Declaração de privacidade da plataforma do BCE para participação de infrações
Regime de proteção de dados aplicável ao BCE
Todos os dados pessoais são tratados em conformidade com a legislação da União Europeia (UE) em matéria de proteção de dados, designadamente o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE.
Que tipo de dados são recolhidos pelo BCE e de que modo?
O BCE recolhe informação sensível e dados pessoais das pessoas que participam suspeitas de infração de legislação pertinente da UE. O BCE também recolhe informação sensível e dados pessoais referentes aos alegados infratores, bem como a terceiros envolvidos que sejam mencionados nas participações de infração (relatórios de infração) apresentadas através da plataforma para participação de infrações. O BCE processa igualmente os dados das pessoas ao seu serviço ou ao serviço de uma autoridade nacional competente (autoridade de supervisão nacional), assim como de quaisquer indivíduos referidos num relatório de infração ou no eventual dossiê de processo resultante. Se o BCE concluir que estas pessoas não são relevantes no processo, cessará o tratamento dos dados das mesmas.
Visto ser possível comunicar anonimamente infrações de legislação pertinente da UE através da plataforma para participação de infrações, as pessoas que participam suspeitas de infração não estão obrigadas a divulgar os respetivos dados pessoais. Todavia, não é de excluir a possibilidade de, durante o processo de investigação de um relatório de infração, o BCE receber informação com dados identificativos (incluindo nome e apelidos, data de nascimento, naturalidade, morada, números de telefone e de fax, endereços de correio eletrónico e IP), dados profissionais (incluindo profissão, empregador e cargo) ou dados financeiros (incluindo folhas de vencimento, números de conta bancária e carteiras de títulos).
Quem é responsável pelo tratamento dos dados pessoais recolhidos através da plataforma para participação de infrações?
O BCE é o responsável pelo processamento dos dados pessoais recolhidos através da plataforma para participação de infrações e a Divisão de Execução e Sanções do BCE é a unidade organizacional responsável pelo tratamento desses dados.
A informação apresentada através da plataforma para participação de infrações é também processada externamente, em nome do BCE, pelo EQS Group AG, um terceiro prestador de serviços seguro, que não tem acesso aos conteúdos reportados.
Por que razão o BCE processa dados pessoais e qual é a base jurídica?
O BCE desenvolveu a sua plataforma para participação de infrações no sentido de que seja utilizada por pessoas que, agindo de boa fé, tenham motivos razoáveis para considerar que uma entidade supervisionada ou uma autoridade competente (uma autoridade de supervisão nacional, também referida como “autoridade nacional competente”, ou o BCE) infringiu os atos jurídicos referidos no artigo 4.º, n.º 3, do Regulamento (UE) n.º 1024/2013 (o Regulamento do Mecanismo Único de Supervisão (MUS)) e pretendam comunicar ao BCE informação relevante.
Os dados pessoais são recolhidos e tratados em conformidade com o artigo 5.º, n.º 1, alínea a), do Regulamento (UE) 2018/1725 pela Divisão de Execução e Sanções e pelo EQS Group AG.
Quem tem acesso à informação apresentada e a quem é divulgada?
A informação apresentada através da plataforma para participação de infrações é processada externamente, em nome do BCE, pelo EQS Group AG, um terceiro prestador de serviços. A informação apresentada através da plataforma para participação de infrações é processada recorrendo a um sistema de armazenamento em nuvem com servidores localizados na Alemanha. Só os utilizadores do BCE têm acesso à informação apresentada.
No BCE, a Divisão de Execução e Sanções é responsável por lidar com os relatórios apresentados através da plataforma para participação de infrações, estando os seus membros sujeitos a um regime de estrita confidencialidade. A Divisão de Execução e Sanções decide se a informação é reencaminhada para as unidades organizacionais competentes ao nível do BCE e/ou para as autoridades competentes (autoridades de supervisão nacionais) nos termos do Regulamento do MUS.
Ao disponibilizar a plataforma para participação de infrações, o BCE pretende receber apenas informação sobre infrações de legislação pertinente da UE cometidas por uma entidade supervisionada, uma autoridade de supervisão nacional ou o próprio BCE.
Se o BCE receber relatórios de infração de legislação pertinente da UE, a informação será reencaminhada para a unidade organizacional competente a nível do BCE e/ou para a autoridade de supervisão nacional relevante. Contudo, esses relatórios são tratados pelo BCE como “relatórios protegidos”. Tal significa que o BCE não revela a identidade ou os dados pessoais de qualquer pessoa ou pessoas responsáveis pela apresentação de um relatório protegido através da plataforma para participação de infrações sem primeiro obter o seu consentimento explícito – exceto se a divulgação for exigida por decisão judicial no contexto de inquéritos ou processos judiciais subsequentes.
Se o BCE receber relatórios não relacionados com infrações de legislação pertinente da UE, mas que digam respeito a outras das suas atribuições, a informação será reencaminhada para a unidade organizacional competente do BCE. Serão aplicáveis as normas gerais do BCE para a proteção de dados.
Se o BCE receber relatórios que determine estarem relacionados com infrações de disposições de legislação não pertinente da UE (por exemplo, em matéria de combate ao branqueamento de capitais e ao financiamento do terrorismo, defesa dos consumidores ou supervisão dos serviços de pagamentos) e que não digam respeito a outras atribuições do BCE, os dados pessoais recebidos serão eliminados e a informação não será reencaminhada. Serão aplicáveis as normas gerais do BCE para a proteção de dados.
Contudo, infrações de disposições de legislação não pertinente da UE poderão revelar incumprimentos de requisitos prudenciais. Por exemplo, violações de disposições relativas ao combate ao branqueamento de capitais e ao financiamento do terrorismo podem ser sintomas de deficiências nos mecanismos de governação e controlo interno, cuja estrutura está definida em regras relacionadas com a supervisão prudencial das instituições de crédito. Consequentemente, tais relatórios podem ser tratados pelo BCE como relatórios protegidos relacionados com infrações de legislação pertinente da UE numa base caso a caso, sendo a informação reencaminhada para as unidades organizacionais competentes do BCE e/ou para a autoridade de supervisão nacional relevante nos termos do Regulamento do MUS.
Além disso, o BCE poderá reencaminhar a informação recebida em relatórios de infração para as autoridades nacionais responsáveis pelo combate ao branqueamento de capitais i) se o relatório contiver informação relevante e necessária para o desempenho das funções dessas autoridades, como previsto no acordo multilateral sobre as modalidades práticas para o intercâmbio de informação entre o BCE e as autoridades competentes em matéria de combate ao branqueamento de capitais e ao financiamento do terrorismo, e ii) se a informação estiver relacionada com o sistema e os controlos internos de uma entidade supervisionada.
Durante quanto tempo é que o BCE guarda os dados pessoais apresentados através da plataforma para participação de infrações?
Uma vez encerrado um processo, todos os dados pessoais relevantes são guardados por um período de conservação fixo, conforme descrito a seguir.
Se o BCE considerar um relatório recebido relevante para a sua função de supervisão bancária, os dados serão retidos por um período de 5 anos. Se um relatório não for considerado relevante para a função de supervisão bancária do BCE, mas estiver relacionado com outras atribuições do BCE, os dados serão retidos por um período de 12 meses. Se o BCE decidir que um relatório não é relevante para nenhuma das suas atribuições, os dados serão retidos por um período de 3 meses.
Transferência de dados pessoais para países não pertencentes à UE
O BCE é parte em vários acordos de cooperação e continuará a celebrar acordos desta natureza com outras autoridades ou organizações internacionais. Estas organizações poderão solicitar dados pessoais de processos associados a participações de infração de legislação da UE. Nestes casos, o BCE está obrigado a cumprir as regras específicas relativas à transferência de dados pessoais para destinatários localizados em países não pertencentes à UE, onde a legislação da UE sobre proteção de dados não é aplicável. As regras em questão encontram-se definidas no capítulo v do regulamento em matéria de proteção de dados.
Os seus direitos
Tem o direito de aceder e de retificar os seus dados pessoais, de restringir ou de se opor ao tratamento dos mesmos e, em determinadas circunstâncias, de solicitar a sua eliminação. Pode exercer os seus direitos contactando o BCE através do seguinte endereço postal:
European Central Bank
Directorate General SSM Governance and Operations – Enforcement and Santions Division
Whistleblowing mechanism
60640 Frankfurt am Main
Alemanha
Tem também o direito de contactar a Autoridade Europeia para a Proteção de Dados, em qualquer momento, sobre o tratamento dos seus dados pessoais.
Informação adicional
Pode dirigir-se ao responsável pela proteção de dados no BCE (dpo@ecb.europa.eu), se necessitar de esclarecimentos sobre o processamento dos seus dados pessoais ou sobre os seus direitos.