Princípios de Tratamento e Proteção de Dados Pessoais
1. Qual é o nosso compromisso
Este documento reflete o nosso compromisso em (i) comunicar de forma transparente sobre os dados pessoais que tratamos e em que condições o fazemos; (ii) garantir a segurança dos dados pessoais e a privacidade dos titulares de dados; (iii) disponibilizar os mecanismos adequados para o exercício dos direitos dos titulares de dados pessoais; (iv) respeitar o disposto no Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 - Regulamento Geral sobre a Proteção de Dados (“RGPD”) - e restante legislação aplicável, incluindo a legislação nacional que complementa o RGPD (“Lei 58/2019 de 8 de Agosto”); e (v) cumprir os deveres de confidencialidade que decorrem do Regime Geral das Instituições de Crédito e Sociedades Financeiras aprovado pelo Decreto-Lei n.º 298/92, de 31 de Dezembro de 1992, na sua versão atual.
Para saber como o Millennium bcp trata os dados pessoais, de que é titular, recomendamos a leitura deste documento, a consulta da página do site dedicada à privacidade e proteção dos dados pessoais, disponível em https://ind.millenniumbcp.pt/pt/Particulares/Pages/Principios-Tratamento-Protecao- Dados-Pessoais.aspx e a leitura dos Termos e Condições dos nossos produtos e/ou serviços.
As informações prestadas nesta política, sobre tratamentos de dados pessoais, poderão ser complementadas com informações específicas sobre produtos e/ou serviços fornecidos pelo Millennium bcp.
2. Quem somos
Referências, neste documento, a “Millennium bcp”, “Banco”, “nós” e “nosso(s)”, incluem o Banco Comercial Português S.A., sociedade anónima, com sede na Praça D. João I, 28, 4000-295 Porto, registado na Conservatória do Registo Comercial do Porto com o número único de matrícula e de pessoa coletiva 501 525 882, a sua Sucursal de Macau e os seus Escritórios de Representação, a Interfundos - Sociedade Gestora de Organismos de Investimento Coletivo, a Fundação Millennium bcp e qualquer outra sociedade, com sede em Portugal e com a qual o Banco Comercial Português S.A. estabeleça uma relação de domínio (doravante “Grupo”).
Cada uma das entidades referidas é a Responsável pelo tratamento dos dados pessoais de diferentes categorias de titulares, nomeadamente dos seus Clientes e colaboradores e quem, nesse âmbito, decide quais os dados recolhidos, os meios de tratamento e as finalidades para as quais os dados são tratados (“Responsável pelo Tratamento”).
O respetivo contacto é o seguinte:
Millennium bcp
Endereço de correio postal: Av. Prof. Dr. Cavaco Silva (Tagus Park) Edf. 1, nº 32 2740-256 Porto Salvo
Telefone: 91 827 24 24 | 93 522 24 24 | 96 599 24 24 (chamada para rede móvel nacional);
+351 21 005 24 24 (chamada para rede fixa nacional)
(Atendimento personalizado 24h. O custo das comunicações depende do tarifário acordado com o seu operador)
Endereço de correio eletrónico: secretariado.sociedade@millenniumbcp.pt
O Millennium bcp tem um Encarregado da Proteção de Dados que (i) monitoriza a conformidade do tratamento de dados com as normas aplicáveis, (ii) é um dos seus pontos de contacto para o esclarecimento de questões relativas ao tratamento de dados, (iii) coopera com a Comissão Nacional de Proteção de Dados (“CNPD”), na sua qualidade de autoridade de controlo, e (iv) presta informação e aconselha o Millennium bcp ou as entidades subcontratadas sobre as suas obrigações no âmbito da privacidade e proteção de dados pessoais (“Encarregado da Proteção de Dados”).
O contacto do nosso Encarregado da Proteção de Dados é:
Millennium bcp
Encarregado de Proteção de Dados
Endereço de correio postal: Av. Prof. Dr. Cavaco Silva (Tagus Park) Edf. 1, n.º 32, 2740-256 Porto Salvo
Endereço de correio eletrónico: protecao.dados.pessoais@millenniumbcp.pt
3. Que dados pessoais recolhemos e tratamos
No essencial, um dado pessoal é qualquer informação que (independentemente da sua natureza ou suporte), de uma forma direta ou em combinação com outros dados, pode identificar uma pessoa singular ou pode a ela ser associado (“Dados Pessoais”).
O Millennium bcp apenas recolhe dados pessoais em conformidade com a legislação aplicável.
Podemos recolher os seus dados pessoais a partir de diferentes fontes e estes dados podem estar relacionados com qualquer um dos produtos e/ou serviços que contratou, que detém ou deteve no passado, ou resultar de interações que tenha tido connosco, por exemplo, ao visitar os nossos websites ou aplicações móveis, ou quando nos contacta telefonicamente sobre qualquer um dos nossos produtos e/ou serviços.
Podemos recolher alguns dados pessoais diretamente através de si ou de terceiros que sejam seus intermediários ou que estejam relacionados com os produtos e/ou serviços que subscreveu ou de outras fontes acessíveis ao público.
A tabela seguinte apresenta as principais categorias de dados pessoais que tratamos:
Categoria de dados pessoais |
Exemplos |
Identificação e contactos |
Nome, número de documento de identificação, número de identificação fiscal, fotografia, padrão biométrico facial, assinatura, morada, contacto telefónico ou endereço de correio eletrónico. |
Dados biográficos |
Data de nascimento, sexo, nacionalidade, naturalidade, estado civil, informação sobre o agregado familiar, habilitações académicas, ou dados sobre a profissão. |
Dados financeiros |
Património financeiro, responsabilidades no setor financeiro, ou salário mensal. |
Produtos e serviços |
Número de conta, saldo, número de cartão de débito/crédito, e outras informações relativas a produtos e serviços adquiridos ou subscritos e respetivas condições (e.g. duração e taxa de juro de um crédito ao consumo). |
Transações |
Data, hora, descrição e valor de operações bancárias (e.g. depósitos, levantamentos, transferências, pagamentos), CAE e localização do estabelecimento. |
Segmentos e perfis |
Segmento comercial, perfil ou grau de risco de crédito, perfil de investidor, ou propensão para a aquisição de produtos financeiros. |
Opiniões e preferências |
Comentários nos meios de presença do Banco nas redes sociais, ou respostas a questionários de satisfação. |
Conteúdos |
Informação contida nas comunicações escritas entre o Titular e o Banco, chamadas (vídeo e/ ou áudio) gravadas (e.g. ordens de bolsa transmitidas por telefone). |
Imagens |
Imagens recolhidas através de câmaras de videovigilância colocadas nas nossas instalações. |
Contas de acesso |
Conta de utilizador, credenciais de autenticação do utilizador, ou código multicanal. |
Utilização de sites e aplicações |
Páginas visitadas, ou informação sobre os equipamentos utilizados (e.g. endereço IP, localização geográfica, browser utilizado, cookies). |
O Millennium bcp obtém estes dados pessoais através dos seguintes meios de recolha (ou produção):
Meios de recolha |
Exemplos |
Dados fornecidos pelos titulares de dados |
Dados ou conteúdos fornecidos diretamente pelos titulares de dados pessoais (i) no processo de subscrição ou aquisição de produtos e/ou serviços, (ii) nas interações com a rede de balcões ou o centro de contactos e deslocações às nossas instalações, (iii) nas cartas ou mensagens de correio eletrónicas enviadas, (iv) na participação em ações promocionais do Banco, ou (v) na resposta a inquéritos de satisfação. |
Dados recolhidos no contexto da utilização de produtos e/ou serviços pelos titulares de dados |
Dados relativos às operações e transações bancárias realizadas pelos titulares com o Banco (e.g. depósitos, levantamentos, transferências, pagamentos, contratos de crédito, constituição de garantias). |
Perfilagem |
Dados produzidos pelo Banco através da aplicação de modelos analíticos aos dados dos titulares e aos dados relativos à utilização de produtos e/ou serviços do Banco pelos titulares. |
Cookies Persistentes |
Dados relativos à utilização dos sites e aplicações do Banco (e.g. páginas visitadas; preferências do utilizador), obtidos através de cookies do Banco ou de entidades terceiras. Pode obter mais informação sobre o tipo de cookies utilizados pelo Banco e os dados recolhidos, na política de cookies publicada no site www.millenniumbcp.pt |
Dados obtidos de entidades terceiras |
Dados obtidos pelo Banco junto de entidades terceiras com as quais trabalha, incluindo (i) Banco de Portugal, (ii) autoridades públicas, (iii) agentes a trabalhar em nome do Banco, ou (iv) parceiros do Banco relacionados com programas de fidelização, divulgados na documentação associada aos respetivos programas. |
Obrigação de fornecer dados pessoais
No âmbito das relações comerciais e contratuais, é obrigatória a apresentação e recolha de alguns dados pessoais dos Clientes, potenciais Clientes e outros titulares (e.g. fiadores, avalistas, representantes, beneficiários efetivos), necessários para cumprimento das obrigações e diligências pré-contratuais e contratuais, ou daquelas que decorrem da regulamentação em vigor. Regra geral, sem estes dados o Millennium bcp terá de recusar a celebração do contrato, ou a execução de uma ordem, ou ainda cessar contrato, tendo de o resolver. Por exemplo, no âmbito das disposições legais relativas ao regime da prevenção do branqueamento de capitais, é necessário identificar o Titular antes e durante a relação comercial, tipicamente através de um documento de identificação, recolhendo-se a informação nele contida, sob pena de recusa da instrução ou pedido efetuado.
4. Como tratamos os dados pessoais
Um tratamento de dados é uma operação ou conjunto de operações efetuadas sobre dados pessoais por meios manuais ou automatizados, incluindo a recolha, armazenamento, utilização, cópia e transferência.
No Millennium bcp tratamos os dados pessoais de forma lícita, leal e transparente e com finalidades específicas. As secções seguintes descrevem e ilustram as principais finalidades de tratamento no Millennium bcp, enquadradas nas respetivas bases de licitude:
Execução de contrato
O Millennium bcp efetua os tratamentos de dados necessários para a celebração, execução e gestão de contratos em que o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados.
Finalidade de tratamento |
Exemplos |
Abertura e gestão de contas |
Recolha e registo de dados dos titulares ou representantes, abertura de contas à ordem, alteração de titulares e respetivos dados, ou emissão de extratos bancários. |
Adesão e gestão de produtos e/ou serviços financeiros |
Adesão, produção e envio de meios de pagamento (e.g. cartões de débito, pré-pagos e crédito), simulação, constituição e gestão de produtos de poupança e investimento, ou prestação de informação sobre produtos e/ou serviços adquiridos ou subscritos. |
Concessão e gestão de crédito |
Simulação, registo, decisão e contratação de operações crédito e respetivas garantias, ou cobrança e regularização de rendas ou prestações. |
Gestão de operações bancárias |
Processamento de depósitos em cheque ou numerário, débitos diretos, levantamentos, carregamentos, pagamentos, transferências nacionais e internacionais, cobrança de comissões bancárias, ou execução de ordens (e.g. compra e venda de títulos). |
Adesão e gestão de serviços relacionados com canais eletrónicos |
Adesão a canais eletrónicos (e.g. Internet banking, mobile banking, centro de contactos), gestão de credenciais de acesso, personalização dos canais, ou ativação e desativação de serviços relacionados. |
Mediação de seguros |
Recolha e análise de dados para a subscrição de produtos de seguros, onde o Banco assume o papel de mediador, atuando em nome da companhia de seguros. |
Cumprimento de obrigação legal ou regulamentar
O Millennium bcp efetua os tratamentos de dados necessários para garantir o cumprimento das diversas obrigações legais - nacionais e europeias - a que está sujeito, incluindo (i) o Regime Geral das Instituições de Crédito e Sociedades Financeiras, (ii) a legislação relativa à prevenção e combate ao branqueamento de capitais e ao financiamento ao terrorismo, (iii) a legislação relativa a atividades de intermediação financeira e negociação de valores mobiliários e legislação tributária, (iv) as disposições relativas à supervisão da atividade bancária, (v) o Regulamento Europeu de Requisitos de Capital, (vi) a legislação relativa à proteção de Dados Pessoais, e (vii) requisitos relativos à obrigatoriedade da adoção de medidas de segurança nas instalações e demais obrigações regulamentares a que também está sujeito, emanadas designadamente pelo Banco de Portugal, pelo Banco Central Europeu, pela Autoridade Bancária Europeia, pela Comissão do Mercado de Valores Mobiliários, pela Autoridade Europeia de Supervisão dos Mercados e pela Autoridade da Concorrência.
Finalidade de tratamento |
Exemplos |
Gestão de risco |
Análise do risco de crédito, ou verificação da identidade e idade, dos conhecimentos e experiência, perfil de risco, e objetivos de investimento de um titular de dados - O Millennium bcp avalia a solvabilidade dos mutuários, fiadores e avalistas na concessão de crédito, na mitigação do risco de fraude e no acompanhamento do risco de incumprimento. Para este efeito pode recorrer a técnicas que combinam diversos dados pessoais que nos forneceu (e.g. idade, morada) com outros dados pessoais resultantes da sua interação com o Banco (dados relativos aos produtos financeiros subscritos, dados transacionais e histórico de incumprimento, perfilagem de risco) e dados recolhidos junto de terceiros (e.g, Central de Responsabilidades de Crédito do Banco de Portugal, Câmara de Penhoras, Citius, LUR - Listagem de Utilizadores de Cheque que oferecem Risco), correspondendo ao cumprimento de normas legais ou regulamentares a que está vinculado. Além do cumprimento de outras normas e princípios de proteção de dados pessoais, procuramos continuamente mitigar os riscos associados à utilização de algoritmos, designadamente o risco de discriminação. |
Prevenção de fraude |
Deteção, análise e resposta a potenciais eventos de fraude, em particular os relacionados com operações remotas (e.g. transações com cartões de débito ou crédito, Internet Banking). |
Prevenção de crimes de branqueamento de capitais e financiamento ao terrorismo |
Verificação de listas de pessoas e entidades sujeitas a sanções financeiras ou comerciais, ou identificação e reporte de operações suspeitas, entre outras medidas previstas na legislação de prevenção de branqueamento de capitais. |
Prestação de informação e resposta a pedidos de Autoridades Públicas |
Prestação de informação obrigatória (prudencial e outra) em resposta a pedidos diversos dos reguladores sectoriais (e.g. Banco de Portugal, Banco Central Europeu, CMVM), autoridades públicas (e.g. Tribunais, Polícias, AT), auditores externos, ou ao abrigo do The Foreign Account Tax Compliance Act, 2010 ("FATCA") ou do Common Reporting Standard ("CRS") |
Contabilidade e Reporte Financeiro |
Registo contabilístico, produção e divulgação das demonstrações financeiras do Banco. |
Gestão do arquivo documental |
Recolha, classificação e armazenamento de documentos físicos com dados pessoais no arquivo documental, que constituem evidência obrigatória no contexto da atividade do Banco. |
Videovigilância |
Videovigilância das instalações físicas do Banco, com vista à proteção de pessoas e bens e à prevenção da prática de crimes, permitindo a recolha de prova. Conforme prescreve a Lei n.º 34/2013, de 16 de maio, alterada pela Lei n.º 46/2019, de 8 de julho, as câmaras instaladas garantem a identificação de pessoas e a cobertura de zonas de atendimento ao público, de depósito e guarda de valores e de cofres, dispensadores de dinheiro ou caixas automáticas e controlo de acesso e permanência às respetivas áreas. |
Gestão de contactos e reclamações |
Receção, análise e resposta a pedidos de informação e reclamações de titulares. |
Interesse legítimo
O Millennium bcp efetua os tratamentos de dados necessários para a salvaguarda dos seus interesses legítimos ou de entidades terceiras.
Sempre que o Millennium bcp efetua tratamentos de Dados com base em interesses legítimos, o mesmo realiza uma análise prévia do tratamento, de modo a garantir que os direitos e interesses dos titulares dos dados não são prevalecentes sobre tais interesses legítimos.
Finalidade de tratamento |
Interesse Legítimo |
Exemplos |
Prestação de informação |
Assegurar que os titulares estão/são devidamente informados relativamente aos produtos e/ou serviços subscritos e/ou que pretendem subscrever. Transmitir informações relevantes (conexas com tais produtos e/ou serviços) aos titulares. |
Envio de material informativo diverso (e.g. segurança da informação, tendências nos mercados financeiros), ou no contexto da aquisição ou subscrição de produtos ou serviços |
Marketing direto |
Fornecer informações relevantes sobre produtos e/ou serviços oferecidos pelo Banco que possam ser do interesse dos titulares. |
Prestação de informação ou realização de campanhas, através de telefone, SMS, correio eletrónico ou redes sociais, para estimular a utilização ou promover a aquisição ou subscrição de produtos e/ou serviços financeiros, podendo ser resultado de perfilagem ou de eventos gerados pela análise em tempo real de operações com o Banco. |
Segmentação |
Melhorar a adequação e direcionar de forma otimizada a oferta de produtos e/ou serviços aos Clientes, de acordo com as caraterísticas dos mesmos. |
Caracterização e segmentação de Clientes, para melhor dirigir e adequar a oferta comercial de produtos e/ou serviços do Banco às suas caraterísticas específicas. |
Perfilagem para fins comerciais |
Análise dos produtos e/ou serviços adquiridos pelos Clientes de modo a compreender as suas preferências, e interesses, com vista a melhor adequar as comunicações que lhes são dirigidas |
Tratamento dos dados pessoais dos Clientes, quer sejam dados pessoais objetivos (e.g. idade, sexo, morada, tipo de Cliente, rendimentos), quer sejam dados pessoais gerados pela utilização dos produtos e/ou serviços do Banco (e.g. dados sobre produtos contratados ou relativos a movimentos financeiros e transações realizadas com meios de pagamento disponibilizados pelo Banco), com o objetivo de avaliar o perfil dos Clientes e construir padrões de consumo a partir da sua transacionalidade em qualquer canal do Banco, assim determinando a propensão dos Clientes relativamente a tais produtos e/ou serviços - e ainda relativamente a outros produtos e/ou serviços de natureza similar -, com o objetivo de personalizar as ofertas que lhes são comunicadas em função das respetivas preferências.
Assiste aos Clientes o direito de solicitar esclarecimentos a respeito dos critérios utilizados para a criação dos perfis e de, a todo o momento, se oporem a atividades de perfilagem concebidas exclusivamente para efeitos comerciais. |
Avaliação da satisfação com os produtos e/ou serviços |
Assegurar a melhoria dos produtos e/ou serviços disponibilizados pelo Banco e, bem assim, níveis adequados de satisfação dos seus Clientes |
Realização de questionários para avaliar a satisfação de Clientes relativamente a produtos e/ou serviços do Banco e à qualidade dos serviços prestados, ou envio de propostas de alteração de condições de produtos e/ou serviços adquiridos ou subscritos (e.g. proposta de aumento do plafond do cartão de crédito). |
Desenvolvimento de produtos e/ou serviços |
Desenvolver e melhorar os produtos e/ou serviços disponibilizados pelo Banco. |
Recolha e análise de dados para o desenvolvimento ou adaptação de novos produtos e/ou serviços do Banco, com o objetivo de melhor servir as necessidades específicas dos Clientes. |
Gestão de contencioso |
Gestão eficiente de processos e de contencioso em geral. |
Exercício de direitos contratuais ou legais e de defesa em caso de litígios judiciais ou extrajudiciais emergentes, nomeadamente em situações de mora ou incumprimento de obrigações de qualquer natureza, do titular dos dados perante o Millennium bcp. |
Recuperação de Crédito e Cobranças |
Recuperação de crédito em incumprimento |
Atividades de recuperação de crédito em incumprimento, incluindo a pesquisa do património que possa responder pelas dívidas ao Banco, tanto dos seus Clientes, como de potenciais intervenientes, nos casos em que exista suspeita de dissipação do património ou de outros atos que, pela transferência de património para terceiros, visem frustrar as garantias ou a exequibilidade dos créditos do Banco. As pesquisas patrimoniais são levadas a cabo em função de critérios objetivamente estabelecidos. |
Cessão de créditos |
Gestão da carteira de crédito do Banco |
Recolha e análise de dados e prestação de informação a entidades terceiras no contexto de operações de securitização de créditos. |
Controlo de gestão |
Gestão sã e prudente do Banco |
Produção de informação de controlo e gestão do Banco. |
Auditoria Interna |
Realização de auditorias internas para avaliar o cumprimento de normas legais e normativos internos |
Recolha e análise de dados no contexto da auditoria interna dos processos e operações do Banco. |
Gestão e segurança dos sistemas de informação e instalações |
Proteção dos sistemas de informação do Banco e ainda das pessoas e bens que se encontram nas instalações do mesmo |
Processos de gestão e monitorização dos sistemas de informação e infraestruturas tecnológicas, registo de eventos de acesso e utilização dos sistemas, processos de deteção, análise e resposta a potenciais incidentes de segurança de informação, controlo das identidades e acessos aos sistemas de informação do Banco, ou controlo de acessos físicos às instalações. |
Consentimento do titular dos dados
O Millennium bcp pode efetuar outros tratamentos de dados pessoais quando tiver obtido o consentimento prévio, expresso, por escrito, oralmente ou através de ação explícita, informada, livre e para fins específicos do titular dos dados.
Finalidade de tratamento |
Exemplos |
Prova de informação ou instruções transmitidas por telefone |
Gravação de chamadas/videochamadas como meio de prova de informações ou instruções transmitidas no contexto de uma relação pré-contractual (e.g. prova de identidade do titular) ou instruções transmitidas no contexto de uma relação contratual (e.g. ordens de bolsa). |
Monitorização da qualidade de serviço |
Gravação de chamadas para monitorização direta da qualidade de serviço prestado. |
Estudos de mercado |
Recolha e análise de dados pessoais no contexto de estudos ou análise de mercado. |
Personalizar a experiência nos sites e aplicações do Banco |
Utilização de cookies persistentes para registo da atividade e preferências nos sites do Banco. |
Marketing direto |
Ações promocionais de produtos ou serviços a não clientes, ou de produtos não financeiros dirigidos à nossa base de clientes |
O Millennium bcp apenas efetua tratamentos de dados pessoais com devida fundamentação de licitude, e sujeitos a informação prévia aos respetivos titulares. Eventuais tratamentos de dados secundários adicionais apenas são realizados se (i) forem compatíveis com as finalidades autorizadas e comunicadas aos titulares ou (ii) se forem objeto de consentimento específico e explícito dos titulares dos dados.
5. Quais são os prazos de conservação e tratamento dos dados pessoais
O Millennium bcp conserva e trata os dados pessoais pelo tempo necessário e enquanto subsistirem as legítimas finalidades para as quais os dados são tratados, para cumprimento de obrigações contratuais, legais e regulamentares, ou para proteção dos interesses legítimos do Banco ou de entidades terceiras.
Motivo da conservação |
Tempo de conservação |
Cumprimento de contrato |
Período de vigência do contrato. O Millennium bcp poderá manter os dados pessoais por períodos superiores à duração da relação contratual, para assegurar direitos ou deveres relacionados com o contrato, com base em interesses legítimos que o fundamentam, nomeadamente a defesa do Banco em processos judiciais ou ainda com base no consentimento do titular. |
Obrigação legal, fiscal ou regulamentar |
Prazos legais de prescrição associados a obrigações legais, fiscais ou regulamentares, ou os prazos previstos em legislação especial (por exemplo, 7 anos após o termo da relação contratual previsto no âmbito da lei de prevenção do branqueamento de capitais e financiamento do terrorismo), o maior dos dois. |
Conservação de gravação de chamadas para prova contratual |
Prazo de vigência do contrato acrescido do prazo de prescrição e de caducidade de 10 anos. |
Conservação de gravação de chamadas para o Centro de Contactos (pedidos de esclarecimento, reclamações e apoio) |
10 anos. |
Conservação de gravação de chamadas para monitorização da qualidade de serviço |
30 dias. |
Conservação de imagens de videovigilância |
30 dias.. |
Pesquisas patrimoniais para Recuperação de Crédito |
Eliminação, em 30 dias, dos dados que não confirmem suspeitas de dissipação ou transferência de património dos devedores do Banco. Nos demais casos, conservação, pelo prazo legal de prescrição, das obrigações subjacentes. |
6. Quais são os seus direitos enquanto titular de dados pessoais
O Millennium bcp garante o exercício dos direitos dos titulares dos dados em relação ao respetivo tratamento.
Direito do titular |
Descrição |
Acesso |
Sem prejuízo da proteção de direitos de terceiros, os titulares de dados têm o direito de ter acesso aos dados pessoais que lhes digam respeito, bem como obter informações sobre respetivas condições de tratamento. |
Retificação |
Os titulares de dados têm direito de solicitar a retificação dos seus dados pessoais que se encontrem inexatos ou incompletos (e.g. morada, endereço de correio eletrónico, contactos telefónicos). |
Oposição |
Os titulares de dados têm o direito de se opor a tratamentos de dados baseados no interesse legítimo do Millennium bcp. |
Retirada de consentimento |
Os titulares de dados têm o direito de retirar o consentimento que concederam, para tratamentos de dados nele baseados. |
Apagamento |
Os titulares de dados têm o direito de obter o apagamento dos seus dados pessoais detidos pelo Millennium bcp, desde que não se verifiquem fundamentos válidos para a sua conservação (e.g, cumprimento de uma obrigação legal, defesa do Banco ou de terceiros num processo judicial). |
Limitação |
Os titulares de dados têm o direito de pedir a limitação de um tratamento de dados quando (i) contestaram a exatidão dos dados pessoais e durante um período que permita ao Millennium bcp verificar a sua exatidão, (ii) o tratamento for ilícito e se opuserem ao apagamento dos dados pessoais; (iii) o Millennium bcp já não precisar dos dados pessoais, mas esses dados sejam requeridos pelos titulares de Dados para efeitos de declaração, exercício ou defesa de um direito num processo judicial; (iv) se opuseram ao tratamento e durante o período de avaliação do pedido pelo Millennium bcp. |
Portabilidade |
Os titulares de dados têm o direito a receber os dados pessoais que forneceram ao Millennium bcp, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento. |
Não ficar sujeito a decisões exclusivamente automatizadas |
Os titulares de dados têm o direito a requerer que haja intervenção humana ou a contestar decisões baseadas em tratamentos de dados pessoais totalmente automatizados, que possam produzir efeitos significativos nas suas esferas jurídica ou de vida privada, salvo se o tratamento se destinar i) ao cumprimento de uma obrigação legal (e.g., prevenção de branqueamento de capitais), ii) à formalização de um contrato e a informação é necessária para a execução do mesmo, iii ) quando tenha dado o seu consentimento explícito. O Millennium bcp tem mecanismos para garantir a intervenção humana nos tratamentos de dados baseados em decisões automatizadas, permitindo que o titular manifeste o seu ponto de vista e conteste a decisão automatizada. |
Reclamar junto da CNPD |
Os titulares de dados têm o direito a apresentar reclamações junto da CNPD, em relação a matérias relativas ao exercício dos seus direitos e à proteção dos seus dados pessoais. |
Pode exercer os seus direitos, em matéria de proteção de dados, através de carta ou correio eletrónico para os contactos do Millennium bcp ou do Encarregado da Proteção de Dados. O Millennium bcp responderá aos pedidos no prazo máximo de 30 dias, exceto para pedidos especialmente complexos. Nestes casos, o Millennium bcp informará os titulares acerca (i) da necessidade de estender o prazo de resposta, por um período adicional máximo de 60 dias, (ii) da respetiva justificação.
Sempre que o Banco considere que não é possível corresponder aos pedidos, os titulares dos dados serão informados das razões do Banco, dentro dos prazos acima estabelecidos.
O exercício dos direitos é gratuito, exceto quando ocorram situações consideradas excessivas, anómalas e/ou de má-fé. Nestas situações, o Millennium bcp informará antecipadamente os titulares dos dados das comissões a cobrar e da respetiva justificação.
O Millennium bcp tem mecanismos adequados para verificar e confirmar a identidade dos titulares dos dados que pretenderem exercer os seus direitos, sendo atendidos exclusivamente aqueles cuja identidade possa ser confirmada, e através de canal que permita manter evidência do pedido e da resposta respetiva.
7. Que dados pessoais partilhamos
No Millennium bcp têm acesso a dados pessoais os Colaboradores que deles necessitam para cumprir as suas funções, nomeadamente no âmbito de diligências ou obrigações contratuais, pré-contratuais e legais do Banco. Adicionalmente, os dados pessoais podem ser disponibilizados a entidades terceiras – entidades distintas do Millennium bcp:
Entidades terceiras |
Exemplos |
Empresas do Grupo |
Empresas do Grupo ou agrupamentos complementares de empresas constituídas pelo Grupo, no âmbito das medidas de prevenção de branqueamento de capitais, financiamento ao terrorismo e fraude, ou para fins de gestão administrativa e financeira a nível do Grupo. |
Organismos públicos e instituições de supervisão |
Banco de Portugal, Autoridade Bancária Europeia, Banco Central Europeu, Comissão do Mercado de Valores Mobiliários e autoridades fiscais, sempre que para tal exista uma obrigação legal ou regulatória, por exemplo a comunicação de informação (i) para a Base de Dados de Contas, a Central de Responsabilidades de Crédito e a Listagem de Utilizadores de cheques que oferecem Risco ("LUR"), nos termos da legislação aplicável, (ii) no decurso de uma investigação, denúncia ou procedimento, para Organismos Públicos, ao Tribunal e às Forças de Segurança que estejam responsáveis pelo assunto, ou (iii) para autoridades ou organismos oficiais de outros países, situados dentro ou fora da União Europeia, no âmbito da luta contra o financiamento ao terrorismo, formas graves de criminalidade organizada e prevenção de branqueamento de capitais. |
Outras instituições de crédito e de serviços financeiros |
Entidades para quem o Millennium bcp transfere dados pessoais para a execução da relação contratual com o Cliente ou para a prestação de benefícios complementares e/ou derivados do produto ou serviço contratado, nos termos que constam dos contratos respetivos, nomeadamente (i) para entidades processadoras de descontos ou programas de fidelização, (ii) para entidades seguradoras no âmbito de seguros associados a operações de crédito, a cartões ou a contas, (iii) para entidades financeiras adstritas ao sistema de intercâmbio de informação bancária ("SWIFT"), (iv) para entidades do mesmo sector ou com a mesma obrigação legal em relação à prevenção de fraude e branqueamento de capitais ou (v) para entidades adquirentes de créditos ou ativos, como parte da cessão ou alienação de créditos ou ativos. |
Entidades subcontratantes |
Entidades subcontratantes e prestadores de serviços, que atuam em nome ou sob as instruções do Millennium bcp (e.g. fornecedores de serviços de gestão documental e de arquivo; prestadores de serviços tecnológicos). |
O Millennium bcp está sujeito ao sigilo bancário, nos termos do Regime Geral das Instituições de Crédito e Sociedades Financeiras, pelo que a transferências de dados pessoais para entidades terceiras apenas são efetuadas quando exista autorização bastante no âmbito da relação bancária e/ou quando os subcontratantes encarregados pelo Millennium bcp garantam, de igual modo, a observância do sigilo bancário, bem como das demais normas e legislação de proteção de dados.
Transmissão de dados para países terceiros ou organizações internacionais
A transmissão de dados para países fora da União Europeia só ocorre quando tal seja necessário para (i) a execução de ordens ou pedidos (por exemplo, transferência de pagamentos para o estrangeiro), (ii) por exigência legal, ou, em casos específicos, (iii) mediante uma autorização expressa do titular dos dados.
Entre a transmissão de dados para fora da União Europeia, as transferências interbancárias realizadas através do sistema de comunicação SWIFT ("Society for Worldwide Interbank Financial Telecommunication" ou "Sociedade para a Comunicação Financeira Interbancária Mundial") assumem um destaque relevante, na medida em que o MBCP integra o sistema SWIFT, ao qual recorre para realizar transferências bancárias a pedido dos seus Clientes. Para mais informações sobre o sistema SWIFT e sobre o tratamento de dados pessoais no sistema, sugerimos que consulte a página www.swift.com
Importa que fique ciente de que a transmissão de dados para fora do espaço da União Europeia pode acarretar riscos acrescidos para a proteção dos dados pessoais, designadamente pelo facto dos países de destino poderem oferecer menores garantias jurídicas de proteção dos seus dados pessoais.
No caso de ser necessário o recurso a prestadores de serviços de países terceiros, o Millennium bcp assegurará contratualmente que estas entidades cumprem com todas as obrigações legais em matéria de proteção de dados, designadamente com recurso às designadas cláusulas-tipo de proteção de dados e a medidas de mitigação adicionais, conforme previsto no artigo 46.º do Regulamento Geral sobre a Proteção de Dados Pessoais. Essas entidades tratarão os dados pessoais mediante as instruções prévias e documentadas do Millennium bcp e exclusivamente para os fins que este lhes indicar.
8. Como protegemos os dados pessoais
A proteção da confidencialidade e da integridade dos dados é, desde há muito, considerada pelo Millennium bcp como um dos pilares fundamentais na construção de relações de confiança com os nossos Clientes, colaboradores, entidades reguladoras e parceiros de negócio.
O Millennium bcp tem implementadas as medidas organizativas, processos e sistemas de segurança adequadas para proteger os seus dados pessoais contra a destruição, a alteração e o acesso não autorizados, incluindo: (i) mecanismos de controlo de acesso aos sistemas de informação e aos dados; (ii) sistemas especializados de segurança (e.g. firewalls, antivírus, sistemas de deteção de intrusão); (iii) mecanismos de registo das ações efetuadas por colaboradores, Clientes e outros utilizadores dos sistemas de informação (e.g. acesso, alteração, eliminação de dados pessoais); (iv) mecanismos de cifra, pseudonimização e anonimização de dados; (v) medidas de cifra de equipamentos e dispositivos móveis; (vi) medidas de segurança física para proteção das instalações (e.g. controlo de acessos físicos, videovigilância, alarmes diversos); e (vii) um programa de sensibilização e formação dos colaboradores e parceiros do Millennium bcp em matéria de segurança da informação e proteção de dados pessoais.
9. Alterações à política de privacidade
O Millennium bcp reserva-se ao direito de, a todo o tempo, introduzir alterações ao presente documento, para o adequar às melhores práticas de mercado ou a futuras alterações legislativas ou regulamentares. A versão atualizada estará sempre disponível para consulta em qualquer agência do Millennium bcp ou no site www.millenniumbcp.pt
Nas situações em que as alterações sejam relevantes e substantivas, o Banco envidará os esforços adequados e razoáveis para o informar, utilizando os canais e os mecanismos normais de contacto entre o Banco e os titulares.
MT0104-PT de 2023-05-04