Carta Circular do Banco de Portugal sobre as novas orientações da Autoridade Bancária Europeia (EBA) relativas à subcontratação
PUBLICAÇÕES SÉRVULO 07 Nov 2019
No passado dia 15 de outubro de 2019, foi publicada a Carta Circular n.º CC/2019/00000065, (“Carta Circular n.º CC/2019/00000065”), a qual veio comunicar que as instituições de crédito, empresas de investimento, instituições de pagamento e instituições de moeda eletrónica sujeitas à supervisão do Banco de Portugal (“BdP”), nos termos previstos no Regime Geral das Instituições de Crédito e Sociedades Financeiras (“RGICSF”), devem observar os requisitos previstos nas “Orientações relativas à subcontratação” (EBA/GL/2019/02) .
O Documento em análise contém um conjunto alargado de orientações e recomendações relacionadas com a implementação de mecanismos e processos em matéria de gestão de funções subcontratadas, com o intuito de tornar robusta e harmonizar as práticas de subcontratação das entidades destinatárias.
O BdP comunicou à EBA a sua intenção de dar cumprimento às novas Guidelines sobre o tema, já partir do próximo ano, a partir de 31 de maio de 2020, para permitir que as instituições abrangidas tivessem o tempo necessário e suficiente, para se adaptarem às novas exigências legais.
A informação deverá ser prestada pelas instituições financeiras em tempo útil e de forma completa, contendo uma descrição das funções que já estejam planeadas como essenciais ou importantes, bem como aquelas que tenham sido reavaliadas e classificadas como tal.
Acresce que cada instituição deve criar um registo de informação que contemple todas as funções subcontratadas, para que fique assegurado, no momento da celebração dos respetivos contratos o direito de: (i) acesso às instalações; (ii) informação; (iii) e de auditoria.
A referida informação deverá ser prestada ao BdP, de forma completa e em tempo útil, com uma antecedência mínima de 15 (quinze) dias úteis face à contratação das funções delegadas, via BdPnet, devendo conter, pelo menos, os seguintes aspetos:
(i) um número de referência para cada acordo de subcontratação;
(ii) a data de início e, se for caso disso, a data da próxima renovação do contrato, a data do termo do contrato e/ou os períodos de pré-aviso aplicáveis ao prestador de serviços e à instituição ou à instituição de pagamento;
(iii) uma breve descrição da função subcontratada, incluindo os dados que são objeto de subcontratação e se foram ou não transferidos dados pessoais,[1] ou se o seu tratamento foi subcontratado a um prestador de serviços;
(iv) uma categoria atribuída pela instituição ou pela instituição de pagamento que reflita a natureza da função descrita no ponto (iii)[2];
(v) o nome do prestador de serviços, o número de registo da sociedade, o identificador da entidade jurídica (se existir), a morada da sede social e outras informações de contacto pertinentes, bem como o nome da empresa-mãe (se for caso disso);
(vi) o país ou países em que será desempenhado o serviço, incluindo a localização (ou seja, país ou região) dos dados;
(vii) se a função subcontratada é considerada essencial ou importante, incluindo, se for caso disso, um breve resumo dos motivos pelos quais a função subcontratada foi definida como tal;
(viii) no caso de subcontratação a um prestador de serviços de computação em nuvem, o modelo do serviço de computação em nuvem e o modelo de implementação da nuvem, ou seja, nuvem pública/privada/híbrida/comunitária, bem como a natureza específica dos dados a conservar e os locais (ou seja, países ou regiões) onde esses dados serão armazenados; e
(ix) a data da avaliação mais recente do caráter essencial ou da importância da função subcontratada.
Por último, refira-se que, sempre que considerar necessário, o BdP poderá solicitar informação adicional aos reportes efetuados, aliás na esteira do que já estava determinado nas Orientações da EBA.
Luísa Cabral Menezes
lcm@servulo.com
[1] Por exemplo, indicando “sim” ou “não”, num campo de dados separado.
[2] A título de exemplo, a função de controlo de tecnologias da informação
