fr

Examen du marché

Cet article n'est pas un avis juridique.

Protection des données personnelles au Portugal

Demo

Les sociétés Fintech collectent, contrôlent et traitent d'énormes quantités de données personnelles (y compris les données KYC) et sont par conséquent soumises aux règles de confidentialité des données en vertu du Règlement général sur la protection des données (RGPD), qui ne s'applique pas uniquement aux sociétés Fintech établies. dans l'UE, mais également à des sociétés établies en dehors de l'UE si elles ont des clients dans l'UE et que le traitement des données personnelles des clients est effectué dans le cadre de l'offre de services à ces personnes concernées, qu'un paiement soit exigé ou non des données matière. Le comité européen de la protection des données (EDPB) a précisé dans ses orientations 3/2018 sur le champ d'application territorial du RGPD, adoptées le 16 novembre 2018, que l'intention de cibler les clients dans l'UE est essentielle pour évaluer si les entités établies en dehors du territoire de l'UE sont soumises au RGPD.1

Dans certains cas, le traitement des données personnelles peut nécessiter le consentement du client. Les champs de consentement ou d'opt-out pré-marqués ne seront plus autorisés, car le consentement doit être sous la forme d'une déclaration ou d'une action affirmative claire. Le RGPD impose de lourdes obligations de responsabilité aux contrôleurs de données en ce qui concerne la preuve de la conformité, ce qui représente un changement de paradigme majeur dans le régime de protection des données. Cela comprend la réalisation d'évaluations d'impact sur la protection des données pour les opérations de traitement à haut risque (telles que celles impliquant le traitement de données à caractère personnel qui pourraient être utilisées pour commettre une fraude financière) et la mise en œuvre de la protection des données dès la conception et par défaut.1

Ces règles générales de protection des données sont complétées par des règles de secret bancaire et de lutte contre le blanchiment d'argent que les entreprises fintech devront respecter lorsqu'elles fourniront des services à leurs clients.1

Les règles sur le secret bancaire stipulent que la divulgation des données personnelles des clients protégées par le secret bancaire (y compris les virements transfrontaliers) n'est autorisée qu'avec l'autorisation préalable du client ou si la divulgation est nécessaire pour réaliser l'une des actions suivantes :

  • le respect d'une obligation légale limitant expressément ces devoirs de confidentialité
  • le respect des exigences de la justice dans les procédures pénales
  • le respect de l'obligation de communication d'informations à la BOP, à la CMVM ou à l'administration fiscale lorsque ces organismes agissent conformément à leurs attributions 1

Dans le passé, l'Autorité portugaise de protection des données (CNPD) a statué dans un cas précis que toutes les données personnelles traitées par une banque étaient soumises au secret bancaire.1

En ce qui concerne le traitement des données des clients à des fins de déclaration AML, la divulgation de données personnelles pertinentes spécifiques est basée sur le respect d'une obligation légale et il n'est donc pas nécessaire d'obtenir le consentement de la personne concernée. Étant donné que le concept d'« autorisation client » dans le cadre du PSEMLF et le cadre juridique des institutions financières diffèrent du concept de « consentement » dans le cadre du RGPD, de nombreuses banques et autres institutions financières choisissent de recueillir les autorisations des clients pour la divulgation d'informations relevant du secret bancaire dans le le cadre de leurs conditions générales du client.1

Un autre aspect important du traitement des données dans le contexte des entreprises fintech est le profilage des clients et la segmentation commerciale, ainsi que la prise de décision automatisée basée sur le profilage. Aucune décision automatisée affectant ou affectant de manière significative la personne concernée, basée uniquement sur un traitement automatisé de données conçu pour évaluer certains aspects personnels la concernant, n'est autorisée.1

Le RGPD a introduit de nouvelles dispositions pour faire face aux risques associés au profilage et à la prise de décision automatisée. Fondamentalement, selon le RGPD, ce type de prise de décision ne peut avoir lieu que si la décision est soit nécessaire à la conclusion ou à l'exécution du contrat, soit autorisée par le droit de l'UE ou de l'État membre applicable au responsable du traitement, soit enfin fondée sur des visages de consentement. Si l'un de ces motifs s'applique, des mesures de sécurité supplémentaires doivent être mises en place, ainsi que la divulgation d'informations spécifiques sur la prise de décision individuelle automatisée aux personnes concernées concernant la logique, la signification et les conséquences prévues. En janvier 2020, en réponse à une lettre de la députée européenne Sophie in 't Veld sur les algorithmes déloyaux concernant la question de savoir si le RGPD est suffisant pour protéger les personnes concernées contre une prise de décision automatisée déloyale, le CEPD a souligné que "les responsables du traitement ont l'obligation d'examiner toutes les risques que l'utilisation ou la création d'un algorithme spécifique pourrait potentiellement créer pour les droits et libertés des personnes, et, le cas échéant, prendre des mesures pour éliminer ces risques.1

Il existe également des restrictions supplémentaires sur l'utilisation de catégories particulières de données (telles que les données de santé ou les données biométriques) pour tout traitement de données personnelles, ce qui peut finalement affecter la façon dont les entreprises fintech mettent en œuvre des mécanismes d'authentification client solides conformément aux normes techniques réglementaires PSD II. , étant donné que les normes techniques réglementaires imposent l'utilisation des données biométriques des utilisateurs de services de paiement dans ce contexte. La CNPD a toujours statué que les données financières sont des données sensibles dans le sens où elles révèlent des aspects de la vie privée d'une personne et doivent donc être protégées par la Constitution portugaise. Étant donné que les données financières sont également traitées comme des données hautement personnelles par le CEPD, cela peut finalement affecter la rigueur des mesures techniques et organisationnelles que les responsables du traitement et les sous-traitants prennent pour protéger les données, ainsi que la nécessité de se soumettre à une vérification des données. évaluation de l'impact sur la protection (DPIA) avant le traitement des données. Ainsi, le traitement de données financières peut donner lieu à la nécessité d'une DPIA conformément au Règlement CNPD 1/2018, qui énumère les activités de traitement qui relèvent de la DPIA obligatoire, puisque le Règlement fait référence au traitement de données à caractère purement caractère personnel. dans quatre cas sur neuf.1

Sans préjudice de ce qui précède, la législation portugaise mettant en œuvre le GDPR est entrée en vigueur le 8 août 2019. La loi n° 58/2019 introduit quelques ajustements et restrictions supplémentaires aux règles énoncées dans le RGPD, notamment en ce qui concerne le traitement des données personnelles des personnes décédées. , les durées de conservation des données applicables et le consentement des mineurs au traitement des données. En particulier, et sans préjudice du principe de limitation des finalités du RGPD, la loi n° 58/2019 permet aux responsables du traitement ou aux sous-traitants de conserver les données personnelles jusqu'à l'expiration des délais de prescription légaux pendant lesquels ils pourraient avoir besoin d'utiliser les données pour démontrer le respect des obligations légales ou contractuelles.1

Plateformes fintech étrangères sur le marché portugais

Fintech au Portugal

Fintech dans d'autres pays

On vous présente

Avocats Fintech au Portugal

Denis Polyakov

Denis Polyakov

Services juridiques complets pour les entreprises sur le droit des sociétés, le droit fiscal, la législation sur les crypto-monnaies, les activités d'investissement

Kristina Berkes

Kristina Berkes

Participation en tant qu'avocat dans des fonds de capital-risque d'investissement, réalisation d'opérations de fusion-acquisition dans le domaine de l'informatique, support pour iGaming et actifs commerciaux

Silvia Calls

Silvia Calls

Nous travaillons pour les petites et moyennes entreprises internationales, les start-ups et les entreprises de télécommunications

Remarques
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal