Você pode consultar as regras e regulamentos em outras jurisdições.
As empresas fintech coletam, controlam e processam grandes quantidades de dados pessoais (incluindo dados KYC) e, como resultado, estão sujeitas a regras de privacidade de dados sob o Regulamento Geral de Proteção de Dados (GDPR), que não se aplica apenas a empresas fintech estabelecidas. na UE, mas também a empresas estabelecidas fora da UE se tiverem clientes na UE e o processamento de dados pessoais de clientes for realizado no contexto da oferta de serviços a esses titulares de dados, independentemente de o pagamento ser exigido pelos dados sujeito. O European Data Protection Board (EDPB) esclareceu na sua Orientação 3/2018 sobre o âmbito territorial do RGPD, adotada a 16 de novembro de 2018, que a intenção de visar clientes na UE é fundamental para avaliar se as entidades estabelecidas fora do território da UE estão sujeitas ao RGPD.1
Em alguns casos, o processamento de dados pessoais pode exigir o consentimento do cliente. Os campos de consentimento ou de exclusão pré-marcados não serão mais permitidos, pois o consentimento deve ser na forma de uma declaração ou de uma ação afirmativa clara. O GDPR impõe pesadas obrigações de responsabilidade aos controladores de dados em relação à evidência de conformidade, o que representa uma grande mudança de paradigma no regime de proteção de dados. Isso inclui a realização de avaliações de impacto da proteção de dados para operações de processamento de alto risco (como as que envolvem o processamento de dados pessoais que podem ser usados para cometer fraudes financeiras) e a implementação da proteção de dados por design e por padrão.1
Estas regras gerais de proteção de dados são complementadas por regras de sigilo bancário e AML que as fintechs terão de cumprir ao prestar serviços aos seus clientes.1
As regras de sigilo bancário estabelecem que a divulgação de dados pessoais de clientes protegidos por sigilo bancário (incluindo transferências transfronteiriças) só é permitida com a autorização prévia do cliente ou se a divulgação for necessária para alcançar uma das seguintes ações:
No passado, a Autoridade Portuguesa de Proteção de Dados (CNPD) decidiu em caso concreto que todos os dados pessoais tratados por um banco estavam sujeitos a sigilo bancário.1
No que diz respeito ao tratamento de dados de clientes para efeitos de comunicação AML, a divulgação de determinados dados pessoais relevantes tem por base o cumprimento de uma obrigação legal, pelo que não é necessário obter o consentimento do titular dos dados. Uma vez que o conceito de “permissão do cliente” no PSEMLF e o quadro legal das instituições financeiras diferem do conceito de “consentimento” no GDPR, muitos bancos e outras instituições financeiras optam por coletar permissões do cliente para a divulgação de informações de sigilo bancário no contexto de seus termos e condições gerais do cliente.1
Outro aspecto importante do processamento de dados no contexto dos negócios fintech é o perfil do cliente e a segmentação do negócio, bem como a tomada de decisão automatizada com base no perfil. Não são permitidas decisões automatizadas que afetem ou afetem significativamente o titular dos dados, com base apenas no processamento automatizado de dados projetado para avaliar certos aspectos pessoais que lhe digam respeito.1
GDPR introduziu novas disposições para lidar com os riscos associados à criação de perfis e à tomada de decisão automatizada. Basicamente, de acordo com o GDPR, esse tipo de tomada de decisão só pode ocorrer se a decisão for necessária para a conclusão ou execução do contrato, ou autorizada pela legislação da UE ou do Estado-membro aplicável ao controlador, ou, finalmente, com base em explícito caras de consentimento. Se um desses fundamentos se aplicar, medidas de segurança adicionais devem ser implementadas, bem como a divulgação de informações específicas sobre a tomada de decisão individual automatizada aos titulares de dados afetados em relação à lógica, significado e consequências pretendidas. Em janeiro de 2020, em resposta a uma carta da MEP Sophie in 't Veld sobre algoritmos injustos sobre se o GDPR é suficiente para proteger os titulares de dados de tomadas de decisão automatizadas injustas, o EDPB enfatizou que "os controladores têm a obrigação de considerar todos os potenciais riscos que o uso ou a criação de um algoritmo específico poderia potencialmente criar para os direitos e liberdades dos indivíduos e, se necessário, tomar medidas para eliminar esses riscos”.1
Existem também restrições adicionais sobre o uso de categorias especiais de dados (como dados de saúde ou dados biométricos) para qualquer processamento de dados pessoais, o que pode afetar a forma como as fintechs implementam mecanismos fortes de autenticação do cliente de acordo com os padrões técnicos regulatórios PSD II. , uma vez que as normas técnicas regulamentares exigem a utilização de dados biométricos dos utilizadores de serviços de pagamento neste contexto. A CNPD tem consistentemente decidido que os dados financeiros são dados sensíveis no sentido de que revelam aspectos da vida privada de uma pessoa e, portanto, devem ser protegidos pela Constituição Portuguesa. Uma vez que os dados financeiros também são tratados como dados altamente pessoais pelo EDPB, isso pode afetar o rigor das medidas técnicas e organizacionais que os controladores e processadores de dados adotam para proteger os dados, bem como a necessidade de passar por verificação de dados. avaliação de impacto de proteção (DPIA) antes do processamento de dados. Assim, o tratamento de dados financeiros pode dar origem à necessidade de um DPIA de acordo com o Regulamento da CNPD n.º 1/2018, que enumera as atividades de tratamento que se enquadram no âmbito do DPIA obrigatório, uma vez que o Regulamento se refere ao tratamento de dados de natureza puramente natureza pessoal. em quatro de nove casos.1
Sem prejuízo do anterior, a legislação portuguesa de implementação do RGPD entrou em vigor no dia 8 de agosto de 2019. A Lei n.º 58/2019 introduz alguns ajustamentos e restrições adicionais às regras previstas no RGPD, nomeadamente no que diz respeito ao tratamento de dados pessoais de pessoas falecidas. , períodos de retenção de dados aplicáveis e consentimento de menores para processamento de dados. Em particular, e sem prejuízo do princípio da limitação da finalidade do RGPD, a Lei n.º 58/2019 permite que os responsáveis pelo tratamento ou subcontratantes retenham dados pessoais até ao termo de quaisquer prazos de prescrição estatutários durante os quais possam necessitar de utilizar os dados para demonstrar o cumprimento de obrigações legais ou contratuais.1
Plataformas fintech estrangeiras no mercado português
Suporte jurídico para projetos FinTech e Blockchain
Trabalhamos para pequenas e médias empresas internacionais, start-ups e empresas de telecomunicações
Participação como advogada em fundos de investimento, realizando negócios de M&A venture na área de TI, suporte para iGaming e ativos de negócios