Política de Privacidade
Tratamento de dados pela CMVM
A CMVM, entidade administrativa independente, enquanto autoridade de regulação e supervisão dos mercados de instrumentos financeiros e da auditoria, bem como das entidades que neles atuam, em cumprimento do princípio da legalidade, procede ao tratamento de dados pessoais, em conformidade com o disposto no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (RGPD), com a Lei n.º 58/2019, de 8 de agosto, e da demais legislação europeia e nacional aplicável.
A. Responsável pelo tratamento dos dados
CMVM – Comissão do Mercado de Valores Mobiliários
Rua Laura Alves, n.º 4
1050-138 Lisboa
Telefone: +351 213 177 000
Fax: +351 213 537 077
Email: [email protected]
B. Contactos do encarregado da proteção de dados
Rua Laura Alves, n.º 4
1050-138 Lisboa
Email: [email protected]
C. Finalidades do tratamento e origem dos dados pessoais
1. As finalidades das operações de tratamento dos dados pessoais realizadas pela CMVM destinam-se às atividades que prossegue, em cumprimento do princípio da legalidade, previstas, nomeadamente:
1) Nos Estatutos da CMVM;
2) Na Lei Quadro das Entidades Reguladoras;
3) No Código dos Valores Mobiliários;
4) No Código do Procedimento Administrativo;
5) No Regime de Acesso à Informação da Administração;
6) No Regime Geral das Contraordenações;
7) No Regime Geral dos Organismos de Investimento Coletivo;
8) No Regime Jurídico de Supervisão da Auditoria;
9) Na Lei dos Peritos Avaliadores de Imóveis;
10) No Regime Jurídico de Titularização de Créditos;
11) No Regime Jurídico do Capital de Risco, do Empreendedorismo Social e do Investimento Especializado;
12) No Regime de Combate ao Branqueamento de Capitais e ao Financiamento do Terrorismo.
1.1. A nível europeu, as finalidades das operações de tratamento dos dados pessoais resultam do disposto no quadro normativo europeu, sendo também necessário atuar em conformidade com as Orientações da Autoridade Europeia dos Valores Mobiliários e dos Mercados (European Securities and Markets Authority , ESMA).
2. No que respeita às atividades específicas da CMVM, os dados podem ser utilizados para:
a) Ações de supervisão – obtenção de conhecimento e prova de factos;
b) Procedimentos administrativos – quando por lei a CMVM impõe ou permite factos;
c) Regulação – quando a CMVM é competente para elaborar normas ou participa na elaboração das mesmas;
d) Processos sobre infrações – contraordenações da competência da CMVM, denúncias de infrações da competência de outras entidades ou averiguações preliminares;
e) Moral suasion (persuasão moral) – reclamações dos investidores, pedidos de certidões, mediação, arbitragem, recomendações, pareceres ou informações ao mercado.
3. Os dados pessoais podem igualmente ser usados para atividades transversais da CMVM:
a) Gestão Financeira e Patrimonial – nomeadamente nas aquisições públicas e tramitação de receitas e defesa dos interesses públicos na execução dos contratos;
b) Recursos Humanos – nomeadamente para aferição de eventuais impedimentos, escusas e suspeições, e defesa dos interesses públicos e dos trabalhadores e agentes da CMVM na execução dos contratos;
c) Tecnologias e sistemas de informação – nomeadamente para controlo de qualidade de dados e avaliações de impacto;
d) Contencioso – nomeadamente nos casos em que a CMVM é parte em ações judiciais ou por lei está obrigada à cooperação com autoridades judiciárias;
e) Organização – nomeadamente para os registos públicos na CMVM previstos na lei;
f) Estudos – nomeadamente para a realização de análises e pareceres;
g) Relações com o Exterior – sobretudo a cooperação com congéneres nacionais europeias e internacionais, mas também com o Ministério Público, tribunais, e outras entidades públicas, incluindo o Governo e a Assembleia da República;
h) Arquivo – no referente a deveres de manutenção de arquivo com interesse administrativo e histórico.
4. Os dados pessoais com os quais a CMVM lida têm como origem:
a) As atividades antes referidas;
b) A receção de informação reportada à CMVM por força da lei ou regulamento, ou decorrente de reclamações ou denúncias;
c) Dados públicos, nomeadamente, os constantes de registos públicos.
5. As atividades transversais são regidas igualmente pela legislação geral que se lhes aplica.
D. Categorias dos dados pessoais e de destinatários
1. A CMVM apenas pode transmitir dados a terceiros caso esta transmissão seja permitida por lei ou por acordo legalmente previstos.
2. Os destinatários dos dados são, por isso, tipicamente os abrangidos pela cooperação antes referida.
3. A CMVM não trata, por regra, categorias especiais de dados pessoais. Estes podem ocorrer apenas em situações concretas, nomeadamente, em sede de recursos humanos, processos sobre infrações, procedimentos administrativos ou ações de supervisão. Tipicamente podem ocorrer, por força da própria lei, em averiguações sobre branqueamento de capitais e financiamento do terrorismo.
E. Transferência de dados pessoais para um país terceiro ou uma organização internacional
A CMVM pode transmitir dados pessoais por razões de interesse público, nos termos do disposto no artigo 49.º /1, alínea d), e n.º 4 do RGPD e artigo 22.º da Lei n.º 58/2019, de 8 de agosto, ou nos termos do Acordo Administrativo de Transferência de Dados para Autoridades de Supervisão Financeira de Países fora do Espaço Económico Europeu (EEE) previamente autorizado pela CNPD[1].
F. Critérios do prazo de conservação dos dados pessoais
1. Sendo uma entidade pública, a CMVM está sujeita aos critérios de interesse administrativo para a conservação de dados. Enquanto os mesmos tiverem interesse administrativo não os pode apagar.
2. Não os pode apagar, nomeadamente, enquanto não prescreverem todos os efeitos jurídicos que a eles dizem respeito.
3. Quando forem mantidos em arquivo histórico, a CMVM reserva o seu acesso, mesmo internamente.
G. Direitos do titular
1.O titular dos dados tem direito de solicitar à CMVM:
a) O acesso aos dados pessoais que lhe digam respeito,
b) A sua retificação ou o seu apagamento,
c) A limitação do tratamento no que disser respeito ao titular dos dados,
d) O direito de se opor ao tratamento,
e) O direito à portabilidade dos dados.
2. O direito ao acesso pode ser restringido pelo segredo da supervisão ou de justiça, nos termos dos textos normativos nacionais e europeus.
3. O direito ao apagamento e à oposição do tratamento não procedem quando a CMVM estiver a atuar no legítimo exercício das suas funções, nos termos previstos no RGPD.
4. Da mesma forma, a portabilidade dos dados é enquadrada no regime do RGPD e de cooperação ao qual a CMVM está obrigada.
5. A CMVM atende ainda ao Regulamento Interno da ESMA, e eventuais restrições dos direitos que lhe sejam aplicáveis, ao abrigo do Regulamento (UE) n.º 2018/1725, de 23 de outubro, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, nomeadamente os decorrentes da decisão de 1 de outubro de 2019 que estabelece regras internas relativas às condições em que a ESMA pode limitar a aplicação dos direitos consagrados nos artigos 14.º a 21.º e 35.º, bem como no seu artigo 4.º, com base no artigo 25.º do Regulamento (UE) 2018/1725.
H. Licitude do tratamento dos dados
1. A licitude do tratamento dos dados, realizada, pela CMVM resulta, em regra, do exercício de funções de interesse público ou autoridade pública de que está, por lei, investida.
2. Quando a licitude do tratamento dos dados pessoais tiver por base o consentimento do titular dos dados, este tem o direito de o retirar em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.
I. Reclamação a uma autoridade de controlo
Os titulares dos dados têm o direito de reclamar para a Comissão Nacional de Proteção de Dados (CNPD):
Av. D. Carlos I, 134 – 1.º 1200-651 Lisboa
Tel: +351 213928400
Fax: +351 213976832
e-mail: [email protected]
J. Dever de comunicar dados
1. Os titulares são obrigados a comunicar os dados à CMVM, quando isso resulta da lei ou de regulamento da CMVM.
2. Nos restantes casos são obrigados a fornecer os dados pessoais quando tal é solicitado pela CMVM no exercício das suas funções.
3. O facto de ter fornecido informações à CMVM, a pedido desta, deve ser mantido secreto por quem as forneceu, salvo quando por lei for público.
4. A informação fornecida à CMVM tem de ser completa, verdadeira, atual, clara, objetiva e lícita, sob pena de constituir contraordenação. Verificados os seus pressupostos, pode constituir crime de falsificação.
5. A CMVM tem o poder de dar ordens aos seus supervisionados. O incumprimento das ordens pode implicar a prática de crime ou contraordenação.
6. A recusa de prestar informações sobre dados pessoais pode constituir crime de desobediência.
L. Decisões automatizadas
1. Por lei nenhuma decisão final da CMVM é totalmente automatizada, havendo sempre intervenção humana.
2. No entanto, a CMVM pode recusar automaticamente a receção de pedidos ou de informações quando não cumpram os requisitos legais, regulamentares e/ou informáticos.
[1] O acordo administrativo em questão encontra-se disponível aqui em https://www.esma.europa.eu/about-esma/data-protection. A tradução portuguesa e a nota explicativa sobre o acordo encontram-se disponíveis no sítio da CMVM na internet.