A. INTRODUÇÃO
No âmbito da sua atividade o Banco BPI, S.A., com sede no Porto, na Avenida da Boavista, n° 1117, 4100-129 Porto; Capital Social: € 1 293 063 324,98; matriculada na CRC Porto sob o número de matrícula PTIRNMJ 501 214 534, como o número de identificação fiscal 501 214 534 (doravante designado como “Banco BPI”) recolhe junto dos seus Clientes dados pessoais relacionados com os mesmos, quer presencialmente, quer remotamente, através dos seus Websites e aplicações móveis (Apps BPI), assegurando que o seu tratamento é feito de acordo com as regras de proteção da privacidade emergentes do Regulamento (UE) 2016/679 e demais legislação nacional aplicável, bem como de acordo com os deveres de confidencialidade a que o Banco BPI se encontra sujeito nos termos do Regime Geral das Instituições de Crédito e Entidades Financeiras (Decreto-Lei n.º 298/92, de 31 de Dezembro).
Os dados recolhidos correspondem a dados que são fornecidos pelos próprios Clientes mediante o preenchimento de formulários, como será o caso da abertura de conta ou a contratação de um cartão de crédito, ou, ainda, dados pessoais que resultam dessas mesmas relações, incluindo da utilização dos canais digitais do Banco a que o Cliente tenha aderido, nomeadamente acessos, consultas, instruções, transações e outros registos relativos à sua utilização. Adicionalmente, o Banco trata dados dos seus Clientes que recolhe, nos termos da lei aplicável, (i) junto da Central de Responsabilidades de Crédito, ou (ii) no âmbito da venda de produtos e serviços por si comercializados na qualidade de mediador de seguros ou agente de sociedades prestadoras de serviços financeiros.
B. ENTIDADE RESPONSÁVEL PELO TRATAMENTO
A entidade responsável pelo tratamento é o Banco BPI na medida em que é o responsável pela determinação das finalidades e dos meios de tratamento dos dados pessoais dos seus Clientes/Utilizadores.
C. ENCARREGADO DA PROTEÇÃO DE DADOS
Para obter qualquer esclarecimento relacionado com a presente Política de Privacidade e Cookies, os titulares dos dados (Cliente, representante, procurador ou utilizador do BPI Net Empresas) poderá contactar o Encarregado da Protecção de Dados do Banco BPI através de carta enviada ao cuidado de “BPI DPO – Avenida da Boavista, n° 1117, 4100-129 Porto ou através do seguinte endereço eletrónico: dpo.rgpd@bancobpi.pt.
Os clientes poderão, ainda, caso o pretendam apresentar reclamações ou pedidos de informação junto da Comissão Nacional de Protecção Dados, que é a autoridade de controlo nacional para efeitos do Regulamento Geral de Protecção de Dados e da lei nacional aplicável.
D. TIPO DE DADOS TRATADOS PELO BANCO
Os dados pessoais recolhidos correspondem aos dados de identificação, de filiação, de morada, de crédito, profissionais, de património e financeiros (remunerações auferidas ou responsabilidades no sector financeiro) que são fornecidos pelos próprios Clientes mediante o preenchimento de formulários, como será o caso da abertura de conta ou da contratação de um cartão de crédito, ou, ainda, dados pessoais que resultam dessas mesmas relações, como sejam as transações efetuadas, os produtos e/ou serviços subscritos ou as instruções dadas.
A recolha dos dados poderá ser feita diretamente pelo Banco BPI o ou através de intermediários de crédito ou de parceiros através dos quais as operações/serviços sejam apresentadas ao Banco BPI para decisão/aprovação e contratação.
Em particular no que diz respeito à utilização das Apps BPI, a ativação de determinadas funcionalidades implica, ainda, a recolha do ID do dispositivo móvel associado à App BPI utilizada e poderá, ainda, implicar o acesso pelo Banco BPI, quando consentido pelos Clientes/Utilizadores, aos dados/informações a seguir indicados, embora tal acesso não implique o registo nas bases de dados do Banco BPI ou qualquer outro tipo de tratamento: (i) acesso à localização geográfica, tendo por fim a localização de Balcões, Centros BPI Premier e Centros de Empresa do Banco BPI; (ii) acesso ao telefone para permitir fazer chamadas para os números de assistência ao Cliente; (iii) acesso à impressão digital/reconhecimento facial em terminais que o suportam, para identificação do respetivo utilizador; e (iv) acesso à memória interna e/ou externa para suporte da gravação de documentos de que se faça download;
Em qualquer caso, o Cliente será sempre informado da necessidade de acesso de tais dados para a utilização das funcionalidades em causa, podendo o cliente não consentir.
Ainda relativamente à utilização das Apps BPI e do BPINet, e apenas para estas, o Banco BPI pode, quando consentido pelos Clientes, tratar dados de imagem (fotografia) dos Clientes/Utilizadores (estes últimos no caso do BPI Net Empresas).
Adicionalmente, o Banco BPI trata dados de crédito dos seus Clientes que recolhe, nos termos da lei aplicável, (i) junto da Central de Responsabilidades de Crédito, ou (ii) no âmbito da venda de produtos e serviços por si comercializados na qualidade de mediador de seguros ou agente de sociedades prestadoras de serviços financeiros.
Quando no estabelecimento de relações comerciais entre o Cliente e o Banco BPI se recorra a meios digitais, mediante a utilização da assinatura eletrónica, o Banco BPI trata, ainda, os dados biométricos inerentes à criação da mesma, nos termos da Convenção de Utilização de Assinatura Digital que é subscrita pelo Cliente sempre que adere a este serviço.
E. DADOS PESSOAIS OBRIGATÓRIOS
Nos termos da Lei de Combate ao Branqueamento de Capitais e ao Financiamento do Terrorismo, a abertura de uma conta de depósitos à ordem junto de uma instituição de crédito, o estabelecimento de uma qualquer outra relação de negócio, como por exemplo a contratação de um cartão de crédito, ou realização de uma transação ocasional, estão condicionadas à recolha e tratamento dos seguintes dados de identificação e respetivos comprovativos: (i) fotografia; (ii) nome completo; (iii) assinatura; (iv) data de nascimento; (v) nacionalidade constante do documento de identificação; (vi) tipo, número, data de validade e entidade emitente do documento de identificação; (vii) número de identificação fiscal ou, quando não disponha de número de identificação fiscal, o número equivalente emitido por autoridade estrangeira competente; (viii) profissão e entidade patronal, quando existam; (ix) endereço completo da residência permanente e, quando diverso, do domicílio fiscal; (x) naturalidade; e (xi) outras nacionalidades não constantes do documento de identificação.
Por outro lado, a contratação de crédito pelos consumidores, ou seja por pessoas singulares que contratem com objetivos alheios à sua atividade comercial ou profissional, está sujeita, nos termos da lei (Decreto-Lei nº 133/2009 e Decreto –Lei nº 74-A/2017), à prévia avaliação, pelo Banco, da solvabilidade do Cliente que solicita crédito ou um aumento do crédito contratado. A avaliação da solvabilidade obriga, nos termos do Aviso nº 4/2017, a recolher e tratar, pelo menos, os seguintes dados pessoais dos Clientes: (i) idade e situação profissional do Cliente; (ii) rendimentos auferidos pelo Cliente; (iii) despesas regulares do Cliente; e (iv) cumprimento das obrigações assumidas pelo Cliente noutros contratos de crédito, quer junto do Banco BPI, quer junto de outras instituições de crédito.
F. FINALIDADES DO TRATAMENTO
Os dados pessoais recolhidos pelo BPI são tratados para as seguintes finalidades:
(a) Gestão das relações comerciais, pré-contratuais e contratuais entre os Clientes particulares e o Banco BPI, nomeadamente a abertura de conta de depósitos à ordem, adesão aos canais digitais, a celebração e execução de contratos de aquisição de produtos bancários e de instrumentos financeiros, contratos de gestão de carteira, a concessão de crédito ou a prestação de serviços financeiros e, ainda, a aquisição de produtos financeiros e/ou seguros de entidades de que o Banco BPI seja o agente;
(b) A avaliação comercial e/ou de risco de operações de crédito contratadas ou a contratar;
(c) A identificação de produtos e/ou serviços bancários e financeiros que possam ser do interesse dos seus Clientes, utilizando para o efeito técnicas estatísticas e a definição de perfis/segmentação de Clientes, com o objetivo de realização de ações de comercialização direta (marketing direto);
(d) Ações de Marketing de produtos e/ou serviços comercializados pelo Banco BPI através de correio eletrónico, carta ou telemarketing;
(e) O cumprimento de obrigações regulatórias, relacionadas, nomeadamente com a prevenção e controlo da fraude, com o combate ao branqueamento de capitais e financiamento do terrorismo ou com obrigações em matéria fiscal;
(f) A adoção de meios e procedimentos de segurança das pessoas e bens que implicam, em determinados casos, a recolha de imagens no contexto da videovigilância;
(g) Ações de recuperação de crédito ou a intervenção em processos de insolvência ou de qualquer outra natureza tendo em vista o exercício ou a defesa dos direitos que assistem ao Banco BPI enquanto credor ou prestador de serviços financeiros;
(h) A realização, nos termos da lei, de operações de cessão de créditos para efeitos, nomeadamente, de operações de titularização de crédito.
(i) Utilização de cookies para melhorar a navegação nos canais digitais e adequação ao dispositivo que é utilizado (computador ou equipamento móvel) pelo Cliente;
(j) Personalização da informação dos Clientes/Utilizadores nas APPs BPI e do BPINet;
(k) Relativamente aos dados dos Representantes, Procuradores bem como dos Utilizadores do BPINet Empresas, os mesmos são recolhidos para efeitos de representação dos seus mandantes e, sempre que consentido, para a apresentação de proposta de aquisição de produtos e ou serviços financeiros;
(l) Gestão de processos que tratam de reclamações;
(m) Apresentação de propostas comerciais a Potenciais Clientes;
(n) Tratamento e prestação de informação obrigatória e resposta a pedidos das entidades reguladoras (e.g. Banco Central Europeu, Banco de Portugal e CMVM) no âmbito do cumprimento de obrigações legais em vigor, bem como em resposta a pedidos de autoridades públicas (e.g. Tribunais e Polícia);
(o) Gravação de chamadas com finalidade de prova transações comerciais e quaisquer outras comunicações respeitantes à relação comercial ou ao cumprimento de obrigações legais.
G. TRATAMENTO AUTOMATIZADO E PROFILING
Para a análise de risco de crédito e avaliação da solvabilidade dos seus clientes, o Banco BPI recorre a técnicas de estatística e de segmentação de clientes (profiling), utilizando para o efeito os dados pessoais recolhidos diretamente junto dos seus clientes ou que resultem da relações destes estabelecidas com o Banco BPI, como por exemplo o tipo de produtos subscritos, as operações de crédito contratadas, o nível de incumprimento registado, etc. Adicionalmente, o Banco BPI recorre, nos termos da lei, aos dados constantes da Central de Responsabilidades de Crédito do Banco de Portugal.
O Banco BPI utiliza, ainda, técnicas de estatística e de segmentação de clientes (profiling) para adequar a sua oferta aos seus clientes e a realização de ações de marketing direto utilizando para o efeito os dados atrás identificados e, quando aplicável, os dados de navegação no BPI Net (homebanking) e App BPI, como por exemplo os acessos, as consultas, as instruções, as transações e outros registos relativos à sua utilização.
Nas suas análises e tratamento, nomeadamente na criação de perfis/segmentos de clientes, o Banco BPI não utiliza dados pessoais fornecidos por terceiras entidades, com exceção, como já referido, dos dados constantes da Central de Responsabilidades de Crédito a que o Banco BPI acede nos termos da lei aplicável, ou de dados que resultem do estabelecimento, por intermédio do Banco BPI, de relações comerciais dos seus clientes com os parceiros comerciais do Banco BPI e na qual o Banco BPI intervém na qualidade de agente.
O recurso a técnicas de profiling/definição de perfis não implica, contudo, uma tomada de decisão exclusivamente automática por parte do Banco BPI, com exceção da contratação de crédito através dos canais digitais do Banco BPI (BPI Net e App BPI), a qual, pela sua própria natureza, não tem qualquer intervenção humana, assistindo, contudo, aos clientes do Banco BPI o direito de pedirem uma reavaliação das decisões assim tomadas pelo Banco BPI, apresentando elementos adicionais ou as suas condições particulares.
Refira-se ainda que a utilização de técnicas de profiling (definição de perfis) visa, também, responder a obrigações a que as instituições de crédito estão vinculadas no âmbito, nomeadamente, da Lei de Combate ao Branqueamento de Capitais e Financiamento do Terrorismo, das leis e regulamentos, nacionais e comunitários, que regulam os mercados financeiros, do regime jurídico do crédito a consumidores e do regime jurídico do crédito hipotecário, incluindo o crédito à habitação.