Puoi guardare le regole e i regolamenti in altre giurisdizioni.
Le società fintech raccolgono, controllano ed elaborano enormi quantità di dati personali (inclusi i dati KYC) e di conseguenza sono soggette alle norme sulla privacy dei dati ai sensi del regolamento generale sulla protezione dei dati (GDPR), che non si applica solo alle società fintech consolidate. nell'UE, ma anche a società stabilite al di fuori dell'UE se hanno clienti nell'UE e il trattamento dei dati personali dei clienti viene effettuato nell'ambito dell'offerta di servizi a tali interessati, indipendentemente dal fatto che sia richiesto il pagamento dei dati materia. Il Comitato europeo per la protezione dei dati (EDPB) ha chiarito nella sua Guidance 3/2018 on the territorial scope of the GDPR, adottata il 16 novembre 2018, che l'intenzione di rivolgersi a clienti nell'UE è fondamentale per valutare se le entità stabilite al di fuori del territorio dell'UE siano soggette al GDPR.1
In alcuni casi, il trattamento dei dati personali può richiedere il consenso del cliente. I campi di consenso o di esclusione preselezionati non saranno più consentiti, poiché il consenso deve essere sotto forma di dichiarazione o di una chiara azione affermativa. Il GDPR impone gravosi obblighi di responsabilità ai responsabili del trattamento dei dati in relazione alla prova della conformità, che rappresenta un importante cambiamento di paradigma nel regime di protezione dei dati. Ciò include lo svolgimento di valutazioni d'impatto sulla protezione dei dati per le operazioni di trattamento ad alto rischio (come quelle che comportano il trattamento di dati personali che potrebbero essere utilizzati per commettere frodi finanziarie) e l'implementazione della protezione dei dati fin dalla progettazione e per impostazione predefinita.1
Queste norme generali sulla protezione dei dati sono integrate dal segreto bancario e dalle norme antiriciclaggio che le società fintech dovranno rispettare quando forniscono servizi ai propri clienti.1
Le norme sul segreto bancario stabiliscono che la divulgazione dei dati personali dei clienti protetti dal segreto bancario (compresi i bonifici transfrontalieri) è consentita solo previa autorizzazione del cliente o se la divulgazione è necessaria per realizzare una delle seguenti azioni:
In passato, l'autorità portoghese per la protezione dei dati (CNPD) ha stabilito in un caso specifico che tutti i dati personali trattati da una banca erano soggetti al segreto bancario.1
Per quanto riguarda il trattamento dei dati dei clienti ai fini della segnalazione AML, la comunicazione di specifici dati personali rilevanti si basa sull'adempimento di un obbligo legale e pertanto non è necessario acquisire il consenso dell'interessato. Poiché il concetto di "autorizzazione del cliente" ai sensi del PSEMLF e il quadro giuridico degli istituti finanziari differisce dal concetto di "consenso" ai sensi del GDPR, molte banche e altri istituti finanziari scelgono di raccogliere le autorizzazioni dei clienti per la divulgazione delle informazioni relative al segreto bancario nel contesto delle loro condizioni generali di contratto del cliente.1
Un altro aspetto importante dell'elaborazione dei dati nel contesto del business fintech è la profilazione dei clienti e la segmentazione aziendale, nonché il processo decisionale automatizzato basato sulla profilazione. Non sono consentite decisioni automatizzate che influiscano o incidano in modo significativo sull'interessato, basate esclusivamente su un trattamento automatizzato dei dati volto a valutare determinati aspetti personali che lo riguardano.1
Il GDPR ha introdotto nuove disposizioni per affrontare i rischi associati alla profilazione e al processo decisionale automatizzato. In sostanza, secondo il GDPR, questo tipo di processo decisionale può avvenire solo se la decisione è necessaria per la conclusione o l'esecuzione del contratto, o autorizzata dal diritto dell'UE o dello Stato membro applicabile al titolare del trattamento, o infine basata su esplicita volti di consenso. Se si applica uno di questi motivi, devono essere messe in atto misure di sicurezza aggiuntive, nonché la divulgazione di informazioni specifiche sul processo decisionale individuale automatizzato agli interessati in merito alla logica, al significato e alle conseguenze previste. Nel gennaio 2020, in risposta a una lettera dell'eurodeputata Sophie in 't Veld sugli algoritmi sleali in merito al fatto che il GDPR sia sufficiente a proteggere gli interessati da processi decisionali automatizzati sleali, l'EDPB ha sottolineato che "i titolari del trattamento hanno l'obbligo di considerare tutti i potenziali rischi che l'uso o la creazione di uno specifico algoritmo potrebbe potenzialmente creare per i diritti e le libertà delle persone e, se necessario, adottare misure per eliminare tali rischi.1
Esistono anche ulteriori restrizioni sull'uso di categorie speciali di dati (come dati sanitari o dati biometrici) per qualsiasi trattamento di dati personali, che possono in ultima analisi influenzare il modo in cui le società fintech implementano meccanismi di autenticazione forte del cliente in conformità con gli standard tecnici normativi PSD II. , in quanto le norme tecniche di regolamentazione richiedono l'utilizzo dei dati biometrici degli utenti dei servizi di pagamento in tale contesto. La CNPD ha costantemente stabilito che i dati finanziari sono dati sensibili nel senso che rivelano aspetti della vita privata di una persona e pertanto devono essere protetti dalla Costituzione portoghese. Poiché anche i dati finanziari sono trattati come dati altamente personali dall'EDPB, ciò può in ultima analisi influire sul rigore delle misure tecniche e organizzative che i titolari del trattamento e gli incaricati del trattamento adottano per proteggere i dati, nonché la necessità di sottoporsi alla verifica dei dati. valutazione dell'impatto sulla protezione (DPIA) prima del trattamento dei dati. Pertanto, il trattamento dei dati finanziari può far sorgere la necessità di una DPIA ai sensi del Regolamento CNPD 1/2018, che elenca le attività di trattamento che rientrano nella DPIA obbligatoria, poiché il Regolamento fa riferimento al trattamento di dati di natura puramente natura personale. in quattro casi su nove.1
Fatto salvo quanto sopra, la legislazione portoghese che attua il GDPR è entrata in vigore l'8 agosto 2019. La Legge n.58/2019 introduce alcuni ulteriori adeguamenti e limitazioni alla disciplina prevista dal GDPR, in particolare per quanto riguarda il trattamento dei dati personali delle persone decedute. , periodi di conservazione dei dati applicabili e consenso dei minori al trattamento dei dati. In particolare, e fermo restando il principio di limitazione delle finalità del GDPR, la Legge 58/2019 consente ai titolari o ai responsabili del trattamento di conservare i dati personali fino alla scadenza dei termini di prescrizione previsti dalla legge durante i quali potrebbero aver bisogno di utilizzare i dati per dimostrare il rispetto di obblighi legali o contrattuali.1
Piattaforme fintech straniere nel mercato portoghese
Servizi legali completi per le imprese in materia di diritto societario, diritto tributario, legislazione sulle criptovalute, attività di investimento
Supporto legale per progetti FinTech e Blockchain
Lavoriamo per piccole e medie imprese internazionali, start-up e società di telecomunicazioni
