Atenção, o seu browser está desactualizado.
Para ter uma boa experiência de navegação recomendamos que utilize uma versão actualizada do Chrome, Firefox, Safari, Opera ou Internet Explorer.

Carta Circular do Banco de Portugal sobre as novas orientações da Autoridade Bancária Europeia (EBA) relativas à subcontratação

PUBLICAÇÕES SÉRVULO 07 Nov 2019

No passado dia 15 de outubro de 2019, foi publicada a Carta Circular n.º CC/2019/00000065, (“Carta Circular n.º CC/2019/00000065”), a qual veio comunicar que as instituições de crédito, empresas de investimento, instituições de pagamento e instituições de moeda eletrónica sujeitas à supervisão do Banco de Portugal (“BdP”), nos termos previstos no Regime Geral das Instituições de Crédito e Sociedades Financeiras (“RGICSF”), devem observar os requisitos previstos nas “Orientações relativas à subcontratação” (EBA/GL/2019/02) .

O Documento em análise contém um conjunto alargado de orientações e recomendações relacionadas com a implementação de mecanismos e processos em matéria de gestão de funções subcontratadas, com o intuito de tornar robusta e harmonizar as práticas de subcontratação das entidades destinatárias.

O BdP comunicou à EBA a sua intenção de dar cumprimento às novas Guidelines sobre o tema, já partir do próximo ano, a partir de 31 de maio de 2020, para permitir que as instituições abrangidas tivessem o tempo necessário e suficiente, para se adaptarem às novas exigências legais.

A informação deverá ser prestada pelas instituições financeiras em tempo útil e de forma completa, contendo uma descrição das funções que já estejam planeadas como essenciais ou importantes, bem como aquelas que tenham sido reavaliadas e classificadas como tal.

Acresce que cada instituição deve criar um registo de informação que contemple todas as funções subcontratadas, para que fique assegurado, no momento da celebração dos respetivos contratos o direito de: (i) acesso às instalações; (ii) informação; (iii) e de auditoria.

A referida informação deverá ser prestada ao BdP, de forma completa e em tempo útil, com uma antecedência mínima de 15 (quinze) dias úteis face à contratação das funções delegadas, via BdPnet, devendo conter, pelo menos, os seguintes aspetos:

     (i)  um número de referência para cada acordo de subcontratação;

     (ii) a data de início e, se for caso disso, a data da próxima renovação do contrato, a data do termo do contrato e/ou os períodos de pré-aviso aplicáveis ao prestador de serviços e à instituição ou à instituição de pagamento;

     (iii) uma breve descrição da função subcontratada, incluindo os dados que são objeto de subcontratação e se foram ou não transferidos dados pessoais,[1] ou se o seu tratamento foi subcontratado a um prestador de serviços;

     (iv) uma categoria atribuída pela instituição ou pela instituição de pagamento que reflita a natureza da função descrita no ponto (iii)[2];

     (v) o nome do prestador de serviços, o número de registo da sociedade, o identificador da entidade jurídica (se existir), a morada da sede social e outras informações de contacto pertinentes, bem como o nome da empresa-mãe (se for caso disso);

     (vi) o país ou países em que será desempenhado o serviço, incluindo a localização (ou seja, país ou região) dos dados;

     (vii) se a função subcontratada é considerada essencial ou importante, incluindo, se for caso disso, um breve resumo dos motivos pelos quais a função subcontratada foi definida como tal;

     (viii) no caso de subcontratação a um prestador de serviços de computação em nuvem, o modelo do serviço de computação em nuvem e o modelo de implementação da nuvem, ou seja, nuvem pública/privada/híbrida/comunitária, bem como a natureza específica dos dados a conservar e os locais (ou seja, países ou regiões) onde esses dados serão armazenados; e

     (ix) a data da avaliação mais recente do caráter essencial ou da importância da função subcontratada.

Por último, refira-se que, sempre que considerar necessário, o BdP poderá solicitar informação adicional aos reportes efetuados, aliás na esteira do que já estava determinado nas Orientações da EBA.

Luísa Cabral Menezes

                                                                                                                                                              lcm@servulo.com



[1] Por exemplo, indicando “sim” ou “não”, num campo de dados separado.

[2] A título de exemplo, a função de controlo de tecnologias da informação

Áreas Relacionadas
Financeiro e Governance
Advogados Relacionados
Luísa Cabral Menezes