENTO
A entidade responsável pelo tratamento é o Banco BPI na medida em que é o responsável pela determinação das finalidades e dos meios de tratamento dos dados pessoais dos seus Clientes/Utilizadores.
C. TIPO DE DADOS TRATADOS PELO BANCO
Os dados pessoais recolhidos correspondem aos dados de identificação, de filiação, de morada, de crédito, profissionais e de património que são fornecidos pelos próprios Clientes mediante o preenchimento de formulários, como será o caso da abertura de conta ou da contratação de um cartão de crédito, ou, ainda, dados pessoais que resultam dessas mesmas relações, como sejam as transacções efectuadas, os produtos e/ou serviços subscritos ou as instruções dadas.
Em particular no que diz respeito à utilização das Apps BPI, a activação de determinadas funcionalidades implica, ainda, a recolha do ID do dispositivo móvel associado à App BPI utilizada e poderá, ainda, implicar o acesso pelo Banco BPI, quando consentido pelos Clientes/Utilizadores, aos dados/informações a seguir indicados, embora tal acesso não implique o registo nas bases de dados do Banco BPI ou qualquer outro tipo de tratamento: (i) acesso à localização geográfica, tendo por fim a localização de Balcões, Centros de Investimento e Centros de Empresa do Banco BPI; (ii) acesso à Câmara ou Biblioteca de fotografias por forma a associar a fotografia de um contacto a um pagamento pré-definido ou transferências para um beneficiário; (iii) acesso ao telefone para permitir fazer chamadas para os números de assistência ao Cliente; (iv) acesso à impressão digital/reconhecimento facial em terminais que o suportam, para identificação do respectivo utilizador; e (v) acesso à memória interna e/ou externa para suporte da gravação de documentos de que se faça download;
Em qualquer caso, o Cliente será sempre informado da necessidade de acesso de tais dados para a utilização das funcionalidades em causa, podendo o cliente não consentir.
Adicionalmente, o Banco BPI trata dados de crédito dos seus Clientes que recolhe, nos termos da lei aplicável, (i) junto da Central de Responsabilidades de Crédito, ou (ii) no âmbito da venda de produtos e serviços por si comercializados na qualidade de mediador de seguros ou agente de sociedades prestadoras de serviços financeiros.
Quando no estabelecimento de relações comerciais entre o Cliente e o Banco BPI se recorra a meios digitais, mediante a utilização da assinatura eletrónica, o Banco BPI trata, ainda, os dados biométricos inerentes à criação da mesma, nos termos da Convenção de Utilização de Assinatura Digital que é subscrita pelo Cliente sempre que adere a este serviço.
Importa ter presente que nos termos da Lei de Combate ao Branqueamento de Capitais e ao Financiamento do Terrorismo, a abertura de uma conta de depósitos à ordem junto de uma instituição de crédito, o estabelecimento de uma qualquer outra relação de negócio, como por exemplo a contratação de um cartão de crédito, ou realização de uma transação ocasional, estão condicionadas à recolha e tratamento dos seguintes dados de identificação e respetivos comprovativos: (i) fotografia; (ii) nome completo; (iii) assinatura; (iv) data de nascimento; (v) nacionalidade constante do documento de identificação; (vi) tipo, número, data de validade e entidade emitente do documento de identificação; (vii) número de identificação fiscal ou, quando não disponha de número de identificação fiscal, o número equivalente emitido por autoridade estrangeira competente; (viii) profissão e entidade patronal, quando existam; (ix) endereço completo da residência permanente e, quando diverso, do domicílio fiscal; (x) naturalidade; e (xi) outras nacionalidades não constantes do documento de identificação.
Por outro lado, a contratação de crédito pelos consumidores, ou seja por pessoas singulares que contratem com objetivos alheios à sua atividade comercial ou profissional, está sujeita, nos termos da lei (Decreto-Lei nº 133/2009 e Decreto –Lei nº 74-A/2017), à prévia avaliação, pelo Banco, da solvabilidade do Cliente que solicita crédito ou um aumento do crédito contratado. A avaliação da solvabilidade obriga, nos termos do Aviso nº 4/2017, a recolher e tratar, pelo menos, os seguintes dados pessoais dos Clientes: (i) idade e situação profissional do Cliente; (ii) rendimentos auferidos pelo Cliente; (iii) despesas regulares do Cliente; e (iv) cumprimento das obrigações assumidas pelo Cliente noutros contratos de crédito, quer junto do Banco BPI, quer junto de outras instituições de crédito.
D. FINALIDADES DO TRATAMENTO
Os dados pessoais recolhidos pelo BPI são tratados para as seguintes finalidades:
(a) O estabelecimento de relações comerciais entre os Clientes particulares e o Banco BPI, nomeadamente a abertura de conta de depósitos à ordem, a celebração e execução de contratos de aquisição de produtos bancários e de instrumentos financeiros, a concessão de crédito ou a prestação de serviços financeiros e, ainda, a aquisição de produtos financeiros e/ou seguros de entidades de que o Banco BPI seja o agente;
(b) A avaliação comercial e/ou de risco de operações de crédito contratadas ou a contratar;
(c) A identificação de produtos e/ou serviços bancários e financeiros que possam ser do interesse dos seus Clientes, utilizando para o efeito técnicas estatísticas e a definição de perfis/segmentação de Clientes, com o objetivo de realização de ações de comercialização direta (marketing direto);
(d) O cumprimento de obrigações regulatórias, relacionadas, nomeadamente com a prevenção e controlo da fraude, com o combate ao branqueamento de capitais e financiamento do terrorismo ou com obrigações em matéria fiscal;
(e) A adoção de meios e procedimentos de segurança das pessoas e bens que implicam, em determinados casos, a recolha de imagens no contexto da videovigilância;
(f) Ações de recuperação de crédito ou a intervenção em processos de insolvência ou de qualquer outra natureza tendo em vista o exercício ou a defesa dos direitos que assistem ao Banco BPI enquanto credor;
(g) A realização, nos termos da lei, de operações de cessão de créditos para efeitos, nomeadamente, de operações de titularização de crédito.
(h) Adicionalmente, e no que diz respeito aos dados recolhidos nos canais digitais em resultado da sua utilização pelos Clientes, os mesmos visam, ainda, melhorar a navegação nesses canais e adequá-los ao dispositivo que é utilizado (computador ou equipamento móvel), mediante a utilização de cookies que, em qualquer caso, poderão ser descativados pelos Clientes.
E. TRATAMENTO AUTOMATIZADO E PROFILING
Para a análise de risco de crédito e avaliação da solvabilidade dos seus clientes, o Banco BPI recorre a técnicas de estatística e de segmentação de clientes (profiling), utilizando para o efeito os dados pessoais recolhidos directamente junto dos seus clientes ou que resultem da relações destes estabelecidas com o Banco BPI, como por exemplo o tipo de produtos subscritos, as operações de crédito contratadas, o nível de incumprimento registado, etc. Adicionalmente, o Banco BPI recorre, nos termos da lei, aos dados constantes da Central de Responsabilidades de Crédito do Banco de Portugal.
O Banco BPI utiliza, ainda, técnicas de estatística e de segmentação de clientes (profiling) para adequar a sua oferta aos seus clientes e a realização de acções de marketing directo utilizando para o efeito os dados atrás identificados e, quando aplicável, os dados de navegação no BPI Net (homebanking) e App BPI, como por exemplo os acessos, as consultas, as instruções, as transacções e outros registos relativos à sua utilização.
Nas suas análises e tratamento, nomeadamente na criação de perfis/segmentos de clientes, o Banco BPI não utiliza dados pessoais fornecidos por terceiras entidades, com excepção, como já referido, dos dados constantes da Central de Responsabilidades de Crédito a que o Banco BPI acede nos termos da lei aplicável, ou de dados que resultem do estabelecimento, por intermédio do Banco BPI, de relações comerciais dos seus clientes com os parceiros comerciais do Banco BPI e na qual o Banco BPI intervém na qualidade de agente.
O recurso a técnicas de profiling/definição de perfis não implica, contudo, uma tomada de decisão exclusivamente automática por parte do Banco BPI, com excepção da contratação de crédito através dos canais digitais do Banco BPI (BPI Net e App BPI), a qual, pela sua própria natureza, não tem qualquer intervenção humana, assistindo, contudo, aos clientes do Banco BPI o direito de pedirem uma reavaliação das decisões assim tomadas pelo Banco BPI, apresentando elementos adicionais ou as suas condições particulares.
Refira-se ainda que a utilização de técnicas de profiling (definição de perfis) visa, também, responder a obrigações a que as instituições de crédito estão vinculadas no âmbito, nomeadamente, da Lei de Combate ao Branqueamento de Capitais e Financiamento do Terrorismo, das leis e regulamentos, nacionais e comunitários, que regulam os mercados financeiros, do regime jurídico do crédito a consumidores e do regime jurídico do crédito hipotecário, incluindo o crédito à habitação.
F. CANAIS DIGITAIS E UTILIZAÇÃO DE COOKIES
Conforme já referido, o Banco BPI, S.A., procede à recolha e ao tratamento dos dados pessoais necessários à disponibilização e funcionamento dos seus Websites e das suas aplicações móveis (Apps BPI), daqui em diante designados por Canais Digitais ou simplesmente Canais, garantindo, no entanto, adequados níveis de segurança e de protecção dos dados pessoais dos Clientes/Utilizadores que aos mesmos tenham aderido.
Para o efeito, foram adoptadas diversas medidas de segurança físicas, lógicas, técnicas e organizativas, de forma a proteger os dados pessoais contra a sua difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como contra qualquer outra forma de tratamento ilícito.
Não obstante as medidas de segurança adoptadas pelo Banco BPI, o Cliente/Utilizador dos Canais deverá guardar segredo dos códigos de acesso, não os partilhando com terceiros, devendo, ainda, no caso particular das Apps BPI, manter e conservar o dispositivo móvel no qual faça o download das mesmas, em condições de segurança e seguir as práticas de segurança aconselhadas pelo fabricante e/ou operadora, nomeadamente quanto à instalação e actualização dos necessários aplicativos de segurança, nomeadamente, antivírus.
O Banco BPI utiliza nos seus Websites cookies, entendo-se como tal pequenos ficheiros de texto com informação relevante que o dispositivo de acesso (computador, telemóvel/smartphone ou tablet) carrega, através do navegador de internet (browser), quando um site é visitado pelo Cliente/Utilizador.
O Cookies que o Banco utiliza permitem melhorar o desempenho e a experiência de navegação dos seus Clientes/Utilizadores, aumentando, por um lado, a rapidez e eficiência de resposta e, por outro, eliminando a necessidade de introduzir repetidamente as mesmas informações. A colocação de cookies não só ajuda os Websites a reconhecer o dispositivo do Cliente/Utilizador na próxima vez que este os visita, mas também será imprescindível para o funcionamento dos mesmos. Os cookies usados pelo Banco BPI, em todos os seus Websites, não recolhem informações pessoais que permitam identificar o Cliente/Utilizador, guardando apenas informações genéricas, designadamente a forma ou local/país de acesso do Cliente/Utilizador e o modo como usam os Websites, entre outros. Os cookies retêm apenas informação relacionada com as preferências dos Clientes/Utilizadores. O Cliente/Utilizador pode, a qualquer momento e através do seu navegador de internet (browser), decidir ser notificado sobre a recepção de cookies, bem como bloquear a respectiva entrada no seu sistema. Alerta-se para o facto da recusa de uso de cookies pode resultar na impossibilidade de acesso a algumas das áreas dos Websites do Banco BPI.
O Banco BPI utiliza diferentes tipos de cookies, conforme a seguir descrito:
(i) Cookies essenciais - alguns cookies são essenciais para aceder a áreas específicas dos Websites BPI, permitindo a navegação e a utilização das suas aplicações, tal como o acesso a áreas seguras do site, através de login. Sem estes cookies, os serviços que o exijam não podem ser prestados;
(ii) Cookies de funcionalidade - os cookies de funcionalidade permitem relembrar as preferências do utilizador relativamente à navegação nos Websites, não necessitando, assim, de o reconfigurar e personalizar cada vez que o visita;
(iii) Cookies analíticos - Estes cookies são utilizados para analisar a forma como os utilizadores usam os Websites, permitindo destacar artigos ou serviços que podem ser do interesse dos utilizadores, e monitorizar o desempenho dos sites, conhecendo quais as páginas mais populares, qual o método de ligação entre páginas que é mais eficaz ou para determinar a razão de algumas páginas estarem a receber mensagens de erro. Estes cookies são utilizados apenas para efeitos de criação e análise estatística, sem nunca recolher informação de carácter pessoal. Assim, o Banco BPI, pode fornecer uma experiência de elevada qualidade ao personalizar a sua oferta e, rapidamente, identificar e corrigir quaisquer problemas que surjam.
Também quanto à validade existem dois tipos de cookies: (i) Cookies permanentes – são cookies que ficam armazenados nos dispositivos de acesso (computador, telemóvel, smartphone ou tablet), ao nível do navegador de internet (browser), e são usados sempre que o Cliente/Utilizador visita novamente qualquer Website do Banco BPI. Em geral, são usados para direccionar a navegação de acordo com os interesses do utilizador, permitindo ao Banco BPI prestar um serviço mais personalizado; (ii) Cookies de sessão - são cookies temporários, que são gerados e estão disponíveis até encerrar a sessão. Da próxima vez que o Cliente/Utilizador aceder ao seu navegador de internet (browser) os cookies já não estarão armazenados. A informação obtida permite gerir as sessões, identificar problemas e fornecer uma melhor experiência de navegação. Os Cliente/Utilizadores poderão desactivar parte ou a totalidade dos cookies a qualquer momento. Devem, para tal, seguir as instruções apresentadas na página "Gerir o uso de cookies". Ao desactivar os cookies os Websites do Banco BPI poderão não funcionar correctamente.
O Banco BPI poderá, ainda, utilizar cookies na abertura das newsletters/emails, para fins estatísticos, e que permitem saber se são abertas e verificar os cliques através de links ou anúncios dentro da newsletter. O Cliente/Utilizador tem sempre a possibilidade de desactivar o envio das newsletters/correio electrónico através da opção específica no rodapé das mesmas.
G. DESTINATÁRIOS DOS DADOS
O Banco BPI está obrigado por lei a comunicar às entidades reguladoras que superentendem a sua actividade, e a outras entidades públicas/oficiais, dados pessoais dos seus clientes, relacionados com a sua identidade, com as suas responsabilidades de crédito, respectivas contas bancárias, à ordem e a prazo, subscrição de instrumentos financeiros e respectiva remuneração, incluindo às seguintes entidades:
(a) Banco de Portugal: Central de Responsabilidades de Crédito e Base de Dados de Contas do Sistema Bancário;
(b) Autoridade Tributária e Aduaneira;
(c) Departamento Central de Investigação e Acção Penal (DCIAP), Unidade de Informação Financeira e demais autoridades judiciais, policiais e sectoriais nos termos previstos na Lei de Combate ao Branqueamento de Capitais e ao Financiamento do Terrorismo. Ainda neste âmbito, o Banco BPI está obrigado nos termos da lei a partilhar informação com as demais entidades do grupo societário em que o Banco BPI se integra, nomeadamente com o CaixaBank, S.A., sociedade que detém a maioria do capital social do Banco BPI;
(d) Comissão de Mercados de Valores Mobiliários, nos termos previstos no regime legal e regulatório dos mercados de instrumentos financeiros.
Adicionalmente e sempre que o Banco BPI intenta acções de recuperação de crédito ou intervém em processos de insolvência ou de qualquer outra natureza para o exercício ou defesa de um direito que lhe assiste num processo judicial, os dados pessoais dos clientes de identificação e relacionados com processo em causa são comunicados às autoridades judiciais intervenientes.
Refira-se, ainda, que o Banco BPI estabelece parcerias comerciais com determinadas entidades nos termos das quais são atribuídas vantagens ou benefícios aos seus clientes, como será, por exemplo, o caso dos cartões de crédito co-branded, que dão vantagens aos titulares de tais cartões quando efectuam compras nos estabelecimentos dos parceiros do Banco BPI. Nestes casos e com o consentimento dos clientes, o Banco BPI poderá transferir para esses parceiros comerciais dados dos seus Clientes com o objectivo destes lhes dirigirem ofertas relacionadas com os produtos/serviços por eles comercializados. Em qualquer caso, aos Clientes do Banco BPI assiste sempre o direito de retirarem o seu consentimento à transferência dos dados.
Por último, o Banco BPI recorre, para o exercício da sua actividade, a prestadores de serviços que poderão ter acesso a dados pessoais dos seus Clientes. O Banco BPI assegura que nestas circunstâncias adopta todas as medidas técnicas e organizativas consideradas adequadas de forma a assegurar que as entidades subcontratadas que tenham acesso aos dados são reputadas e oferecem as mais elevadas garantias a este nível, e que garantem o cumprimento da legislação aplicável em matéria de privacidade e protecção dos dados dos Clientes, incluindo no que ao exercício de direitos dos titulares dos dados diz respeito.
H. PRAZO DE CONSERVAÇÃO DOS DADOS
O tratamento dos dados pelo Banco BPI manter-se-á enquanto forem necessários para a relação comercial estabelecida com os seus clientes. Terminada a relação comercial, os dados pessoais dos seus clientes manter-se-ão pelos prazos legais obrigatórios ou até que prescrevam, nos termos da lei, os direitos delas emergentes. Em qualquer caso, terminada a relação com os clientes os dados deixaram de ser tratados para efeitos comerciais.
I. DIREITOS DOS TITULARES DE DADOS PESSOAIS
Nos termos da lei aplicável, aos Clientes, titulares de dados pessoais, assistem os seguintes direitos:
(a) Direito de Informação, que consiste no direito dos Clientes em serem informados pelo Banco BPI, entre outros aspetos, sobre a finalidade do tratamento dos dados, a quem podem os mesmos ser comunicados, quais os direitos que lhes assistem e em que condições os podem exercer, bem como quais os dados que têm de fornecer obrigatoriamente;
(b) Direito de Acesso, que consiste no direito dos Clientes de acederem aos respetivos dados pessoais que tenham por si sido fornecidos, sem restrições, sem demoras ou custos excessivos, bem como saber quaisquer informações disponíveis sobre a origem desses dados;
(c) Direito de Retificação, que consiste no direito dos Clientes de exigirem que os seus dados sejam exatos e atuais, podendo solicitar a sua retificação junto do Banco BPI;
(d) Direito de Eliminação (ou ao "esquecimento"), que consiste no direito dos Clientes de exigirem a eliminação dos seus dados pessoais dos registos do Banco BPI quando os mesmos deixem de ser utilizados para as finalidades para que foram recolhidos, sem prejuízo, contudo, dos prazos de retenção que por lei se imponham;
(e) Direito de Oposição, que consiste no direito dos Clientes de se oporem, a seu pedido e gratuitamente, ao tratamento dos seus dados pessoais para efeitos de marketing direto;
(f) Direito à Portabilidade, que consiste no direito dos Clientes de receberem os dados pessoais que tenham fornecido ao Banco BPI, num formato estruturado, de uso corrente e de leitura automática, e transmitir esses dados a outro responsável pelo tratamento. No caso particular da atividade bancária, este direito tem a sua maior expressão no serviço de mudança de conta regulado na Lei nº 105/2017, de 30 de Agosto;
(g) Direito à Limitação do Tratamento, que consiste no direito que os Clientes têm de, em determinadas circunstâncias, solicitarem ao Banco BPI a limitação do tratamento dos seus dados, nomeadamente (i) quando contestem a exatidão dos seus dados pessoais, durante um período que permita ao Banco BPI verificar a sua exatidão; (ii) se tratamento for ilícito e o Cliente se opuser ao apagamento dos dados, solicitando, em contrapartida, a limitação da sua utilização; ou (iii) quando o Banco BPI já não precise dos dados pessoais do Cliente para fins de tratamento, mas esses dados sejam requeridos pelo Cliente para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
(h) Direito à Reclamação junto da CNPD, que consiste no direito apresentar, sem prejuízo de qualquer outra via de recurso administrativo ou judicial, uma reclamação a uma autoridade de controlo, em especial no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o Geral de Proteção de Dados (Regulamento (UE) 2016/679) e demais legislação nacional aplicável. Em Portugal a autoridade de controlo é a Comissão Nacional de Protecção de Dados.
Para o exercício de qualquer dos seus direitos, incluindo para acederem aos seus dados ou solicitarem a sua retificação, eliminação ou oporem-se ao seu tratamento nos termos da lei, os Clientes poderão dirigir-se a qualquer Balcão ou Centro de Investimento BPI, ou utilizar outro canal que o Banco BPI disponibilize para esse efeito.
Os Clientes poderão, ainda, retirar a qualquer momento o seu consentimento, quando aplicável, dirigindo-se a qualquer Balcão ou Centro de Investimento BPI, ou utilizar outro canal que o Banco BPI disponibilize para o efeito.
J. ENCARREGADO DA PROTECÇÃO DE DADOS
Para obter qualquer esclarecimento relacionado com a presente Política de Privacidade e Cookies, o Cliente/Utilizador poderá contactar o Encarregado da Protecção de Dados do Banco BPI através de carta enviada ao cuidado de "BPI DPO – para a Rua Tenente Valadim n.º 284 4100-476 Porto ou através do seguinte endereço electrónico: dpo.rgpd@bancobpi.pt.
Os clientes poderão, ainda, caso o pretendam apresentar reclamações ou pedidos de informação junto da Comissão Nacional de Protecção Dados, que é a autoridade de controlo nacional para efeitos do Regulamento Geral de Protecção de Dados e da lei nacional aplicável.
O Banco BPI reserva-se no direito de, a qualquer altura, proceder a reajustamentos ou alterações à presente Política de Privacidade, sendo essas alterações devidamente publicitadas pelo Banco BPI.
