Puteți consulta regulile și reglementările din alte jurisdicții.
Companiile Fintech colectează, controlează și procesează cantități uriașe de date cu caracter personal (inclusiv date KYC) și, prin urmare, sunt supuse regulilor de confidențialitate a datelor conform Regulamentului general privind protecția datelor (GDPR), care nu se aplică numai companiilor fintech consacrate. în UE, dar și companiilor stabilite în afara UE dacă au clienți în UE și prelucrarea datelor cu caracter personal ale clienților se realizează în contextul oferirii de servicii acestor persoane vizate, indiferent dacă este necesară plata din date. subiect. Comitetul European pentru Protecția Datelor (EDPB) a clarificat în Ghidul său 3/2018 privind domeniul de aplicare teritorial al GDPR, adoptat la 16 noiembrie 2018, că intenția de a viza clienții din UE este esențială pentru a evalua dacă entitățile stabilite în afara teritoriului UE sunt supuse la GDPR.1
În unele cazuri, prelucrarea datelor cu caracter personal poate necesita acordul clientului. Câmpurile de consimțământ premarcate sau de renunțare nu vor mai fi permise, deoarece consimțământul trebuie să fie sub forma unei declarații sau a unei acțiuni afirmative clare. GDPR impune obligații împovărătoare de responsabilitate asupra operatorilor de date în ceea ce privește dovezile de conformitate, ceea ce reprezintă o schimbare majoră de paradigmă în regimul de protecție a datelor. Aceasta include efectuarea de evaluări de impact privind protecția datelor pentru operațiunile de prelucrare cu risc mai mare (cum ar fi cele care implică prelucrarea datelor cu caracter personal care ar putea fi utilizate pentru a comite fraude financiare) și implementarea protecției datelor de la concepție și implicit.1
Aceste reguli generale de protecție a datelor sunt completate de secretul bancar și regulile AML pe care companiile fintech vor trebui să le respecte atunci când oferă servicii clienților lor.1
Regulile privind secretul bancar prevăd că divulgarea datelor cu caracter personal ale clienților protejați de secretul bancar (inclusiv transferurile transfrontaliere) este permisă numai cu permisiunea prealabilă a clientului sau dacă dezvăluirea este necesară pentru a realiza una dintre următoarele acțiuni:
În trecut, Autoritatea portugheză pentru protecția datelor (CNPD) a hotărât într-un caz specific că toate datele personale prelucrate de o bancă erau supuse secretului bancar.1
În ceea ce privește prelucrarea datelor clienților în scopuri de raportare AML, dezvăluirea unor date cu caracter personal relevante specifice se bazează pe îndeplinirea unei obligații legale și, prin urmare, nu este necesară obținerea consimțământului persoanei vizate. Deoarece conceptul de „permisiunea clientului” din PSEMLF și cadrul legal al instituțiilor financiare diferă de conceptul de „consimțământ” din GDPR, multe bănci și alte instituții financiare aleg să colecteze permisiunile clienților pentru dezvăluirea informațiilor secrete bancare în contextul termenilor și condițiilor generale ale clientului.1
Un alt aspect important al procesării datelor în contextul afacerilor fintech este profilarea clienților și segmentarea afacerilor, precum și luarea automată a deciziilor bazată pe profilare. Nu sunt permise decizii automate care afectează sau afectează semnificativ persoana vizată, bazate exclusiv pe prelucrarea automată a datelor menită să evalueze anumite aspecte personale care o privesc.1
GDPR a introdus noi prevederi pentru a aborda riscurile asociate profilării și luării automate a deciziilor. Practic, conform GDPR, acest tip de luare a deciziilor poate avea loc numai dacă decizia este fie necesară pentru încheierea sau executarea contractului, fie autorizată de legislația UE sau a statului membru aplicabilă operatorului, fie în cele din urmă pe baza explicită fețe de consimțământ. Dacă se aplică unul dintre aceste motive, trebuie puse în aplicare măsuri de securitate suplimentare, precum și dezvăluirea de informații specifice despre luarea automată a deciziilor individuale persoanelor vizate cu privire la logica, sensul și consecințele preconizate. În ianuarie 2020, ca răspuns la o scrisoare a europarlamentarului Sophie in 't Veld privind algoritmii neloiali în ceea ce privește dacă GDPR este suficient pentru a proteja persoanele vizate de luarea deciziilor automate neloiale, EDPB a subliniat că „operatorii au obligația de a lua în considerare toate potențialele riscurile pe care utilizarea sau crearea unui anumit algoritm le-ar putea crea pentru drepturile și libertățile indivizilor și, dacă este necesar, luați măsuri pentru a elimina aceste riscuri.”1
Există, de asemenea, restricții suplimentare privind utilizarea categoriilor speciale de date (cum ar fi datele de sănătate sau datele biometrice) pentru orice prelucrare a datelor cu caracter personal, care în cele din urmă pot afecta modul în care companiile fintech implementează mecanisme puternice de autentificare a clienților în conformitate cu standardele tehnice de reglementare PSD II. , întrucât standardele tehnice de reglementare impun utilizarea datelor biometrice ale utilizatorilor serviciilor de plată în acest context. CNPD a decis în mod constant că datele financiare sunt date sensibile în sensul că dezvăluie aspecte ale vieții private a unei persoane și, prin urmare, trebuie protejate de Constituția portugheză. Întrucât datele financiare sunt, de asemenea, tratate ca date cu caracter personal de către EDPB, acest lucru poate afecta în cele din urmă rigoarea măsurilor tehnice și organizatorice pe care operatorii de date și procesatorii de date le iau pentru a proteja datele, precum și necesitatea de a fi supus verificării datelor. evaluarea impactului protecției (DPIA) înainte de prelucrarea datelor. Astfel, prelucrarea datelor financiare poate da naștere la necesitatea unei DPIA în conformitate cu Regulamentul CNPD 1/2018, care enumeră activitățile de prelucrare care intră sub incidența DPIA obligatorie, întrucât Regulamentul se referă la prelucrarea datelor de un natura personala. în patru din nouă cazuri.1
Fără a aduce atingere celor de mai sus, legislația portugheză de implementare a GDPR a intrat în vigoare la 8 august 2019. Legea nr.58/2019 introduce unele ajustări și restricții suplimentare la regulile prevăzute de GDPR, în special în ceea ce privește prelucrarea datelor cu caracter personal ale persoanelor decedate. , perioadele aplicabile de păstrare a datelor și consimțământul minorilor pentru prelucrarea datelor. În special, și fără a aduce atingere principiului limitării scopului din GDPR, Legea nr.58/2019 permite operatorilor de date sau persoane împuternicite de operator să rețină datele cu caracter personal până la expirarea oricăror termene legale de prescripție în care ar putea fi nevoiți să utilizeze datele pentru să demonstreze respectarea obligațiilor legale sau contractuale.1
Platforme străine fintech pe piața portugheză
Lucrăm pentru întreprinderi mici și mijlocii internaționale, start-up-uri și companii de telecomunicații
Participare ca avocat la fonduri de investiții de risc, desfășurare de tranzacții de fuziuni și achiziții în domeniul IT, suport pentru iGaming și active de afaceri
Servicii juridice cuprinzătoare pentru afaceri cu privire la legislația corporativă, fiscală, criptomonede, activități de investiții
