Política de Privacidade.

No âmbito da sua atividade a Caixa Económica Montepio Geral – Caixa Económica Bancária, S.A., adiante designada por “Banco Montepio” sabe que o tratamento dos seus dados pessoais requer a sua confiança. Nessa medida, desenvolvemos uma política de privacidade, sujeita aos mais elevados padrões de segurança e privacidade, onde garantimos que os mesmos serão tratados de acordo com as suas finalidades e os direitos que a legislação lhe consagra, orientada pelos princípios legais em vigor para a área da privacidade e proteção dos dados pessoais, designadamente o disposto no Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho - Regulamento Geral sobre a Proteção de Dados (RGPD) – e restante legislação aplicável em matéria de privacidade e proteção de dados, incluindo a legislação nacional que complementa o RGPD.

Assim, o Banco Montepio compromete-se a respeitar as melhores práticas no domínio da segurança e da proteção dos dados pessoais, tendo em curso, para o efeito, medidas capazes de acautelar a proteção dos dados que são disponibilizados por todos aqueles que de alguma forma se relacionam com o Banco Montepio.

O Banco Montepio é a responsável pelo tratamento dos dados pessoais dos seus clientes e/ou potenciais clientes, podendo ser contactada através de:

CAIXA ECONÓMICA MONTEPIO GERAL

caixa económica bancária, S.A.

Rua Castilho, nº 5, 1250-066 Lisboa

O Banco Montepio tem também um Encarregado da Proteção de Dados (Data Protection Officer ou DPO), que (i) monitoriza a conformidade do tratamento de dados com as normas aplicáveis, (ii) é um ponto de contacto com o cliente para esclarecimento de questões relativas ao tratamento dos seus dados pelo Banco Montepio, (iii) coopera com a autoridade de controlo, (iv) presta informação e aconselha o responsável pelo tratamento ou o subcontratante sobre as suas obrigações no âmbito da privacidade e proteção de dados.

Pode contactar o Encarregado de Proteção de Dados (DPO) através do seguinte endereço eletrónico: DPO@bancomontepio.pt.

Por dados pessoais entende-se qualquer informação, de qualquer natureza e independentemente do respetivo suporte, relativa a uma pessoa singular identificada ou identificável (é considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social).

Para estabelecer e manter uma relação contratual com o Banco Montepio, o cliente ou potencial cliente deverá disponibilizar os dados pessoais necessários ao cumprimento de obrigações, diligências pré-contratuais e contratuais legalmente exigidas.

Sem a obtenção e recolha dos dados pessoais legalmente exigidos, não será possível proceder à celebração ou manutenção de contratos, execução de ordens, manter a relação comercial existente, ou dar seguimento aos pedidos que nos dirija.

O Banco Montepio realiza o tratamento dos dados pessoais fornecidos no contexto da relação com o titular, cliente ou potencial cliente, ou no processo de concessão, contratação, controlo e/ou seguimento de um produto /serviços específico, onde se destacam, nomeadamente e consoante aplicáveis, os seguintes:

• Dados identificativos, familiares e de contacto: tais como o nome, morada ou outros dados de contacto (telefone e e-mail), assinatura, naturalidade, sexo, nacionalidade, estado civil, número de filhos e, quando aplicável, representante legal.

• Situação e atividade profissional: tais como tipo de trabalho, sector, por conta de outrem/própria.

• Tipo e informação sobre habitação (própria/arrendada) e situação financeira (património, dívidas, solvabilidade, rendimentos provenientes de trabalho por conta de outrem ou de trabalho independente, atividade empresarial, gastos, entre outras) mudanças previsíveis na situação financeira (tais como idade de reforma), objetivos concretos financeiros ou de investimento.

• Informação relativa a conhecimento e experiência em produtos de investimento (Classificação e perfil conforme regime aplicável a atividades de intermediação financeira e negociação de instrumentos financeiros, DMIF II) relação ou estratégia de investimento (alcance, frequência, perfil de risco).

• Informação sobre o risco de incumprimento e de crédito, tendo em conta dados disponíveis em sistemas comuns de informação creditícia, Central de Responsabilidades do Banco de Portugal ou fontes de informação económica.

• Informação fiscal (nomeadamente, domicílio e classificação do titular sujeito a normas fiscais, como FACTA e CRS).

• Informação necessária para o cumprimento do dever de diligência e de outras obrigações decorrentes das normas de Prevenção ao Branqueamento de Capitais e Financiamento ao Terrorismo, tais como a origem dos fundos, identificação de pessoa politicamente exposta, beneficiário efetivo, assim como qualquer outra informação relevante para efeitos de avaliação de uma situação, operação ou titularidade e o risco associado nessa matéria.

• Dados de identificação e autenticação nos sistemas do Banco Montepio, designadamente, chaves e coordenadas de acesso, assinatura digital e se aplicável e devidamente consentido, dados biométricos.

• Dados comerciais, dados derivados da proposta ou contratação de produtos e serviços, movimentos e transações, propensão para novas contratações, cookies e análise de visitas e utilização de canais remotos do Banco Montepio, os produtos e serviços consultados, entre outros.

• Informação derivada do registo e gravação de conversas telefónicas ou comunicações por qualquer via com o Banco Montepio, como consequência da obrigação de manutenção destes registos (incluindo as constantes da diretiva dos mercados financeiros – DMIF II e legislação conexa), sempre que o canal e meio utilizado estejam sujeitos a esta medida.

• Outros dados que estejam na documentação entregue ou obtida como consequência da relação com o Banco Montepio, tais como Cartão do Cidadão ou outros documentos relevantes de identificação, Passaporte, escrituras notariais, tanto em suporte físico como digital e, em geral, qualquer documentação e informação dos contactos mantidos com o cliente por diferentes meios, incluindo campanhas de marketing.

Um tratamento de dados é uma operação ou conjunto de operações efetuadas sobre dados pessoais por meios manuais ou automatizados, incluindo a recolha, armazenamento, utilização, cópia e transferência, entre outros.

No âmbito da sua atividade, o Banco Montepio procede à recolha e ao tratamento de dados pessoais, designadamente os necessários à prestação de serviços e à prossecução da sua atividade, bem como efetua os tratamentos de dados que recebe no âmbito da relação comercial com clientes ou potenciais clientes, e no âmbito do cumprimento das obrigações legais e regulatórias aplicáveis.

São ainda efetuados tratamentos dos dados pessoais fornecidos por outras empresas do Grupo ou de terceiros sempre que tal seja relevante (por exemplo, para a prestação de serviços, cumprimento de contratos ou de obrigações que incidam sobre o Banco Montepio, ou com base num consentimento expresso do cliente ou potencial cliente).

O Banco Montepio é também responsável pelo tratamento dos dados pessoais recolhidos nos websites e aplicações móveis (Apps), adiante designados por Canais, através dos quais os clientes ou potenciais clientes têm acesso remoto aos serviços e produtos financeiros do Banco Montepio que, em cada momento, sejam prestados e/ou comercializados através dos mesmos, de onde se destacam os acessos, consultas, instruções, transações e outros registos relativos à sua utilização.

A utilização dos Canais do Banco Montepio implica a recolha do endereço de IP do computador do cliente ou potencial cliente, utilizado para acesso, bem como a recolha de informação relacionada com o fornecedor de serviços de Internet do cliente ou potencial cliente, o tipo de navegador de Internet ou o sistema operativo utilizado.

A utilização de cada um dos Canais implica a recolha e tratamento de dados pessoais dos clientes ou potenciais clientes, cuja privacidade e segurança o Banco Montepio, enquanto entidade responsável pelo seu tratamento, assegura nos termos da presente Política de Privacidade.

O Banco Montepio procede ainda ao tratamento de dados pessoais, obtidos por meio de fontes de informação pública de livre acesso (designadamente listas de devedores, lista pública de execuções, registos prediais, registos comerciais e de pessoas coletivas, imprensa, meios de comunicação social e Internet) e de autoridades e organismos públicos, (tais como a Central de Responsabilidades do Banco de Portugal), sempre que exista legitimidade para tal nos termos da lei.

Os tratamentos dos dados recolhidos pelo Banco Montepio são tratados de forma lícita, leal e transparente, com finalidades específicas designadamente a prestação dos serviços disponibilizados pelo Banco Montepio e contratados pelos clientes ou potenciais clientes, a adequação dos serviços e produtos às necessidades e interesses dos mesmos, ou para a gestão da relação contratual.

Os dados recolhidos podem, ainda, ser tratados para fins estatísticos e para promoção ou ações de marketing, nomeadamente para promover ações de divulgação de novos produtos e serviços financeiros através de e-mail, SMS, MMS ou qualquer outro serviço de comunicações eletrónicas.

O tratamento dos dados pessoais realizado pelo Banco Montepio basear-se-á sempre em um ou vários dos seguintes fundamentos legais:

• Consentimento do titular dos dados (Artigo 6º nº 1 alínea a) RGDP) - Sempre que seja dado o consentimento prévio, expresso, através da ação explicita, informada, livre e para fins específicos, tais como:

- Prova de informação ou instruções de clientes comunicadas por telefone, com gravação de chamadas/videochamadas (e.g prova de identidade do titular ou transmissão de ordens sobre instrumentos financeiros);

- Monitorização da qualidade de serviço, gravação de chamadas para avaliar a qualidade de serviço; - Estudos de mercado, com recolha e análise de dados pessoais.

O tratamento será efetuado nos termos estritamente consentidos.

• Execução e/ou gestão do contrato ou outras diligências pré-contratuais (Artigo 6º nº 1 alínea b) RGDP), onde se inclui, nomeadamente o tratamento de dados pessoais feito com a finalidade de manter a relação contratual do Banco Montepio com o cliente ou potencial cliente titular dos dados e para permitir efetuar operações e prestar os serviços bancários ou financeiros, nomeadamente para a execução dos contratos e tratamento de pedidos (onde se incluí os pedidos de contacto, exposições e reclamações no âmbito das quais sejam transmitidos dados pessoais), bem como todas as ações necessárias no âmbito da condução e gestão de uma instituição financeira.

• Cumprimento de uma obrigação (Artigo 6º nº 1 alíneas c) RGDP) – O Banco Montepio, enquanto instituição financeira, está sujeita a diversas obrigações legais, contabilidade e reporte financeiro, bem como a disposições relativas à supervisão da atividade bancária (por exemplo, do Banco Central Europeu, da Autoridade Bancária Europeia, do Banco de Portugal e da Comissão do Mercado de Valores Mobiliários).

As finalidades dos tratamentos de dados, no âmbito destas obrigações poderão ser, entre outros:

- Avaliação de solvabilidade e fiabilidade creditícia, verificação da identidade e idade, dos conhecimentos e experiência, bem como objetivos de investimento de um cliente ou potencial cliente;

- Prevenção, gestão e resposta a fraudes, branqueamento de capitais ou infrações, cumprimento das obrigações de monitorização e informação fiscal, bem como a análise e gestão de riscos, nomeadamente de operações remotas (como Online Banking e transações com cartões de débito ou de crédito);

• No âmbito de um interesse legítimo (Artigo 6º nº 1 alínea f) RGDP) – quando existe um tratamento de dados pessoais para salvaguarda de interesses legítimos quer do Banco Montepio quer de terceiros. O interesse legítimo do Banco Montepio, enquanto responsável pelo tratamento de dados, consubstancia-se, designadamente:

- Marketing direto, disponibilização de informação e ações publicitárias, através dos canais presenciais ou à distância, com o objetivo de informar e promover junto do cliente a oferta do Banco Montepio, podendo resultar de processos de perfilagem ou pela análise de operações efetuadas pelo cliente;

- Segmentação de clientes, por forma a adequar a oferta de produtos e serviços disponibilizados pelo Banco Montepio, às características de cada cliente;

- Perfilagem, o Banco Montepio realiza a caracterização de cliente na perspetiva da utilização de produtos e serviços recorrendo a modelos de análise estatística;

- Consulta e recolha de dados com sistemas de informação creditícia para determinar riscos de solvabilidade e de incumprimento na concessão de crédito;

- Avaliação da satisfação da qualidade de serviço, elaboração de questionários para avaliar o grau de aceitação dos produtos e serviços do Banco Montepio junto dos clientes;

- Recolha e análise de dados e prestação de informação a entidades terceiras no contexto de operações de cessão ou securitização de créditos;

- Exercício de direitos legais e de defesa em caso de litígios judiciais;

- Disposições relativas à manutenção da segurança, da rede, das infraestruturas e dos sistemas tecnológicos do Banco Montepio (onde se inclui os controlos de acesso), bem como, da sua gestão informática;

- Videovigilância para efeitos de segurança;

- Recolha, classificação e armazenamento de documentos físicos com dados pessoais no arquivo documental, que constituem evidência obrigatória no contexto da atividade do Banco Montepio.

O Banco Montepio procede à definição de perfis por imposição legal e no contexto do quadro regulatório aplicável à atividade bancária e financeira, onde se destacam as obrigações no âmbito de prevenção do branqueamento de capitais, financiamento ao terrorismo e fraude, no decurso da avaliação da sua capacidade creditícia utilizamos o sistema de scoring, (procedendo-se ao cálculo da probabilidade de o titular dos dados cumprir as suas obrigações de pagamento de acordo com o contrato, nível de rendimentos, encargos, dívidas pendentes, situação profissional e familiar, informação de sistemas de informação e análise de risco de crédito, entre outras). O resultado dos cálculos é um dos fatores de decisão sendo incluído na avaliação de risco em curso. A definição de perfis nestes contextos ocorre no âmbito da realização ou cumprimento do contrato com o cliente ou com base em procedimentos legais.

Por outro lado, poderemos proceder à definição de perfis para poder informá-lo e aconselhá-lo ativamente sobre os nossos produtos e serviços, utilizando instrumentos de avaliação, o que incluiu estudos de mercado e de opinião, bem como os hábitos de consumo e preferências próprios. Tal permite uma comunicação e publicidade orientada à procura. O Banco Montepio aplica todas as medidas adequadas à salvaguarda dos seus direitos e liberdades neste âmbito, Nessa medida, poderá a qualquer momento exercer os seus direitos e (i) solicitar esclarecimentos a respeito dos termos e critérios em que é criado o perfil; (ii) contestar as decisões que venham a ser tomadas com base em decisões automatizadas; (iii) solicitar uma intervenção humana (não-automatizada). No caso da criação de perfis de cliente exclusivamente para efeitos comerciais, poderá opor-se à definição desse perfil, mediante contacto para o Encarregado de Proteção de Dados, para o contacto acima indicado.

O Banco Montepio é a destinatária dos dados pessoais, podendo os seus colaboradores ter acesso aos dados estritamente necessários para cumprir as diligências ou obrigações contratuais ou pré-contratuais e legais do Banco Montepio.

Os dados pessoais podem, ainda, ser disponibilizados a:

i. Entidades do Grupo Montepio Geral Associação Mutualista e parceiros contratuais, para envio de informação sobre produtos e serviços, bem como sobre conteúdos informativos de cariz não comercial, caso tenha prestado o seu consentimento específico para esse efeito, ou ainda no âmbito da prevenção de branqueamento de capitais, financiamento ao terrorismo e fraude, para fins de gestão administrativa e financeira a nível de grupo, incumprimento de obrigações monetárias, solvência patrimonial e de crédito);

ii. Fornecedores (nomeadamente fornecedores de serviços de gestão documental e arquivo) e outras entidades subcontratantes que, nos termos do RGDP, possam aceder aos dados para determinados fins específicos condicionadas às medidas de garantia em matéria de proteção de dados, as quais podem estar sedeadas dentro ou fora da União Europeia, estando garantido que os subcontratantes com acesso aos dados pessoais cumprem, de igual modo, com a legislação de proteção de dados em vigor e com o sigilo bancário;

iii. Autoridades competentes para cumprimento de obrigações legais (tais como Banco de Portugal, Autoridade Bancária Europeia, Banco Central Europeu, Comissão do Mercado de Valores Mobiliários e autoridades fiscais);

iv. Outras instituições de crédito e de serviços financeiros para a execução da relação contratual ou para a prestação de benefícios complementares e/ou derivados de produtos ou serviços contratados, tais como descontos, seguros ou outras situações, de acordo com a informação disponibilizada ao titular dos dados oportunamente, designadamente, entidades seguradoras no caso de contratação de um seguro, entidades gestoras de planos de pensões ou de fundos de investimento, no caso de contratação de um destes produtos; e

v. Entidades financeiras adstritas ao sistema de intercâmbio de informação bancária (SWIFT) e entidades do mesmo sector ou com a mesma obrigação legal em relação à prevenção de fraude e branqueamento de capitais, ou para aquisição ou alienação de negócios ou ativos, a potenciais adquirentes desses negócios ou ativos.

A transmissão de dados pessoais para um país terceiro, fora da União Europeia, ocorre quando seja necessária a execução de ordens ou pedidos do titular dos dados (nomeadamente, ordens de pagamento ou investimentos), por imposição legal ou mediante autorização expressa do titular dos dados. O Banco Montepio assegura que nestas circunstâncias adota todas as medidas técnicas e organizativas consideradas adequadas de forma a garantir que a prestação de serviços por entidades subcontratadas que tenham acesso aos dados são reputadas e oferecem as mais elevadas garantias, condicionada ao cumprimento da legislação aplicável em matéria de privacidade e proteção de dados, incluindo a legislação nacional e europeia, mediante a subscrição de um acordo com as cláusulas contratuais tipo da União Europeia, para o cumprimento do nível de proteção de dados aplicável na União Europeia.

O Banco Montepio vai tratar e manter os seus dados pessoais pelo período durante o qual mantiver uma relação contratual consigo, tratando e armazenando os seus dados pessoais na medida do necessário para o cumprimento das aplicáveis previsões contratuais e legais.

O Banco Montepio trata e conserva os seus dados pessoais conforme as finalidades para que os mesmos são tratados. Há casos em que a lei obriga ao tratamento e conservação de certos dados após a cessação da relação contratual por um período de tempo mínimo, designadamente por 10 anos os dados necessários para informação à Autoridade Tributária, para efeitos contabilísticos ou fiscais ou os dados relativos a escrituração mercantil, bem como, por um período de 7 anos com a finalidade de combate ao branqueamento de capitais e ao financiamento do terrorismo.

O período de conservação poderá estar igualmente vinculado aos prazos legais de prescrição, que em muitos casos poderão ir até 20 anos.

Aos clientes ou potenciais clientes enquanto titulares de dados pessoais poderão exercer os seguintes direitos:

• Direito de Acesso: direito a obter a informação sobre quais dos seus dados pessoais são tratados, quais as finalidades do tratamento, quais os prazos de conservação, entre outros.

• Direito de Retificação: direito de solicitar a retificação dos seus dados pessoais que se encontrem inexatos ou solicitar que os dados pessoais incompletos sejam completados, como por exemplo a morada, o NIF, o email, os contactos telefónicos, ou outros.

• Direito ao Esquecimento: direito de obter o esquecimento dos seus dados pessoais, desde que não se verifiquem fundamentos válidos para a sua conservação, como por exemplo os casos em que o Banco Montepio esteja obrigado a conservar os dados para cumprimento de uma obrigação legal ou porque se encontra em curso um processo judicial.

• Direito à Portabilidade: direito de receber os dados que nos forneceu em formato digital de uso corrente e de leitura automática.

• Direito à Limitação: direito a solicitar a limitação do tratamento dos seus dados pessoais, sob a forma de: (i) suspensão do tratamento ou (ii) limitação do âmbito do tratamento a certas categorias de dados ou finalidades de tratamento.

• Direito a Retirar o Consentimento: direito de retirar o seu consentimento, a qualquer momento, para um tratamento de dados pessoais.

• Direito de Oposição: o direito de oposição a tratamentos com base no interesse legítimo, desde que não se verifiquem razões imperiosas ou legítimas que prevaleçam sobre os seus interesses, direitos e liberdades, ou para defesa de um direito num processo judicial.

• Direito a reclamar: direito de apresentar reclamação à autoridade de controlo, a CNPD, para além da empresa ou do DPO.

Para o exercício daqueles direitos, bem como para obter qualquer esclarecimento relacionado com a presente Política de Privacidade, o cliente ou potencial cliente deverá dirigir-se, por escrito, à Banco Montepio, para o contacto acima indicado ou através dos Balcões ou Homebanking.

O Banco Montepio possuí níveis de segurança e de proteção dos dados pessoais adotando diversas medidas de segurança de carácter técnico e organizativo, de forma a proteger os dados pessoais contra a sua destruição, perda, alterações acidentais ou ilícitas e divulgação ou acessos não autorizados, bem como contra qualquer outra forma de tratamento ilícito.

Não obstante as medidas de segurança adotadas o cliente não deve partilhar com terceiros os códigos de acesso, devendo, ainda, no caso das Apps, manter e conservar o dispositivo móvel no qual faça o download das mesmas, em condições de segurança e seguir as práticas de segurança aconselhadas pelo fabricante e/ou operadora, nomeadamente quanto à instalação e atualização dos necessários aplicativos de segurança, nomeadamente, antivírus.