Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English

 

Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

Autorização nº 90/95

 

A E..., veio apresentar Declaração normalizada para registo da base de dados a ser instalada por aquela empresa.

I

 

Os ficheiros têm como finalidade "prestar informações às entidades financeiras e, em geral, àqueles que realizam transacções a crédito e que, em virtude da actividade que desenvolvem, têm necessidade de dispôr de informação actualizada sobre o cumprimento ou incumprimento por parte de clientes ou potenciais clientes ( pessoas singulares ou colectivas) de obrigações pecuniárias ou pagamentos correspondentes a operações de/a crédito que tenham realizado anteriormente."

São os seguintes : Ficheiro de Incidentes de Crédito; Ficheiro de Letras

Protestadas e Ficheiro sobre Processos Judiciais.

II

 

Antes de proceder a uma análise do sistema de tratamento dos dados pessoais constante dos três ficheiros importa dirimir como questão prévia se o presente processo deve ser considerado um mero registo ou, pelo contrário, se se constitui como autorização, passando o seu funcionamento a depender de um acto prévio da Comissão, nele se fixando as condições ou limites daquele funcionamento. Ou seja, se se entender que não estão em causa dados pessoais, elencados no nº 1 alínea b) do artigo 11 da lei nº 10/91 de 29 de Abril, não será necessária autorização prévia expressa por parte da Comissão para o início do funcionamento da base de dados, a contrario, se os dados pessoais se incluírem naquele elenco, a Comissão autorizará ou não o seu funcionamento.

 

Os ficheiros em causa têm como finalidade retratar o relacionamento creditício de determinada entidade ou pessoa, sempre que existam incidentes. De facto não são objecto de registo elementos, para além dos que resultem de operações de crédito, que permitam definir a concreta situação financeira e patrimonial da pessoa em causa (única situação eventualmente enquadrável como dado sensível). Assim, pareceria, como pretende a E..., que estaríamos perante um mero Registo.

 

No entanto, a finalidade dos três ficheiros não se limita ao registo de incidentes de crédito. Antes, admite reunir - naturalmente em fase posterior - outros dados, como são os constantes de eventuais processos judiciais e de letras protestadas. Por outro lado, acresce que o ficheiro de incidentes de crédito apesar de não respeitar a toda a situação financeira da pessoa eventualmente indicada, terá, com o tempo, um carácter abrangente, registando e relacionando todos os incidentes de crédito existentes com as várias empresas (pelo menos de todas as aderentes). Resulta claro que a finalidade do ficheiro respeita a parte da relação financeira da pessoa e que a indicação ou indicações existentes têm clara consequência numa leitura negativa da situação financeira. De facto não se indica quanto se tem, mas impede-se ou condiciona-se, quer a verdadeira situação financeira seja considerada positiva ou negativa, a relação comercial e financeira de determinada pessoa com base em indicação de crédito (isolado ou acumulado). Por isso deve o presente Processo constituir-se como de Autorização.

III

 

Os três ficheiros são: incidentes de crédito, letras protestadas e processos judiciais.

O ficheiro de incidentes de crédito contém a informação sobre incidentes (geral e histórica), além da identificação da pessoa ou entidade: número de incidências, quantia em dívida, número de incumprimentos. Os dados são os constantes do Processo ( vidé dados pessoais). É ainda possível obter o detalhe dos incidentes e a variação dos incidentes durante 24 meses.

São também registadas todas as consultas feitas ao sistema relativamente a determinada entidade ou pessoa (histórico de consultas). O prazo de conservação é, neste caso, de 24 meses. Não existindo no sistema a entidade ou a pessoa de que se pretende uma referência de crédito, a consulta apenas identifica a entidade que a efectuou.

O ficheiro de Letras Protestadas/Processos Judiciais trata cada acção como operação de crédito. São registados o número de incidentes e os protestos (letras protestadas) e as acções judiciais, falências e dissoluções (processos judiciais). São registados o autor e o juízo.Por tabelas é possível identificar ainda o tipo de crédito em causa (financiamento automóvel, consumo, leasing,etc.) e a qualidade da entidade que intervém no processo (se é titular, co-titular, avalista, etc).

 

No âmbito do ficheiro de processos judiciais não serão recolhidos ou registados dados relativos a processos crime.

IV

 

O presente processo apresentado pela E... é o resultado da constituição de um sistema de informação comum na área de crédito por parte das sociedades de crédito, processo dinamizado pela ASFAC - Associação de Sociedades Financeiras para Aquisição a Crédito.

Sobre a natureza do sistema de informação agora em apreciação importa referir que as instituições de crédito podem organizar, sob regime de segredo, um sistema de informações recíprocas com o fim de garantir a segurança de informações, conforme resulta do artigo 83º do DL 298/92 de 31 de Dezembro.

A lei não condiciona a forma como este sistema pode funcionar, mas nada parece impedir a adopção de um sistema de gestão por entidade diferente das instituições de crédito. Apenas as limita à utilização recíproca e a um regime de segredo.

Em declarações prestadas à Comissão por parte dos responsáveis da E..., e que se registam, verifica-se que o acesso à informação se restringe a empresas de crédito, financeiras, de leasing, de ALD e de factoring estabelecidas em Portugal. Nas condições de funcionamento dos ficheiros em causa importa verificar os pressupostos do artº 5º alínea c) da Convenção do Conselho da Europa relativa ao tratamento automatizado de dados de carácter pessoal, (ratificada por Portugal) que garante ao titular dos dados, no momento de recolha, o direito ao conhecimento e o consentimento expresso para comunicação dos dados, impondo também que a utilização dos dados seja feita no âmbito da mesma finalidade.

A comunicação está ainda sujeita à autorização da Comissão.

As empresas que fazem parte do sistema de informações recíprocas de crédito, organizado pela E..., devem garantir, no momento em que estabelecem a relação comercial, de que os dados, em caso de incidente de crédito, poderão passar a constar de listagem de incidentes. Tal deve ser garantido, como princípio, no contrato estabelecido entre a E... e os utilizadores do sistema.

 

A E..., como aliás declara, avisará sempre o titular dos dados que passou a constar da sua base de dados e quais os dados que estão registados.

A centralização desta informação não está sujeita a autorização prévia do titular, mas apenas deve ser do seu conhecimento. No caso da centralização de riscos de crédito existe título legal que o admite, em certas condições.

A E... deve também assegurar que os ficheiros em causa são utilizados para a finalidade determinante da recolha, o que deve ser garantido e condicionado nas cláusulas contratuais que se estabeleçam com os utilizadores.

A actualização dos dados pessoais, princípio garantido na lei nº 10/91 de 29 de Abril em relação aos dados constantes de todos os ficheiros( artigo 14º), merece particular atenção relativamente a um sistema de Informação de crédito. De facto, o responsável do ficheiro - a E... - não é o autor das informações registadas, que dependem, na origem, de uma terceira entidade.

A E... terá que assegurar, em todas as fases do sistema, na recolha de dados, na sua inserção informática, no seu arquivo para consulta, um conjunto de procedimentos que permitam que a informação existente seja actual.

O tempo de conservação dos dados deve ser definido e limitado à finalidade do ficheiro. Os dados respeitantes a um incidente de crédito só devem ser conservados enquanto este se verifcar. Admite-se que, para a certeza do processo, estes sejam conservados por um período que permita ao responsável do ficheiro verificar as condições e fundamentos da eliminação. Esse período de conservação não deve exceder 10 anos contados a partir do termo da situação de crédito. Durante esse período não é admissível o acesso de terceiros à informação.

Assim, delibera-se:

 

I) As condições para a constituição e funcionamento dos referidos ficheiros são as seguintes :

1. Responsável: A...

2. Características: Sistema Central, em rede. com sistema de gestão de base de dados e linguagem de programação.

3. Finalidade : serviço de informações às entidades financeiras e às que realizam operações de crédito e que, em virtude da actividade que desenvolvem, têm necessidade de dispor de informação actualizada sobre o cumprimento ou incumprimento por parte de clientes ou potenciais clientes (pessoas singulares ou colectivas) das obrigações pecuniárias ou pagamentos correspondentes a operações de, e a crédito que tenham realizado anteriormente.

4. Serviços encarregados do processamento da informação: empresa X...

5. Dados pessoais registados : nome da entidade singular ou colectiva, morada, telefone, Nº de contribuinte ou Nº de pessoa colectiva, nº Bilhete de identidade (elemento que para já não é tratado), dados relativos ao cumprimento ou incumprimento de créditos (montante de crédito, divida acumulada, dívida actual, nº de incumprimentos e datas). Acção judicial, letras protestadas, falências, tribunal e juízo.

6. Fundamento da recolha de dados: Para cumprimento de obrigações contratuais.

7. Recolha indirecta: pela entidade financeira, através de comunicação à E...

8. Forma de actualização dos dados: a actualização é efectuada com base nos dados fornecidos pelas entidades que concedem o crédito. A actualização é feita mensalmente. A E... conforme declaração, compromete-se também a comunicar por escrito e no momento da sua admissão a cada titular dos dados o facto de constar no ficheiro, bem como a natureza e conteúdos dos dados.

9. Há comunicação de dados às empresas que fazem parte do sistema da E... (que funciona com base em reciprocidade), apenas às empresas que concedem crédito ou que efectuem operações de crédito e apenas para a finalidade da celebração de operações de crédito (comunicação para finalidade de crédito).

10. O relacionamento pode ser feito pelos seguintes dados : nº de pessoa colectiva ou nº de BI, nº de contribuinte, nome, apelido ou denominação social.

11. Os dados são processados pela X... para mero processamento. Só são consultados pelas empresas nacionais (ou seja, estabelecidos no território nacional) aderentes do sistema.

12. Medidas de segurança: as que constam da Declaração - processamento de backup, cópia de backup, cópias de segurança, password de acesso, acesso restrito.

13. Tempo de conservação: enquanto se mantiver a situação ou incidente de crédito. Os dados referentes às consultas só serão conservados por 24 meses.

14. Pessoas com acesso directo à informação:

- E... : Direcção geral, pessoal da área da informática, pessoal da área comercial para atendimento do cliente.

- X... - funcionários da X... autorizados pela empresa a proceder à manutenção do software.

- clientes da E... - com base em password e um número de utilizador que permite a identificação diária do local e da pessoa que faz as consultas ao sistema.

15. Formas e condições de acesso e rectificação por parte das pessoas : os titulares dos dados são informados por escrito de que existem dados a seu respeito e o tipo de dados. Podem também conhecêlos nos escritórios da E..., com idenúficação por BI ou por solicitação escrita.

 

2 ) Autorizar, nos termos do disposto nos artigos 8º nº 1 alínea b) e 17º nº 2 da lei nº 10/91 de 29 de Abril, a constituição do ficheiro automatizado respeitante ao processo nº 616/95, com o fundamento e nas condições da presente Autorização, de acordo com a Declaração e esclarecimentos prestados.

 

3) A E... assegura, directamente, o direito ao conhecimento do titular dos dados e garante, directa ou indirectamente , a sua actualização.

 

4) O tempo de conservação dos dados é limitado à existência da relação credíticia, podendo os dados ser conservados durante 10 anos após resolução daquela relação.

 

5) Seis meses após a notificação da presente deliberação, a E... enviará à Comissão os elementos relativos ao número de inserções por ficheiro, entidades que consultam e cedem dados com base em reciprocidade e outros elementos, que permitem verificar as condições de segurança do sistema.

 

Lisboa, 19 de Dezembro de 1995

João Alfredo M. Labescat da Silva ( Relator ), Mário Manuel Varges Gomes, Amadeu Francisco Ribeiro Guerra, Joaquim Seabra Lopes, Nuno Albuquerque Morais Sarmento, Luís José Durão Barroso, Augusto Victor Coelho ( Presidente).