Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English

 

Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

Autorização nº 60/95

 

O BANCO A... procedeu à legalização dos seus ficheiros. Analisado o processo há alguns aspectos que merecem ser evidenciados.

 

1. O A... refere, no pedido de Autorização, que "não recolhe ou regista qualquer informação pertinente a suspeitas de actividades ilícitas"; "em relação a condenações em processo crime só dispõe de informação que se reporta à interdição de uso de cheque e à contumácia".

 

A Comissão teve oportunidade de se pronunciar, através da deliberação nº 7/95 de 14 de Março, em relação ao tratamento automatizado de suspeita de actividades ilícitas e condenações em processo-crime ().

...

Em face do pedido de autorização formulado a Comissão Nacional de Protecção de Dados Pessoais Informatizados autoriza o tratamento das ocorrências relativas a cheques e contumácia.

Em relação ao tratamento de outras suspeitas de actividades ilícitas ou condenações em processo crime verifica-se que não é solicitada autorização pelo A..., não podendo, por isso, ser feito qualquer tratamento.

 

2. O A... procedeu à recolha indirecta de dados sobre "potenciais clientes" servindo-se de informação "de ordens ou associações profissionais, empresas de informações, referências de clientes, resposta a acções de marketing directo e relacionamentos profissionais com empresas". A recolha e tratamento destes dados foi realizado sem conhecimento e autorização dos próprios.

Hoje, os cupões de direct response/pedidos de informação nas acções de mala/marketing directo solicitam autorização dos próprios, nos termos do texto indicado: "Estes dados são passíveis de processamento automatizado, nos termos da Lei 10/91 de 29/4 e sob regime de sigilo, com vista ao estabelecimento de contactos personalizados com o Grupo A...".

Os procedimentos que antecedem suscitam duas questões:

- Em relação ao tratamento de dados de não clientes devem ser tidos em conta os seguintes princípios:

  • "Qualquer pessoa tem o direito de ser informada sobre a existência de ficheiro automático que lhe respeite, respectiva finalidade bem como sobre a identidade e o endereço do seu responsável"(artº 13º nº1 da Lei 10/91 de 29 de Abril);
  • A finalidade da recolha deve ser conhecida pelo titular dos dados antes de se proceder à sua recolha (cf. artº 12º nº 3 e artº 22º al. e));
  • Quando os dados são recolhidos através de impresso impõe o artº 22º, entre outros requisitos, que sejam especificados os destinatários das informações.
  • Sendo uma das finalidades do ficheiro a "captação de novos clientes", assume particular relevância o direito de informação e de "eliminação" que assiste ao titular dos dados (artº 30º nº3 da Lei 10/91);
  • As entidades que fornecem a informação só podem fazê-lo desde que esse procedimento se enquadre no âmbito da finalidade do ficheiro (cf. artº 15º da Lei 10/91), desde que os titulares dos dados tenham conhecimento do seu destino e utilização ( artº 12º nº 3, 13º nº 1 e 22º al. d) e e) da Lei 10/91) e o ficheiro esteja legalizado nessa perspectiva junto da CNPDPI (artº 18º al. f) da Lei 10/91).

O A... deverá, previamente ao tratamento, informar os titulares dos dados da existência de ficheiro a seu respeito, finalidade da recolha de dados e destinatários da informação. Assim, em relação aos dados existentes relativos a "potenciais clientes" deve o A... assegurar o direito de informação, de acesso e de eliminação (no domínio da mala directa) se for manifestada essa vontade da parte dos titulares.

 

- Em relação aos cupões verifica-se que o texto não satisfaz as exigências do artº 22 da Lei 10/91. Não vem especificada a natureza obrigatória ou facultativa da resposta (al. b), as condições de acesso, rectificação e eliminação (al.g). Por isso, o texto deve ser reformulado.

 

3. O A... procede à recolha indirecta de dados sensíveis (especificados no artº 11º nº1 al.b) da Lei 10/91) "junto de entidades registrais e de outras instituições de crédito" e de "empresas de informação especializadas".

A recolha e tratamento desta informação não tem autorização expressa, prévia ou posterior, do titular dos dados.

O artº 12º da Lei 10/91 estabelece os princípios da recolha de dados:

- Deve efectuar-se de forma lícita e não enganosa (nº 1);

- Deve processar-se em estrita adequação e pertinência à finalidade que a determinou (nº 2);

- A finalidade da recolha deve ser conhecida antes do seu início (nº 3).

Relativamente à recolha e tratamento de informação sensível (vg. sobre situação patrimonial) só há legitimidade para o seu tratamento se esta for obtida "com o consentimento dos titulares, com conhecimento do seu destino e utilização" ou resultar de "obrigação contratual" (artº 17º nº 2 da Lei 10/91, na redacção da Lei 28/94).

 

De acordo com os princípios enunciados entende esta Comissão que aquela informação só pode ser obtida junto das "entidades externas" se houver autorização prévia do titular, o acto de recolha resultar de disposição legal (vg. cheques) ou cláusula contratual previamente estabelecida. Nesse caso, deverá constar do impresso de recolha de dados a possibilidade de recolha junto dessas entidades.

Em relação à recolha desses dados - quando tratados automaticamente - deve ser dada particular atenção ao cumprimento do princípio da finalidade consagrado no artº 15º da Lei 10/91.

 

4. O A... solicita autorização para "disponibilizar a consulta de dados às empresas que fazem parte do Grupo". No Grupo A... há situações diferenciadas a considerar:

4.1. Há empresas que utilizam o suporte aplicacional do A... para prossecução da sua actividade: B...

Estas empresas acedem, de acordo com o artº 83 do DL 298/92 de 31/12, à "generalidade da informação do A...".

4.2. Há empresas que exercem actividade no domínio financeiro que, dispondo de suporte aplicacional próprio, acedem à informação "com o fim específico de minimizarem os riscos próprios das suas actividades e garantirem a segurança das operações" (cf. artº 83 do DL 298/92): C...

4.3. Outras empresas acedem "a informação tratada pelo A... enquanto banco depositário dos títulos por elas geridos, no âmbito das regras próprias que regem a sua actividade e para efeitos de reconciliação da informação recíproca": D...

4.4. Os colaboradores das empresas seguradoras acedem a "aplicações de carácter instrumental geral, nomeadamente a correio electrónico, lista telefónica interna, mercado de câmbios e cotações de bolsa. Podem aceder à informação específica dos produtos e serviços de que são titulares no Grupo A...": F...

Nesta última situação não há consulta de dados pessoais.

 

Em sede de utilização de dados devemos considerar o artº 5º al. c) da Convenção do Conselho da Europa, ratificada através do Dec. do Presidente da República nº 21/93 in DR Iª Série de 20/8/93, e o disposto nos artigos 12º nº 3, 15º, 17º nº 2 e 18º al. f) da Lei 10/91 de 29 de Abril, na redacção dada pela Lei 28/94 de 28 de Agosto.

De acordo com estes preceitos é legítima a comunicação de dados pessoais (nomeadamente de "dados sensíveis") a outras entidades desde que se verifiquem, cumulativamente, os seguintes requisitos:

. A comunicação seja conhecida do titular no momento da recolha e o titular tenha dado o consentimento escrito para a sua utilização;

. A sua utilização não seja incompatível com as finalidades determinantes da recolha;

. Esse procedimento seja consentido pela CNPDPI no âmbito do pedido de autorização, nos termos dos artigos 17º nº 2 e artº 18º al. f) da Lei 10/91.

 

No caso em apreço o A... já obtem a autorização escrita do cliente para a consulta da informação por parte das instituições do Grupo, ainda que através de uma formulação que se nos afigura demasiado genérica.

Em relação à informação disponibilizada, nos termos do pedido de autorização, afigura-se-nos que a sua utilização não é incompatível com as finalidades determinantes da recolha. Na generalidade das situações a consulta é efectuada no âmbito dos riscos de crédito e para segurança das operações (fundamentada, por isso, no artº 83º do DL 298/92). Para situações de consulta mais específica deve o A... exigir da empresa do Grupo uma autorização expressa do cliente, nomeadamente para obviar à violação do sigilo bancário.

 

5. Em relação ao prazo de conservação dos dados o A... considera desejável e adequado um prazo de 20 anos.

 

A Lei 10/91 de 29 e Abril estabelece a necessidade de fixar o tempo de conservação dos dados (artº 18º al. I), impondo a destruição dos dados depois de decorrido o prazo de conservação autorizada (artº 23º).

A Convenção nº 108, ratificada pelo Dec. do Presidente da República nº 21/93 de 9 de Julho in DR de 20/8/93, aponta para um período de conservação "que não exceda o tempo necessário às finalidades determinantes do seu registo" (artº 5º al. e).

Há dados que, pela sua natureza, devem ser conservados enquanto viver a pessoa (vg. sobre identificação civil). Porém, os dados relativos a operações financeiras (empréstimos e operações bancárias) - que têm subjacente a gestão de um contrato - não parecem estar vocacionados para uma duração superior ao tempo que exceda um "período razoável". Não parece razoável a adopção generalizada do prazo indicado porque, desde logo, não está fundamentado no princípio da necessidade ou finalidade .

O tempo de conservação deve, pois, ser norteado pelos princípios da finalidade e pertinência. É ajustado, desde logo, considerar como início da contagem a cessação da relação contratual estabelecida(que, nos empréstimos para habitação, pode atingir a ordem dos 25 anos).

Não havendo norma específica para a conservação de documentos na legislação bancária deverá ser aplicável o regime estabelecido no artº 40º do Código Comercial que refere expressamente o seguinte:

"Todo o comerciante é obrigado a arquivar a correspondência e telegramas que receber, os documentos que provarem pagamentos e os livros da sua escrituração mercantil, devendo conservar tudo pelo espaço de 10 anos".

 

Este prazo, que antes era de 20 anos, será o prazo adequado para a conservação dos dados. Em face da actividade desenvolvida o prazo a considerar será o de 10 anos sobre a cessação da relação contratual que determinou a recolha.

Na mesma linha de pensamento, o D. L. 313/93 de 15 de Setembro (sobre branqueamento de capitais) estabelece, no artº 9º, as regras de conservação de documentos. São fixados os seguintes princípios:

 

- Obrigatoriedade de conservação da cópia ou referências dos documentos comprovativos da identificação, durante o período de 5 anos após o termo das relações com os respectivos clientes (nº1);

- Conservação, pelo período de 10 anos a contar da data da execução da transacção, dos originais, cópias ou microformas e registos dessas operações, bem como das informações obtidas nos termos do artº 8º nº 2 (nº 2).

Em síntese, e nos termos de entendimento uniforme da CNPDPI:

  • O prazo de conservação será pelo tempo necessário às finalidades determinantes do registo e pelo período de 10 anos sobre o termo da relação contratual, admitindo-se a possibilidade de conservação enquanto subsistirem obrigações decorrentes da relação contratual.
  • Devem ser eliminadas as referências a cheques logo que cesse o período de rescisão (artº 1ºdo DL 454/91), logo que haja remoção da listagem (artº 4º) , desde que cesse o período de interdição judicial de uso de cheque ou se verifique a reabilitação (artº 12º nº 1, 6 e 10). Poderá ser guardada informação que permita, para os efeitos do artº 1º nº 6 do DL 454/91, concluir se se trata ou não de "primeira rescisão".

 

6. O A... tem, na aplicação, alguns campos de texto livre onde são incluídas "Anotações", "Referências Pessoais" e "Relacionamentos Sociais".

Em relação aos dois últimos campos informa o A... que "já não são utilizados e que, em relação à informação armazenada está em curso o seu expurgo definitivo, o qual ocorrerá até ao termo do presente ano civil". Em relação a estas referências considera a Comissão, em termos gerais, excessiva e não pertinente a recolha e tratamento dos dados enunciados, nos termos do artº 12º nº 2 da Lei 10/91.

Em particular, entende-se que a informação relativa aos hábitos e relacionamentos sociais do cliente se pode enquadrar no conceito de "vida privada", informação que o artº 11º nº 1 al. a) da Lei 10/91 (redacção da Lei 28/94 de 28 de Agosto) considera insusceptível de tratamento. Por isso, reafirma-se a necessidade de expurgar, definitivamente, esta informação.

No campo "Anotações" são registados "factos, menções ou circunstâncias pertinentes a cada relação comercial e/ou relevantes para uma gestão comercial personalizada, constando do Sistema a data da anotação e o respectivo autor". A CNPDPI lembra que os dados a registar devem respeitar o princípio da pertinência (cf. artº 12º nº 2), não podendo ser o campo aproveitado - em face da "liberdade de texto" - para registar factos susceptíveis de discriminação ou violadores da privacidade.

 

7. Verifica-se que os documentos que servem de base à recolha de dados devem conter, nos termos dos fundamentos indicados, a "autorização de recolha (para tratamento) de dados pessoais junto de Repartições Públicas ou empresas especializadas, tendo em vista a confirmação dos dados e/ou a obtenção dos elementos necessários à relação contratual".

 

Assim, a Comissão Nacional de Protecção de Dados Pessoais Informatizados delibera autorizar , nos termos do artº 8º nº1 al. b) , 17º nº 2 e 18º da Lei 10/91, na redacção dada pela Lei 28/94 de 28 de Agosto, a manutenção do ficheiro do A....

1. Responsável: BANCO A... com sede na Rua...

2. Características: Sistema Central (mainframe)

Sistema de Gestão de base de dados e linguagem de programação.

Aplicações: As especificadas no ponto nº 4 do FORMULÁRIO (Identificação de entidades, moradas e contas)

Finalidade : Registo, conservação, manutenção, consulta e comunicação da informação estritamente necessária à prossecução das actividades financeiras no quadro legal vigente.

3. Serviços encarregados do processamento da informação: Direcção de Sistemas do A... com sede na R...

4. Dados pessoais contidos em cada registo: Os indicados no ponto nº 7 formulário que deu entrada na CNPDPI em 2/3/95.

Trata situação patrimonial e financeira, ocorrências relativas a cheques e contumácia.

5. Recolha de dados: Consentimento dos titulares e cumprimento de obrigações legais e contratuais.

6. Recolha: directa - pessoal, por telefone e por impresso

Indirecta: através do Banco de Portugal, da CMVM, tribunais, RNPC, outras entidades registrais e listagens de nomes, endereços e telefones disponibilizados por associações profissionais e empresas de informação (para haver tratamento destes dados é necessário que haja conhecimento e não oposição dos titulares dos dados).

7. Actualização: igual ao ponto 6

8. Há comunicação de dados ao Banco de Portugal (Informações de Risco e inibição de uso de cheque), CMVM, Fundo de Garantia de Depósitos, aos mandatários, comitidos e outras pessoas prestadoras de serviços ao Banco a título permanente ou ocasional (auditores externos, advogados, solicitadores) no âmbito do mandato, autoridades judiciais e de investigação criminal nos termos legais, autoridades tributárias nos termos da legislação fiscal e outas entidades mediante autorização do titular.

Comunicação às Empresas do Grupo A...: (segue a identificação das empresas- acedem, de acordo com o artº 83 do DL 298/92 de 31/12, à "generalidade da informação do A..." com autorização dos titulares dos dados);

-... ("com o fim específico de minimizarem os riscos próprios das suas actividades e garantirem a segurança das operações" - artº 83 do DL 298/92);

- ... ("à informação tratada pelo A... enquanto banco depositário dos títulos por elas geridos, no âmbito das regras próprias que regem a sua actividade e para efeitos de reconciliação da informação recíproca").

9. Há comparações, interconexão ou inter-relacionamento da informação. Existe uma plataforma aplicacional que permite o tratamento dos dados fornecidos directa ou indirectamente, quer através de elementos de ligação, quer através da existência de atributos comuns (nº de empréstimo, nome, endereço, nº de documento de identificação e nº de contribuinte).

10. Há fluxos transfronteiras de dados para França.

11. Medidas de segurança: as indicadas no ponto nº 1,2, 3, 4 e 5.

12. Tempo de conservação:

- Os dados só poderão ser conservados pelo tempo necessário às finalidades determinantes do registo e pelo período de 10 anos sobre o termo da relação contratual, admitindo-se a possibilidade de conservação enquanto subsistirem obrigações decorrentes da relação contratual.

- Devem ser eliminadas as referências a cheques logo que cesse o período de rescisão (artº 1ºdo DL 454/91), logo que haja remoção da listagem (artº 4º) , desde que cesse o período de interdição judicial de uso de cheque ou se verifique a reabilitação (artº 12º nº 1, 6 e 10). Poderá ser guardada informação que permita, para os efeitos do artº 1º nº 6 do DL 454/91, concluir se se trata ou não de "primeira rescisão".

13. Pessoas com acesso directo à informação: São estabelecidos níveis de acesso, nos termos indicados no ponto nº 15º do Formulário.

14. Formas e condições de acesso e rectificação por parte das pessoas: É assegurado ao interessado a possibilidade de tomar conhecimento dos elementos que lhes dizem respeito, desde que devidamente identificados no momento da solicitação. É sempre possível a correcção de inexactidões bem como eliminações relativas às entidades desde que pelas mesmas comunicado.

 

EM CONCLUSÃO:

 

A - É autorizado o tratamento automatizado nos termos e condições que antecedem;

B - Em face do pedido de autorização, a CNPDPI autoriza o tratamento das ocorrências relativas a cheques e contumácia.

Quanto às condenações em processo crime e outras suspeitas de actividades ilícitas verifica-se que não é solicitada autorização, não podendo, por isso, ser feito qualquer tratamento (cf. artº 17º nº 2 da Lei 10/91, na redacção da Lei 28/94 de 28 de Agosto).

C - Os impressos de recolha de dados devem ser reformulados no prazo de 6 meses, por forma a respeitarem os princípios constantes do artº 22 nº 1 da Lei 10/91. Nesse prazo, deve ser enviada cópia à Comissão.

D - A informação de natureza sensível recolhida junto das "entidades externas" só pode ser tratada se houver autorização prévia do titular ou o acto de recolha resultar de cláusula contratual previamente estabelecida (cf. artº 17º nº 2 da Lei 10/91 na redacção da Lei 28/94 de 28 de Agosto).

Em relação à recolha de dados junto dessas entidades - quando tratados automaticamente - deve o A... dar particular atenção ao cumprimento do princípio da finalidade consagrado no artº 15º da Lei 10/91.

E - O prazo de conservação será pelo tempo necessário às finalidades determinantes do registo e pelo período de 10 anos sobre o termo da relação contratual, admitindo-se a possibilidade de conservação enquanto subsistirem obrigações decorrentes da relação contratual. Devem ser eliminadas as referências a cheques logo que cesse o período de rescisão (artº 1ºdo DL 454/91), logo que haja remoção da listagem (artº 4º) , desde que cesse o período de interdição judicial de uso de cheque ou se verifique a reabilitação (artº 12º nº 1, 6 e 10). Poderá ser guardada informação que permita, para os efeitos do artº 1º nº 6 do DL 454/91, concluir se se trata ou não de "primeira rescisão".

F - A consulta de dados pessoais (nomeadamente de "dados sensíveis") a outras entidades só é possível quando se verifiquem, cumulativamente, os seguintes requisitos:

. A comunicação seja conhecida do titular no momento da recolha e o titular tenha dado o consentimento escrito para a sua utilização;

. A sua utilização não seja incompatível com as finalidades determinantes da recolha;

. Esse procedimento seja consentido pela CNPDPI no âmbito do pedido de autorização, nos termos dos artigos 17º nº 2 e artº 18º al. f) da Lei 10/91.

G - Obtendo o A... autorização escrita do cliente para a consulta da informação por parte das instituições do Grupo, ainda que através de uma formulação que se nos afigura demasiado genérica, entende-se que a sua utilização não é incompatível com as finalidades determinantes da recolha.

H - Em relação ao tratamento de dados de não clientes devem ser tidos em conta os princípios relativos ao direito de informação (artº 13º nº1 da Lei 10/91 de 29 de Abril) e da finalidade da recolha (cf. artº 12º nº 3 e artº 22º al. e)). Sendo uma das finalidades do ficheiro a "captação de novos clientes", assume particular relevância o direito de informação e de "eliminação" que assiste ao titular dos dados (artº 30º nº3 da Lei 10/91).

I - A informação relativa aos hábitos e relacionamentos sociais do cliente pode enquadrar-se no conceito de "vida privada", informação que o artº 11º nº 1 al. a) da Lei 10/91 (redacção da Lei 28/94 de 28 de Agosto) considera insusceptível de tratamento. Por isso, reafirma-se a necessidade de expurgar, definitivamente, esta informação.

J - Os registos a efectuar no campo "Anotações" devem respeitar o princípio da pertinência (cf. artº 12º nº 2 da Lei 10/91), não podendo ser o campo aproveitado - em face da "liberdade de texto" - para tratar factos susceptíveis de discriminação ou violadores da privacidade.

 

Lisboa, 24 de Outubro de 1995

Amadeu Francisco Ribeiro Guerra (Relator), Joaquim Seabra Lopes, Nuno Albuquerque Morais Sarmento, Luís José Durão Barroso, João Alfredo Massano Labescat da Silva, Mário Varges Gomes, Augusto Victor Coelho (Presidente).