Política de Privacidade e Cookies

Última atualização: maio de 2026.

1. INTRODUÇÃO – ÂMBITO DE APLICAÇÃO

A presente política de privacidade (doravante, “Política de Privacidade” ou “Política”) tem como objetivo regulamentar e proporcionar informação sobre os tratamentos de dados pessoais levados a cabo pelo Open Bank, S.A. (doravante, “Openbank”) de (i) clientes potenciais e utilizadores do site ou da app do Openbank; (ii) clientes existentes; (iii) antigos clientes; (iv) informadores e afetados pelo sistema interno de informação (doravante, “Canal Aberto”) do Openbank; e (v) outros terceiros cujos dados possamos tratar no Openbank como consequência da relação que mantemos com os nossos clientes, como sejam intervenientes ou representantes legais.

Através da presente Política, disponibilizar-lhe-emos informação sobre as categorias de dados pessoais que tratamos, os meios através dos quais obtivemos os seus dados pessoais, as finalidades com as quais reunimos e tratamos os seus dados pessoais, os fundamentos legítimos de tais tratamentos, os destinatários dos dados, o tempo de conservação dos mesmos e os direitos que lhe são outorgados pela normativa relativamente aos seus dados pessoais, bem como qualquer outra informação que consideremos que lhe devemos disponibilizar em matéria de privacidade, em conformidade com os requisitos reunidos na normativa de proteção de dados aplicável, para poder garantir que somos transparentes em qualquer momento.

Adicionalmente, tenha em conta que, em diferentes momentos da relação que mantemos consigo, lhe enviaremos determinados avisos de privacidade. Estes avisos serão breves e explicarão os tratamentos concretos que terão lugar relativamente aos dados que estejam a ser reunidos em tal momento, tudo isto de forma complementar à Política, que é o documento que contém as disposições necessárias em virtude da normativa aplicável.

Pedimos-lhe que dedique algum tempo a ler e entender corretamente o seu conteúdo. Para qualquer dúvida, contacte o nosso Encarregado da Proteção de Dados, cujos dados de contacto encontrará mais abaixo.

1.1 Definições

Para garantir uma melhor compreensão do tratamento dos seus dados pessoais, nesta secção explicamos-lhe o significado de alguns termos-chave que utilizamos ao longo da presente Política, muitos dos quais baseados nas definições incluídas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016:

- “RGPD”: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- “Dados pessoais”: qualquer informação que o identifique ou que seja suscetível de o identificar, como o seu nome completo, o número do seu documento de identificação, a sua morada, o seu número de conta ou inclusive dados sobre o seu comportamento.

- “Tratamento de dados pessoais”: qualquer operação que efetuemos com os seus dados pessoais de forma automatizada ou não, como recolha, organização, conservação, modificação, comunicação ou apagamento.

- “Responsável pelo tratamento”: a pessoa singular ou coletiva que decide para que e como se tratam os seus dados. Neste caso, exceto se lhe indicarmos o contrário, é o Openbank. Poderá encontrar os nossos dados de identificação na secção seguinte.

- “Subcontratante”: a pessoa singular ou coletiva que trata os seus dados de acordo com as instruções do responsável pelo tratamento, como os nossos prestadores de serviços tecnológicos ou de apoio ao cliente.

- “Titular”: você ou qualquer pessoa singular titular dos dados objeto do tratamento.

- “Terceiros”: qualquer pessoa singular ou coletiva que não o titular, o Openbank ou as pessoas ou entidades que agem sob a nossa responsabilidade direta.

- “Definição de perfis”: forma de tratamento automatizado que utilizamos para analisar ou prever aspetos sobre si, como os seus hábitos de pagamento, de forma a oferecer-lhe produtos adaptados ou garantir fraudes.

- “Transferências internacionais”: quando os seus dados pessoais são transferidos desde o Espaço Económico Europeu (zona geográfica integrada pelos Estados-membros da União Europeia, Islândia, Liechtenstein e Noruega) para um terceiro país fora deste espaço.

- “Decisão de adequação”: decisão da Comissão Europeia emitida sobre um terceiro país fora do Espaço Económico Europeu que certifica que tal país conta com um nível de proteção sobre os seus dados pessoais equivalente ao estabelecido pelo RGPD.

- “App”: aplicação para telemóvel do Openbank, disponível para Android ou iOS, que lhe disponibilizamos para que possa efetuar facilmente as suas gestões connosco a partir do seu dispositivo.

- “Reconhecimento ótico de caracteres” (“OCR”): tecnologia que permite converter uma imagem em formato de texto, o qual poderá ser editado ou utilizado por outro sistema.

- “Consentimento do titular”: é a manifestação de vontade do titular através da qual aceita de maneira livre, específica, informada e inequívoca que os seus dados sejam tratados. Trata-se de um dos fundamentos jurídicos que permitem efetuar um tratamento de dados, contido no artigo 6.º 1. a) do RGPD.

- “Execução do contrato” ou “aplicação a pedido do titular de medidas pré-contratuais”: trata-se de um dos fundamentos jurídicos que permitem efetuar um tratamento de dados, incluído no artigo 6.º 1. b) do RGPD. Aplica-se quando, para gerir o pedido ou para a prestação do serviço, seja necessário tratar determinados dados pessoais. Por exemplo, se quiser contratar uma Conta à Ordem Openbank, teremos de tratar os seus dados, como nome completo, para gerir a abertura de conta.

- “Obrigação legal”: quando, como fundamento legítimo, citemos este termo, estaremos a fazer referência ao fundamento legítimo contido no artigo 6.º 1. c) do RGPD. Este fundamento poderá ser utilizado quando exista uma obrigação legal aplicável à instituição.

- “Interesse legítimo”: quando, como fundamento legítimo, citemos este termo, estaremos a fazer referência ao fundamento legítimo contido no artigo 6.º 1. f) do RGPD. Este fundamento poderá ser utilizado sempre que, sobre tal interesse da instituição ou de um terceiro, não prevaleçam os interesses ou os direitos e as liberdades fundamentais do titular.

2. QUEM É O RESPONSÁVEL PELO TRATAMENTO DOS SEUS DADOS PESSOAIS?

Razão social: Open Bank, S.A.
Sede social: Av. de Cantabria, s/n, 28660 Boadilla del Monte – Madrid (Espanha).
Dados de contacto do Encarregado da Proteção de Dados: privacidade@openbank.com.

3. QUE DADOS PESSOAIS TRATAMOS NO OPENBANK E COMO OS OBTEMOS?

Trataremos as categorias de dados pessoais que detalhamos em seguida. Adicionalmente, na secção 4 da presente Política, informamos especificamente sobre que dados serão tratados em cada caso. Tenha em conta que os dados que assinalamos em cada um dos formulários como “obrigatórios” são necessários para a correta execução da sua relação pré-contratual ou contratual com o Openbank. Desta forma, o facto de não disponibilizar os mesmos pressuporia a impossibilidade de levar a cabo o seu pedido ou de lhe prestar os nossos serviços.

Categorias de dados pessoais:

- Dados de carácter identificativo: número de identificação fiscal/número de identificação nacional; nome completo; assinatura (manuscrita ou eletrónica) e impressões digitais; imagem e voz; número de Segurança Social; número de telefone; endereço de correio eletrónico; endereço de IP; e dados biométricos.

- Dados sobre as suas caraterísticas pessoais: estado civil; idioma materno; caraterísticas físicas; dados de família; data de nascimento; local de nascimento; idade; sexo; e nacionalidade.

- Dados sobre circunstâncias sociais: licenças, permissões ou autorizações; pertença a clubes ou associações; hobbies e estilo de vida; propriedades e posses; e situação familiar.

- Dados especialmente protegidos: dados de saúde, afiliação sindical, dados biométricos ou antecedentes penais, se aplicável.

- Dados académicos e profissionais: formação e títulos, processos académicos, experiência laboral e pertença a colégios profissionais.

- Dados sobre emprego: profissão; posto de trabalho; dados não económicos do ordenado; e histórico laboral.

- Dados sobre informação comercial: atividades e negócios; licenças comerciais; subscrições a publicações; e criação de obras artísticas, literárias ou científicas.

- Dados económicos, financeiros e de seguros: rendimentos e ganhos; deduções fiscais; investimentos e ativos; informação bancária; subsídios e prestações; e dados económicos do ordenado.

- Dados sobre transações de bens e serviços: compensações ou indemnizações; transações financeiras; e bens e serviços recebidos ou prestados.

- Dados sobre o seu dispositivo: dados que se recolhem do seu dispositivo através de cookies ou outra tecnologia, como sejam o tempo de ligação, o dispositivo a partir do qual acede, padrões de utilização do mesmo, sistema operativo e navegador utilizado, se está numa chamada telefónica no momento do acesso, as páginas mais visitadas, o número de cliques efetuados e dados relativos ao seu comportamento na Internet.

Estes dados poderão provir das seguintes fontes:

- Diretamente de si, através dos distintos formulários de pedido de informação e/ou contratação de produtos ou serviços que aplicamos.

- Dados que tenhamos sobre si em fontes internas, como sejam: (i) dados que obtenhamos derivados da relação contratual consigo; (ii) dados que obtenhamos como consequência da sua interação através do nosso site ou da nossa App; e (iii) dados inferidos que deduzamos ou obtenhamos a partir de dados que nos tenha disponibilizado anteriormente (como é o caso quando elaboramos perfis).

- Dados adicionais sobre si que obtemos das fontes externas descritas em seguida, cumprindo com os procedimentos, os direitos e as garantias estabelecidos em cada momento pela legislação em vigor:

1. Organismos da Administração Pública, como, entre outros, o Ministerio de Hacienda (Ministério das Finanças), a Seguridad Social (Segurança Social) e a Agencia Estatal de Administración Tributaria (Agência Estatal de Administração Tributária) e os correspondentes organismos em Portugal.

2. Dados sobre si que possam constar em ficheiros de deteção fraudulenta de dados que consultemos.

Terceiras empresas às quais tenha prestado o seu consentimento para a cessão dos seus dados ao Openbank ou que de outra forma cedam legitimamente os seus dados ao Openbank em conformidade com a legislação em vigor, como sejam: (i) terceiras empresas com as quais colaboramos com o objetivo de lhe poder oferecer condições mais proveitosas (por exemplo, bonificações, descontos); (ii) terceiras empresas que efetuam transferências para ou débitos na sua conta bancária do Openbank (p. ex., quando lhe pagam o ordenado, recebe uma transferência ou lhe debitam um recibo); ou (iii) outras entidades do Grupo Santander das quais seja cliente.

4. QUE TRATAMENTOS LEVAMOS A CABO COM OS SEUS DADOS PESSOAIS?

Em função da relação que mantiver com o Openbank (desde o simples interesse da sua parte pelos nossos produtos ou serviços sem chegar a contratar os mesmos, até se tornar cliente do Openbank e contratar alguns dos produtos ou serviços que oferecemos), levaremos a cabo diferentes tratamentos dos seus dados pessoais. Em seguida, explicamos em cada caso o alcance de tais tratamentos, indicando as categorias de dados tratadas, as finalidades do tratamento e o fundamento legítimo aplicável.

Não se esqueça que, em qualquer momento e relativamente a cada um dos tratamentos descritos, poderá exercer os direitos que lhe correspondem em matéria de proteção de dados previstos na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

4.1. Resposta a e gestão de pedidos de informação sobre produtos e/ou serviços do Openbank

No nosso site e/ou na nossa App existem distintos formulários que os utilizadores podem preencher voluntariamente caso estejam interessados em receber informação sobre os nossos produtos ou serviços. Tais simulações também podem ser efetuadas através do nosso serviço de apoio ao cliente.

Se decidir preencher alguns destes formulários, trataremos os dados que nos disponibilize com a finalidade de:

- Responder ao seu pedido de informação e remeter-lhe comunicações, por qualquer meio, incluindo o eletrónico, ou ligar-lhe novamente, relativamente a tal pedido de informação.

O fundamento legítimo para este tratamento de dados é:

- Aplicação de medidas pré-contratuais a pedido do próprio titular.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo, dados sobre as suas caraterísticas pessoais; e dados económicos, financeiros e de seguros.

4.2. Gestão do seu registo como cliente e aplicação de medidas pré-contratuais

Durante o seu processo de registo como cliente, trataremos os dados pessoais relativos a si que nos tenha disponibilizado, bem como os obtidos através das fontes que mencionamos mais adiante, para as seguintes finalidades:

- Gerir o seu pedido de registo como cliente e proceder à aplicação das correspondentes medidas pré-contratuais necessárias para poder gerir a contratação do produto ou serviço que nos tenha solicitado e remeter-lhe comunicações relacionadas com a gestão do seu registo (como, por exemplo, enviar-lhe a informação pré-contratual necessária para o seu endereço de correio eletrónico ou recordatórios sobre o estado do processo).

- Aplicar medidas de prevenção de fraude no momento da apresentação do pedido de abertura de conta, com o objetivo de proteger os nossos clientes e a solvência do banco.

- Assisti-lo durante o procedimento de contratação através do envio de recordatórios ou através de chamada telefónica nos casos em que tenha solicitado a abertura de uma conta ou a contratação de outro produto, mas o processo não tenha sido concluído ao existirem passos pendentes (por exemplo, envio de informação), bem como para detetar qualquer incidência que não lhe permita concluir o processo de contratação. Tenha em conta que poderemos utilizar modelos analíticos que nos permitam identificar de forma personalizada os casos nos quais esta comunicação possa ser útil para auxiliá-lo no processo.

- Identificá-lo de maneira fidedigna para cumprir com as medidas de diligência devida às quais estamos sujeitos de acordo com a normativa de prevenção de branqueamento de capitais e de financiamento do terrorismo.

- Gerir a sua assinatura do contrato connosco, através de assinatura manuscrita ou eletrónica.

- Cancelar o pedido de contratação caso não conclua o processo de contratação no período de 1 mês a contar a partir do início do mesmo.

- De igual forma, em função do produto do Openbank que queira contratar, elaboraremos um perfil com os seus dados com a finalidade de prever o seu risco de atraso de pagamento e, assim, determinar se lhe podemos conceder a contratação do produto do Openbank que solicite. Para obter mais informações sobre este tratamento, deverá consultar a secção específica referente ao produto que queira contratar adicionalmente à abertura de conta (por exemplo, se contratar uma hipoteca, trataremos os dados com essa finalidade, de acordo com o descrito na nossa Política).

Os fundamentos legítimos para estes tratamentos de dados são os seguintes:

- Correta execução do contrato: aplicação, a seu pedido, de medidas pré-contratuais e execução e cumprimento das nossas obrigações contratuais caso finalmente se torne cliente do Openbank. Tenha em conta que, ao solicitar uma nova abertura de conta, solicitará também um cartão de débito para poder operar connosco.

- Interesse legítimo: o nosso interesse legítimo em assisti-lo durante o processo de contratação, através do envio de recordatórios nos casos em que tenha iniciado o processo de contratação, mas o mesmo não tenha sido concluído ao existirem passos pendentes (por exemplo, envio de informação); bem como para detetar qualquer incidência que não lhe permita concluir o processo de contratação. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

- Interesse legítimo: o nosso interesse legítimo em prevenir a fraude (como a usurpação de identidade no decorrer de pedidos baseados em dados não verídicos) no momento do registo de cliente. Para mais pormenores, consulte a secção 4.5, no ponto “Deteção e prevenção de possíveis tentativas de fraude”.

- Obrigação legal: a nossa obrigação legal de identificá-lo de maneira fidedigna, em conformidade com a normativa de prevenção de branqueamento de capitais e financiamento do terrorismo, tal como descrito na secção 4.5, no ponto “Prevenção do branqueamento de capitais e do financiamento do terrorismo”.

As categorias de dados pessoais que o Openbank tratará para levar a cabo as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo, que nalguns casos poderiam ser dados biométricos (por exemplo, a sua imagem e voz caso tenha uma identificação através de videochamada não assistida), dados sobre emprego; dados económicos, financeiros e de seguros; dados sobre as suas caraterísticas pessoais; dados sobre informação comercial; e dados de carácter identificativo das pessoas que inclua na sua conta, se aplicável.

4.2.1. Tratamento de dados específico relacionado com a validação da identidade do cliente

Durante o seu processo de registo como cliente, deveremos verificar e comprovar a sua identidade, para cujos efeitos tomaremos as medidas que consideremos necessárias. Concretamente, solicitar-lhe-emos uma cópia do seu documento de identificação e verificaremos a sua validade através de um mecanismo automatizado.

Para tal, armazenaremos a cópia do documento (incluindo a sua imagem) e, se aplicável, visualizá-lo-emos por quaisquer meios, formatos e suportes, com a exclusiva finalidade de verificar a sua identidade quando seja necessário para o cumprimento do contrato subscrito e para responder a requerimentos das autoridades competentes e/ou cumprir com as nossas obrigações legais.

Poderemos aplicar tecnologia de reconhecimento ótico de caracteres (doravante, “OCR”) com o objetivo de conseguir extrair e transferir os dados que sejam necessários dos documentos que nos disponibilize para confirmar a validade dos mesmos.

Adicionalmente, levar-se-á a cabo uma segunda comprovação que implicará a intervenção de um ser humano que será quem tomará a decisão final sobre a validação ou não do documento de identificação correspondente.

O fundamento legítimo para este tratamento de dados é:

- Obrigação legal: Entre outras, a nossa obrigação legal de garantir a exatidão da informação prevista no art.º 5.º do RGPD, de acordo com o art.º 6.1. c) do RGPD.

- Execução contratual e aplicação de medidas pré-contratuais. Verificaremos esta informação para poder executar a relação contratual consigo.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo.

4.3. Adaptação da nossa relação contratual em caso de vulnerabilidades

Se nos indicar explicitamente que tem uma incapacidade auditiva, visual ou de outro tipo (por exemplo, é um cidadão deslocado ou com idade igual ou superior a 65 anos em situação de vulnerabilidade), utilizaremos esta informação ao longo da relação contratual com a finalidade de:

- Prestar-lhe um serviço adaptado às suas necessidades, como, por exemplo, evitar entrar em contacto consigo por telefone caso tenha problemas auditivos e dar prioridade a outros canais de contacto e prestar às pessoas com incapacidades a informação necessária em suportes e formatos acessíveis e adequados às suas necessidades.

O fundamento legítimo para este tratamento de dados é:

- O seu consentimento prévio e informado: sempre o consentimento explícito que nos tenha dado para poder tratar estes dados. Tenha em conta que, se mudar de opinião, poderá retirar o consentimento que nos tenha dado de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

- Obrigação legal, derivada da normativa que regulamenta as condições básicas de acessibilidade.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: Dados de carácter identificativo e, se aplicável, dados especialmente protegidos como dados de saúde ou dados relativos à situação especial.

4.4. Tratamento de dados pessoais vinculados aos distintos produtos que contrate

Após tramitar satisfatoriamente o seu processo de registo e ser formalmente um cliente do Openbank, efetuaremos os seguintes tratamentos adicionais dos dados pessoais em função dos produtos e serviços específicos que contrate connosco.

Sem prejuízo dos tratamentos específicos relacionados com a contratação de um produto concreto, tenha em conta que o Openbank poderá efetuar tratamentos adicionais dos dados pessoais dos nossos clientes independentemente do produto contratado, tal como explicamos na secção “4.5. Tratamentos de dados pessoais dos nossos clientes levados a cabo independentemente do produto Openbank contratado” da presente Política de Privacidade.

4.4.1. Contratação de um produto de conta à ordem, conta poupança ou depósito

O pedido de contratação de uma conta à ordem, de uma conta poupança ou de um depósito implica que o Openbank trate os dados pessoais que disponibilizou no formulário através do qual solicitou a contratação do correspondente produto de passivo, bem como os dados que obtenhamos posteriormente no decorrer da relação contratual (tais como dados sobre as suas operações com os nossos produtos) e os dados que obtenhamos das fontes internas e externas detalhadas nas secções “3. Que dados pessoais tratamos no Openbank e como os obtemos?” e “4.2 Gestão do seu registo como cliente e aplicação de medidas pré-contratuais” com as seguintes finalidades:

- Atender, avaliar e gerir o seu pedido de contratação e, se finalmente o chegar a contratar, cumprir com as obrigações contratuais aplicáveis, manter a relação contratual consigo e remeter-lhe comunicações, pelos meios correspondentes.

- Quando assim o solicite e o produto o permita, incluir outros intervenientes como autorizados nos produtos de passivo contratados.

- Poder levar a cabo as gestões oportunas para transferir saldos de contas em presunção de abandono ao Estado.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato: aplicação, a seu pedido, de medidas pré-contratuais e cumprimento das nossas obrigações contratuais relativamente ao produto que contratou com o Openbank.

- Obrigação legal. Concretamente, de acordo com o previsto no art.º 18.º da Lei espanhola 33/2003, de 3 de novembro, relativa a Património das Administrações Públicas para as gestões relacionadas com saldos em presunção de abandono.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; dados sobre emprego; dados económicos, financeiros e de seguros; dados sobre as suas caraterísticas pessoais; e, se incluir outros intervenientes, os dados de carácter identificativo de tais pessoas.

4.4.1.1. Verificação do beneficiário

Como consequência do “Serviço de Garantia de Verificação do Beneficiário” caso se inicie um processo de transferência a partir de uma conta bancária (pode ser do Openbank ou de outra entidade) para a conta de um cliente do Openbank (cliente beneficiário), o Openbank tratará os dados pessoais deste cliente beneficiário para verificar a sua coincidência com os dados disponibilizados pelo ordenante da transferência e, se aplicável, partilhá-los-á com a entidade do ordenante da transferência para que o ordenante tome uma decisão informada sobre a execução da transferência.

A finalidade da verificação é reduzir a fraude e os erros nas transferências que têm como destino uma conta de pagamento.

O fundamento legítimo para este tratamento de dados é:

- Obrigação legal. Mais concretamente, de acordo com o previsto no Regulamento (UE) 2024/886 do Parlamento Europeu e do Conselho de 13 de março de 2024 que altera os Regulamentos (UE) n.º 260/2012 e (UE) 2021/1230 e as Diretivas 98/26/CE e (UE) 2015/2366 no que diz respeito às transferências a crédito imediatas em euros (Regulamento de transferências imediatas).

As categorias de dados pessoais que o Openbank tratará para levar a cabo as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; dados económicos, financeiros e de seguros.

4.4.2. Contratação de um método de pagamento (cartão de débito/cartão pré-pago) e donativos às ONG selecionadas por si ao utilizar o seu cartão de débito

O pedido de contratação de um meio de pagamento requer que o Openbank trate os dados que nos disponibilize através do formulário de contratação do meio de pagamento que queira contratar, os dados que tenhamos sobre si nos nossos sistemas caso já seja cliente do Openbank e os dados que obtenhamos das fontes externas descritas na secção “3. Que dados pessoais tratamos no Openbank e como os obtemos?” da presente Política para as seguintes finalidades:

- Atender, avaliar e gerir o seu pedido de contratação do meio de pagamento no qual se tenha interessado e, se finalmente chegar a contratar um ou vários meios de pagamento, cumprir com as obrigações previstas no mesmo, manter a relação contratual consigo e remeter-lhe comunicações relacionadas com os produtos contratados.

- Gerir os donativos que efetue através da funcionalidade Open Solidário do seu cartão de débito, motivo pelo qual teremos de partilhar os seguintes dados com a ONG (associação ou fundação) que tenha escolhido: nome completo, número de documento de identificação, endereço de correio eletrónico, dada de realização da operação e montante da operação. Estas ONG também agem como responsáveis pelo tratamento quando processam os seus dados (por exemplo, ao emitir o certificado anual de donativo). Assim, poderá exercer os seus direitos de proteção de dados ao entrar em contacto com as mesmas.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato: aplicação de medidas pré-contratuais e cumprimento das nossas obrigações contratuais relativamente ao meio de pagamento que contrate com o Openbank.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; dados sobre emprego; dados económicos, financeiros e de seguros e dados sobre as suas caraterísticas pessoais.

4.4.2.1. Tratamento de dados específicos relativamente às aplicações de pagamentos móveis

Se nos solicitar um serviço de pagamento por telemóvel, consistente em adicionar os distintos cartões Openbank aos seus dispositivos para efetuar pagamentos e transações com terceiros através dos mesmos, deverá ter em conta o tratamento de dados que se detalha nos termos e condições e na política de privacidade de cada aplicação que descarregue.

Adicionalmente, ao adicionar algum cartão do Openbank, será informado sobre o tratamento de dados específicos relacionados com o serviço de pagamento por telemóvel. Particularmente, o acesso à informação por parte da empresa prestadora de serviços necessária para a correta prestação deste serviço, o qual será necessário para a correta prestação do mesmo.

Em seguida, encontrará mais informação sobre o tratamento de dados levado a cabo pelas diferentes aplicações de pagamento por telemóvel relacionadas com o Openbank, embora se detalhem também no momento de adesão ao serviço:

- Apple Pay

- Google Pay

- Fitbit Pay

- Garmin Pay

- Openbank Pay

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato: aplicação, a seu pedido, de medidas pré-contratuais e execução e cumprimento das nossas obrigações contratuais relativamente à adesão ao serviço.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de caráter identificativo; e dados económicos, financeiros e de seguros.

4.4.2.2. Tratamento de dados específicos relacionados com o Bizum

Se nos solicitar o serviço de transferências imediatas, trataremos os seus dados pessoais para poder gerir o registo no e a prestação do referido serviço. Tenha em conta que o responsável pelo tratamento dos dados do diretório de transferências imediatas, no qual se registará, é a Bizum, S.L. (doravante, “Bizum”).

Portanto, a finalidade do tratamento dos seus dados pessoais relativamente aos serviços do Bizum é gerir o registo no e a prestação do serviço, o que implica o envio, a receção ou o pedido de dinheiro instantaneamente através dos bancos aderentes ao serviço do Bizum, como o Openbank, bem como prestar-lhe outros serviços adicionais do Bizum, como o Bizum no estrangeiro e, se disponível, o identificador digital, bem como qualquer outro novo serviço que seja incorporado.

Para a correta prestação do serviço de transferências imediatas, será necessário que levemos a cabo as seguintes cessões de dados relativas a si:

1. Cederemos à Bizum determinados dados pessoais identificativos relativos a si, mais concretamente, o seu nome completo; NIF (ou documento identificativo equivalente); número de telemóvel; IBAN; morada postal e endereço de correio eletrónico (somente necessários para pagamentos na Espanha) e nome de utilizador ou pseudónimo do cliente, que corresponderá ao seu nome e às iniciais dos seus apelidos e que terá um fim identificativo do destinatário de uma operação de transferências imediatas. Tal cessão será efetuada à Bizum, entidade dedicada à prestação de serviços informacionais para a realização de transferências imediatas, como titular do diretório ao qual as entidades aderentes ao Bizum acedem. Pode consultar informação adicional na política de privacidade da Bizum.

2. Por outro lado, também cederemos tais dados às sociedades que figuram em https://bizum.com/es/en/banks/ que constituem o conjunto de entidades aderentes ao serviço Bizum.

3. Poderemos ceder os seus dados às ONG que se tenham inscrito como beneficiárias de donativos através do Bizum, mais concretamente, o seu nome completo e o seu NIF, com a finalidade de poderem gerir os seus donativos e, caso seja possível, de poderem emitir o certificado anual de donativo.

4. Finalmente, os dados da operação serão cedidos aos beneficiários e aos ordenantes das operações efetuadas.

5. No caso de transferências fora de Espanha (interoperabilidade), os dados podem ser também partilhados com outras soluções de pagamento com as quais a Bizum tenha um acordo, tais como, por exemplo, o MB WAY (da SIBS, Portugal) ou o Bancomat Pay (da Bancomat S.p.A., Itália), bem como com os bancos que trabalhem com tais plataformas.

O serviço Bizum pode aceder à agenda de contactos do seu telemóvel com o objetivo de localizar o número de telemóvel da pessoa à qual pretende enviar ou pedir dinheiro. Ao contratar o serviço, autoriza que levemos a cabo tal consulta, a qual permitirá saber se a pessoa tem o serviço Bizum contratado.

Caso proporcione dados pessoais de um terceiro (p. ex., número de telemóvel de outra pessoa), garante que obteve o consentimento prévio informado de tal terceiro para o tratamento dos seus dados pessoais. Do mesmo modo, tem conhecimento que também poderemos obter os seus dados por parte de terceiros.

Para a correta prestação do serviço, o Openbank armazenará os dados das transferências imediatas efetuadas pelos seus clientes. Não disponibilizaremos dados a outros utilizadores finais que não sejam estritamente imprescindíveis para a prestação do serviço.

Adicionalmente, para o serviço de identificador digital, se disponível, prévio consentimento da sua parte, ceder-se-ão os seguintes dados: nome completo, NIF, pseudónimo (nome de utilizador), número de telemóvel e, opcionalmente, endereço de correio eletrónico, morada postal, data de nascimento e sexo. Estes dados serão comunicados à Bizum e aos comércios com os quais o cliente tenha aceitado partilhar a sua informação.

Poderá encontrar informação adicional sobre os serviços da Bizum nos Termos e Condições.

Tenha em conta que, se efetuar uma transferência imediata através do Bizum ou se pagar com Bizum num comércio (de forma direta ou através de um prestador de serviços de pagamento) e o banco aderente recetor for o Openbank, o Openbank tratará os seus dados para executar a operação, seguindo as instruções recebidas.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato. Registo no serviço, execução e cumprimento das obrigações contratuais relativas ao serviço de transferências imediatas ou pagamentos em comércios.

- Consentimento no âmbito de ações adicionais ou de valor acrescentado do serviço que não se incluam no tratamento de dados imprescindível para a execução do serviço, como possam ser operações de envio de fotografias ou chat e o identificador digital. Tenha em conta que, se mudar de opinião, poderá retirar o consentimento que nos tenha dado de acordo com o indicado na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para levar a cabo as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; e dados económicos, financeiros e de seguros.

4.4.3. Contratação de um produto de investimento (como compra de ações/ETF/serviço de investimento automatizado)

O pedido e/ou a contratação de um produto ou serviço de investimento requer que o Openbank trate os dados que nos disponibilize no formulário através do qual solicite a contratação do produto ou serviço em questão com as seguintes finalidades:

- Atender, avaliar e gerir o seu pedido de contratação do produto ou serviço de investimento no qual se tenha interessado e, se finalmente chegar a contratar um ou vários produtos ou serviços de investimento, executar a contratação e cumprir com as obrigações previstas no mesmo, manter a relação contratual consigo e remeter-lhe comunicações relacionadas com os produtos ou serviços contratados.

- Quando a normativa assim o exija, trataremos a informação e os dados pessoais que nos proporcione para definir o seu perfil de investidor. Para tal, teremos em conta os seus conhecimentos e a sua experiência em instrumentos financeiros, bem como a sua situação financeira, para poder, assim, determinar a sua adequação como cliente na contratação do produto ou serviço de investimento que solicitar. Tenha em conta que, caso não esteja de acordo com a decisão, pode contestá-la, manifestar o seu ponto de vista e solicitar intervenção humana ao enviar um correio eletrónico para o endereço privacidade@openbank.com.

- Se pretender subscrever um ETF, como comercializadores do mesmo será necessário que levemos a cabo a comunicação dos seus dados à correspondente entidade gestora para proceder à sua subscrição, contratação e/ou gestão, bem como ao envio de comunicações por parte da entidade gestora relativamente ao serviço contratado.

Os fundamentos legítimos para este tratamento de dados são:

- Correta execução do contrato: aplicação de medidas pré-contratuais e execução do contrato, cumprimento das obrigações estabelecidas no mesmo e manutenção da relação contratual consigo e envios de mensagens relacionadas com os produtos ou serviços adquiridos ou utilizados.

- Obrigação legal de realizar o teste de adequação, em conformidade com a Diretiva 2014/65/UE, relativa aos mercados de instrumentos financeiros (MiFID II).

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; dados sobre as suas características pessoais; dados económicos, financeiros e de seguros; dados sobre o produto contratado; e, quando aplicável, dados obtidos através do teste de adequação elaborado pelo Openbank (incluindo dados académicos ou profissionais; dados relativos a caraterísticas pessoais; dados relativos a produtos e serviços contratados; e dados relacionados com os seus objetivos de investimento, os riscos que está disposto a assumir e a sua situação financeira).

4.4.3.1. Tratamentos de dados específicos relacionados com a transferência de produtos de investimento

Se, após ter contratado um produto de investimento connosco, decidir solicitar a sua transferência para outra entidade, o Openbank procederá à cessão dos seus dados à entidade de destino com o objetivo da mobilização do seu saldo e direitos económicos consolidados, pelo que trataremos os seus dados para tal finalidade.

Os fundamentos jurídicos deste tratamento de dados são:

- O seu consentimento prévio e informado. Tenha em conta que, se mudar de opinião, poderá retirar o consentimento que nos tenha dado de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

- Obrigação legal: concretamente, de acordo com o previsto no art.º 28.º da Lei espanhola 35/2003, de 4 de novembro, relativa a Instituições de Investimento Coletivo.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; e dados relativos a produtos e serviços contratados.

4.4.4. Categorizador de gastos

Dada a sua condição de cliente, podemos classificar as transações da sua conta bancária ou de valores ou a informação à qual acedemos em categorias de gasto representativas (por exemplo, educação, restaurante, supermercado, gastos de lazer, …). Levamos a cabo este tratamento de dados como parte da administração da relação contratual que mantemos consigo com a finalidade de:

- Proporcionar-lhe informação classificada sobre os seus gastos em categorias específicas de produtos ou serviços (por exemplo, gastos em educação, restaurantes, supermercados, ócio etc.), o que lhe permitirá gerir e controlar mais facilmente as suas finanças e os seus gastos.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato: o cumprimento das nossas obrigações contratuais contraídas consigo quando adquire a condição de cliente.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; dados económicos, financeiros e de seguros; e dados sobre transações de bens e serviços.

4.4.5. Contratação do serviço "Descontos Open"

Se se registar no serviço “Descontos Open”, o Openbank tratará os seus dados com a seguinte finalidade:

- Disponibilizar-lhe e informar-lhe sobre diferentes descontos de terceiras empresas com as quais o Openbank tem acordos de colaboração. Tenha em conta que receberá comunicações sobre os anteriores.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato: gerir o registo no serviço que nos solicitou e cumprir com as nossas obrigações contratuais que contraímos consigo quando contrata o nosso serviço.

Tenha em conta que, se exercer o seu direito de apagamento, o Openbank deixará de lhe prestar o serviço contratado.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo.

4.4.6. Contratação do serviço Password Manager Databank

Caso o serviço Password Manager Databank se encontre disponível e o contrate, poderá guardar e gerir todas as suas palavras-passe, os seus dados e informação de forma prática e segura.

Tenha em conta que, se se esquecer do seu código principal, por motivos de segurança não será possível recuperá-la e a informação permanecerá inacessível, inclusive para o Openbank.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato: o cumprimento das nossas obrigações contratuais adquiridas no momento em que se registou no serviço.

Poderá encontrar informação adicional sobre o Password Manager Databank nos termos e condições do mesmo.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo.

4.4.7. Donativo a organizações de beneficência

No Openbank, para além de poder doar montantes arredondados para o euro mais próximo ao efetuar pagamentos com o seu Cartão de Débito Я42, também lhe permitimos efetuar transferências solidárias a organizações de beneficência (ONG ou associações) à sua escolha.

Se decidir efetuar estas transferências, trataremos os dados que nos disponibilize com as seguintes finalidades:

- A correta execução da transferência solidária.

- Adicionalmente, ao efetuar um donativo solidário, disponibilizaremos o seu nome completo, número de documento de identificação, endereço de correio eletrónico, data de realização da operação e montante às organizações de beneficência correspondentes com o objetivo de gerir os seus donativos e, se possível, para que possam emitir o certificado anual de donativos.

O fundamento legítimo para este tratamento de dados é a seguinte:

- Correta execução do contrato: para efetuar um donativo solidário.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; dados sobre o seu emprego; dados económicos, financeiros e de seguros; e dados sobre as suas caraterísticas pessoais.

4.5. Tratamentos de dados pessoais dos nossos clientes levados a cabo independentemente do produto Openbank contratado

4.5.1. Prevenção do branqueamento de capitais e do financiamento do terrorismo

Os tratamentos de dados pessoais, bem como os ficheiros — automatizados ou não — criados para o cumprimento das disposições da Lei espanhola 10/2010, de 28 de abril, sobre prevenção do branqueamento de capitais e do financiamento do terrorismo que, como entidade financeira somos obrigados a cumprir, será efetuado com as seguintes finalidades:

- Declarar mensalmente, para o Ficheiro de Titularidades Financeiras, os dados de carácter identificativo dos nossos clientes e dos intervenientes, relativamente à data de abertura ou encerramento das contas à ordem, contas poupança e contas de valores ou de contratação ou liquidação de depósitos a prazo. Os anteriores dados farão parte de tal ficheiro, cujo responsável é a Secretaría de Estado de Economía y Apoyo a la Empresa (Secretaria de Estado de Economia e Apoio à Empresa). Tenha em conta que, em conformidade com o art.º 23.º do RGPD, e de acordo com o art.º 32.º da Lei espanhola 10/2010, de 28 de abril, sobre prevenção do branqueamento de capitais e do financiamento do terrorismo, os direitos previstos nos art.^os 15.º a 22.º do RGPD não são aplicáveis aos ficheiros e tratamentos de dados pessoais criados e geridos pelo Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (Serviço Executivo da Comissão de Prevenção de Branqueamento de Capitais e Infrações Monetárias; doravante, “SEPBLAC”) para o cumprimento das funções que lhe outorga a referida Lei.

- Disponibilizar informação sobre operações de pagamento a autoridades ou organismos oficiais de outros países, incluindo os de dentro e de fora da União Europeia, no âmbito da luta contra o branqueamento de capitais, o financiamento do terrorismo e a delinquência organizada grave. Para tais efeitos, considera-se particularmente importante a troca de informação entre o governo espanhol e a autoridade tributária espanhola (Agencia Estatal de Administración Tributaria, AEAT), no pleno cumprimento do disposto nos artigos 94.4 e 95.1.i) da Lei Geral Tributária espanhola 58/2003, de 17 de dezembro.

- Consulta de bases de dados externas com fins de prevenção de branqueamento de capitais e do financiamento do terrorismo. Para tal, comprova-se se os dados disponíveis coincidem com os dados que constam nas bases de dados externas, estabelecem-se e analisam-se diferentes alertas sobre as transações bancárias e aplicam-se as medidas pertinentes, derivadas da normativa aplicável.

- Comprovar se é uma pessoa com funções públicas ou uma pessoa politicamente exposta e, em caso afirmativo, aplicar as medidas reforçadas de diligência devida nas relações comerciais ou operações que efetuemos consigo.

- Verificar a veracidade da informação e dos documentos que nos disponibilize de forma a conhecer a natureza da sua atividade profissional ou empresarial e disponibilizá-los às autoridades ou organismos oficiais de outros países, situados tanto dentro como fora da União Europeia, e a outras sociedades do Grupo Santander no âmbito da luta contra o financiamento do terrorismo e formas graves de delinquência organizada e da prevenção do branqueamento de capitais.

- Levar a cabo a verificação fidedigna da sua identidade através de um documento de identificação válido. Para tal, armazenaremos o documento de identificação (incluindo a sua imagem) e, se aplicável, visualizá-lo-emos por quaisquer meios, formatos e suportes, com a exclusiva finalidade de verificar a sua identidade quando seja necessário para o cumprimento do contrato subscrito consigo dada a sua condição de cliente (como é o caso de quando se interpõe uma reclamação) e para responder a requerimentos das autoridades competentes e/ou cumprir com as nossas obrigações legais.

- Com o objetivo anterior, verificação fidedigna da sua identificação, comprovaremos que a informação que nos disponibilize coincida com a informação que conste nos documentos oficiais dos quais disponhamos (por exemplo, o seu documento de identificação) e, caso não coincidam, procederemos a modificar a informação na nossa base de dados ou entraremos em contacto consigo para lhe solicitar mais informações e poder ter os dados atualizados (por exemplo, se a morada do documento de identificação não coincide com a indicada no formulário, contactá-lo-emos para que nos envie um comprovativo da morada atual).

- Seguimento contínuo da relação mantida com os clientes, no cumprimento da normativa de prevenção de branqueamento de capitais, que inclui:

a) seguimento das operações efetuadas com a finalidade de garantir que coincidam com a informação sobre o cliente da qual disponhamos nos nossos sistemas e o risco atribuído;
b) verificação da origem dos fundos; e
c) seguimento dos documentos e da informação disponível sobre os clientes da entidade, bem como o correspondente pedido de atualização dos que se considerem necessários.

- Relativamente aos pontos anteriores, se aplicável, por exemplo, quando o cliente não remeta os documentos atualizados num período razoável, os dados serão tratados para bloquear a operação do cliente (este bloqueio pode afetar tanto produtos/serviços contratados como a possibilidade de contratação de produtos/serviços novos no Openbank) e/ou cancelar a relação de negócio com o cliente.

- De acordo com a normativa de prevenção do branqueamento de capitais e do financiamento do terrorismo, com o objetivo de tomar as oportunas medidas de diligência devida e de informação, analisaremos e teremos presente qualquer conduta complexa, não habitual ou sem um propósito económico lícito à parte ou qualquer conduta ou informação da qual disponhamos que apresente indícios de um possível delito contra o património ou contra a ordem socioeconómica.

Para poder verificar a sua identidade de maneira fiável, disponibilizar-lhe-emos algum procedimento que nos permite identificá-lo, o qual poderá consistir em identificação numa das nossas sucursais, através de videochamada ou através de qualquer método válido em cada momento. Nos casos necessários, solicitaremos o seu consentimento prévio, como, por exemplo, para a gravação de uma chamada ou para o tratamento de dados biométricos através de técnicas de reconhecimento facial.

Os fundamentos legítimos para este tratamento de dados são:

- Obrigação legal: cumprimento de obrigações legais. Em particular, o Openbank efetua este tratamento para cumprir com a Lei espanhola 10/2010, de 28 de abril, sobre Prevenção do Branqueamento de Capitais e do Financiamento do Terrorismo, com a Diretiva (UE) 2018/843 do Parlamento Europeu e do Conselho e do Real Decreto-Lei espanhol 7/2021, de 27 de abril, sobre transposição de diretivas da União Europeia em matéria de concorrência, prevenção do branqueamento de capitais, entidades de crédito, telecomunicações, medidas tributárias, prevenção e reparação de danos ambientais, deslocação de trabalhadores na prestação de serviços transnacionais e defesa dos consumidores.

- O seu consentimento para tratar os seus dados biométricos ou, se aplicável, para a gravação da chamada.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo, incluindo dados biométricos derivados das técnicas de reconhecimento facial utilizadas no procedimento de identificação de chamada não assistida; dados sobre as suas caraterísticas pessoais; dados sobre o seu emprego; dados económicos, financeiros e de seguros; dados sobre transações de bens e serviços; dados indicados na secção de deteção e prevenção de fraude; e dados especialmente protegidos, como sejam os relativos à comissão de infrações penais (por exemplo, dados que apareçam nas notas policiais e judiciais que possamos receber relativas a qualquer possível delito contra o património ou a ordem socioeconómica).

4.5.2. Comunicação de informação à AEAT

Como entidade financeira, somos obrigados a comunicar determinadas informações sobre os nossos clientes à AEAT e às autoridades tributárias competentes de outros países no cumprimento da normativa de troca automática de informação fiscal. Para tal efeito, trataremos os seus dados pessoais com a seguinte finalidade:

- Comunicar a sua residência fiscal e informação sobre a relação contratual que mantém connosco à AEAT que, por sua vez, poderá ser comunicada às autoridades fiscais competentes de outros países.

O fundamento legítimo para este tratamento de dados é:

- Obrigação legal: concretamente, o Openbank levará a cabo este tratamento para cumprir com a Foreign Account Tax Compliance Act (doravante, “FATCA”), promovida pelos Estados Unidos da América, e a Common Reporting Standard (doravante, “CRS”), promovida pela Organização para a Cooperação e o Desenvolvimento Económicos (doravante, “OCDE”).

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; residência fiscal; e informações relativas à relação contratual.

4.5.3. Comunicação de informação a outras sociedades do Grupo Santander

No Openbank, partilharemos os seus dados com outras sociedades do Grupo Santander do qual fazemos parte, no sentido do art.º 42.º do Código de Comércio espanhol, juntamente com qualquer informação relevante de operações com as seguintes finalidades:

- Cumprir com a normativa interna do Grupo Santander elaborada para cumprir com as nossas obrigações legais em matéria de prevenção do crime financeiro.

- Permitir que as sociedades do Grupo Santander cumpram com as suas obrigações legais de prevenção do branqueamento de capitais e do financiamento do terrorismo.

- Permitir que as sociedades do Grupo Santander possam cumprir com as suas obrigações de notificação regulamentar às autoridades supervisoras (Banco Central Europeu ou SEPBLAC).

As entidades do Grupo Santander com as quais partilhemos dados com estas finalidades agirão como responsáveis independentes. Para mais informações sobre tais entidades, consulte a secção “6. Com quem partilhamos os seus dados?”.

O fundamento legítimo para este tratamento de dados é:

- Obrigação legal. Cumprimento de obrigações legais. Mais concretamente, o Openbank levará a cabo este tratamento para cumprir com (i) as nossas obrigações de prevenção do crime financeiro, particularmente com o estabelecido na Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho, de 20 de maio de 2015, relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais ou de financiamento do terrorismo, e no Regulamento Delegado (UE) 2019/758 da Comissão, de 31 de janeiro de 2019; (ii) as nossas obrigações em matéria de prevenção de branqueamento de capitais e financiamento do terrorismo, como as estabelecidas no Real Decreto espanhol 304/2014, de 5 de maio, pelo qual se aprova o Regulamento da Lei espanhola 10/2010, de 28 de abril, sobre prevenção do branqueamento de capitais e do financiamento do terrorismo; e (iii) a notificação obrigatória às autoridades supervisoras competentes.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; dados sobre as suas caraterísticas pessoais; dados sobre o seu emprego; dados económicos, financeiros e de seguros; e dados sobre transações de bens e serviços.

4.5.4. Deteção e prevenção de possíveis tentativas de fraude

No Openbank, temos a obrigação e o objetivo de evitar a fraude e de o proteger a si e aos nossos restantes clientes face a possíveis condutas fraudulentas e delitivas, como sejam a usurpação de identidade, a duplicação de cartões ou o roubo de palavras-passe.

Para tal, trataremos os dados que nos tenha disponibilizado diretamente, bem como os relativos à sua localização, padrões de conduta, utilização e/ou características do dispositivo; dados relacionados com o estado da chamada enquanto utiliza a nossa App; dados que obtenhamos de outras entidades do Grupo Santander; ou dados que obtenhamos de fontes externas especializadas (como seja o caso das agências de prevenção da fraude) para detetar e prevenir possíveis tentativas de fraude e particularmente com as seguintes finalidades:

(i) Se já for cliente do Openbank, consultaremos os seus dados nas nossas próprias fontes internas a fim de efetuar uma análise comportamental do seu perfil transacional e tratá-los-emos para identificar padrões e hábitos relacionados com a utilização do seu dispositivo nas suas interações connosco através de ferramentas para a prevenção de fraude. Assim, sempre que solicite a realização de uma nova operação ou transação, avaliaremos a mesma em função dos seus padrões de utilização e do seu perfil transacional, o que nos permitirá determinar se tal operação é ou não habitual de acordo com os seus hábitos e, consequentemente, pode ou não ser considerada como suspeita de fraude. Adicionalmente, trataremos os seus dados com o objetivo de detetar comportamentos e padrões de risco que nos permitam identificar operações anómalas ou irregulares realizadas através dos sistemas de pagamento nacionais e europeus.

Isto permitir-nos-á detetar atividades potencialmente fraudulentas, tais como acessos indevidos à informação pessoal dos clientes, possíveis usurpações de identidade ou qualquer situação que possa ser interpretada como uma utilização fraudulenta ou indesejada da conta com o objetivo de proteger os interesses dos nossos clientes. Caso se detete alguma tentativa de fraude ou atividade suspeita (como sejam transferências repetitivas, a utilização do seu dispositivo de forma diferente da habitual ou a ou utilização de um dispositivo diferente do que costuma utilizar), e salvo se ocorrer em simultâneo uma circunstância de interesse público, informar-lhe-emos sobre tal, reveremos a informação disponível e, se aplicável, pedir-lhe-emos informações adicionais. Adicionalmente, de forma cautelar, e até que efetuemos as comprovações oportunas, poder-se-á paralisar qualquer operação.

No referente ao tratamento efetuado com o objetivo de detetar anomalias e padrões de fraude através da informação recolhida sobre a utilização e as características do seu dispositivo, informa-se que o tratamento da informação permite identificar atividades potencialmente fraudulentas através da parametrização dos dados recolhidos. Tais parâmetros são proporcionados por um fornecedor especializado que avalia a probabilidade de fraude de acordo com os critérios definidos por nós. Quando, como resultado de tal análise, se detete um possível risco de fraude, a operação passa para uma fase adicional de bloqueio temporário como medida preventiva. Durante esta fase, contactá-lo-emos para confirmar se iniciou a transação e, nesse caso, poderá iniciar novamente a operação.

A lógica aplicada ao tratamento efetuado com o objetivo de detetar anomalias e padrões de fraude através dos sistemas de pagamento nacionais e europeus consiste em:

- Quanto à prevenção de fraude, o tratamento permite aos prestadores de serviços de pagamento efetuar análises em nosso nome em tempo real dos riscos associados a contas e pagamentos. Para tal, são-lhes disponibilizadas ferramentas que lhes permitem validar dados de contas e transações tendo como base padrões históricos previamente identificados e detetar possíveis anomalias e indicadores que os ajudem a gerir os riscos de fraude antes de enviar um pagamento ou como parte das atividades de confirmação de conta.

- Quanto à deteção de fraude, o tratamento permite aos prestadores de serviços de pagamento efetuar análises posteriores à transação. Proporciona módulos para ajudar os prestadores de serviços de pagamento a investigar e identificar transações de alto risco após a realização dos pagamentos.

- Por último, o tratamento permite efetuar análises de dados para identificar novos padrões de riscos e anomalias de pagamentos que permitam melhorar os procedimentos de prevenção e deteção.

(ii) Se ainda não for cliente do Openbank, antes de se tornar cliente levaremos a cabo diferentes análises para evitar operações fraudulentas, tais como verificação da sua identidade e deteção de possíveis incongruências na formação proporcionada. Se detetarmos alguma anomalia na abertura de conta, procederemos ao bloqueio da operação até esclarecê-lo. Para as análises que levamos a cabo, utilizamos a informação que nos proporcione durante o processo de abertura de conta, como o seu domínio de e-mail, a sua idade e variáveis associadas ao pedido que efetua, outras variáveis e metadados associados ao seu pedido relacionados com os dispositivos a partir dos quais solicita a abertura de conta, o navegador que utiliza ou o sistema operacional que utiliza.

Adicionalmente, antes de formalizar um contrato connosco, partilharemos alguns dos seus dados pessoais com prestadores de serviços externos que nos ajudam a detetar e prevenir possíveis tentativas de fraude, respeitando e cumprindo, em qualquer momento, os procedimentos, os direitos e as garantias que a legislação aplicável estabelece e lhe outorga. A informação que partilhamos com tais terceiros inclui alguns dos dados que nos proporciona quando se torna cliente, como o seu endereço de correio eletrónico, e informação sobre o seu comportamento de navegação, como o endereço IP do seu dispositivo.

Tais terceiros que utilizamos para nos ajudar a detetar e prevenir transações fraudulentas são:

- A empresa Emailage Limited, estabelecida no Reino Unido. A Emailage também é responsável pelo tratamento dos seus dados pessoais e utilizá-los-á para os fins estabelecidos na sua política de privacidade. Processaremos o seu endereço de correio eletrónico e o seu endereço IP através do serviço prestado pela Emailage Ltd. para gerar uma pontuação de risco de fraude. Para tais efeitos, a Emailage Ltd. compara e avalia os pontos de dados fornecidos com os metadados associados (dados de correio eletrónico, dados de geolocalização de IP) e consultas anteriores de clientes e indicadores de fraude fornecidos à rede global de fraude da Emailage Ltd. Ao utilizar a nossa pontuação de risco de fraude juntamente com outras verificações que poderíamos levar a cabo, poderemos avaliar o risco associado ao pedido ou à transação e tomar decisões num esforço por identificar e prevenir a fraude. Poderá exercer os seus direitos em matéria de proteção de dados junto da Emailage aqui.

Caso se detetem tentativas de fraude ou exista suspeita de operações fraudulentas, os dados mencionados serão utilizados para bloquear de forma preventiva a operação dos produtos ou serviços que tenha contratado, bem como, se aplicável, para cancelar a relação de negócio com o cliente.

Tenha em conta que, uma vez que estamos obrigados ao cumprimento da normativa de prevenção do branqueamento de capitais e do financiamento do terrorismo, utilizaremos a informação pertinente, detalhada na presente secção, com a finalidade de prevenir o branqueamento de capitais e o financiamento do terrorismo e de tomar as oportunas medidas do dever de diligência e de informação, de acordo com a citada normativa. Tudo isto devido ao facto de, para poder cumprir com a mesma, termos de analisar e ter presente qualquer conduta complexa, inusual ou sem um propósito económico lícito à parte ou que possa apresentar indícios de um possível delito contra o património ou a ordem socioeconómica, como sejam a burla e a fraude em geral.

Os fundamentos legítimos para este tratamento de dados são:

- O nosso interesse legítimo é prevenir fraudes tanto em clientes novos como existentes (considerando o art.º 47 do RGPD e o relatório jurídico 195/2017 da Autoridad Española de Protección de Datos (Autoridade Espanhola de Proteção de Dados, AEPD) e para evitar prejuízos aos nossos clientes.

- Obrigação legal: cumprimento de outras obrigações legais. Em particular, o Openbank levará a cabo este tratamento em conformidade com a Decisão (UE) 2016/456 do Banco Central Europeu de 4 de março de 2016 relativa aos termos e condições que regem os inquéritos a efetuar pelo Organismo Europeu de Luta Antifraude no Banco Central Europeu em matéria de luta contra a fraude, a corrupção e todas as atividades ilegais lesivas dos interesses financeiros das Comunidades (BCE/2016/3) (reformulação) (JOUE de 30 de março de 2016) e a Lei espanhola 10/2010, de 28 de abril, sobre prevenção do branqueamento de capitais e do financiamento do terrorismo.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; dados sobre as suas caraterísticas pessoais; dados sobre transações de bens e serviços; dados sobre o seu emprego; dados sobre navegação na Internet e sobre o dispositivo utilizado; e dados do dispositivo que nos permitam identificar padrões de utilização do mesmo.

4.5.5. Recuperação e pagamento de dívidas

No Openbank, gerimos a cobrança de dívidas que eventualmente contraia connosco com o objetivo de solucionar os não pagamentos que possam ocorrer, bem como de evita inconvenientes para si e o pagamento de juros e despesas adicionais, entrando em contacto consigo através dos diferentes canais de contacto da entidade (correio postal, telefone, SMS, aplicações de mensagens instantâneas, correio eletrónico, push Web, janela de pop-up ou qualquer outro meio eletrónico ou telemático disponível em cada momento). Reservamo-nos o direito de lhe remeter as mencionadas comunicações de maneira certificada ou com aviso de receção.

Para tais efeitos, trataremos os seus dados, entre outros, para as seguintes finalidades:

- Dar-lhe a conhecer a existência do não pagamento, bem como obter a resolução do mesmo e de qualquer gestão antecipada da cobrança ou trasladar a gestão da cobrança da dívida para uma entidade especializada.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de caráter identificativo e dados económicos, financeiros e de seguros.

4.5.6. Desenvolver e criar modelos de risco e comportamento

Para o Openbank, é importante conhecer e entender as necessidades dos clientes relativamente aos diferentes produtos e serviços financeiros e bancários, bem como solvência patrimonial e padrões de comportamento e os hábitos de consumo dos nossos clientes ativos. Nalguns casos, levaremos a cabo procedimentos de pseudonimização e/ou anonimização dos seus dados pessoais, que utilizaremos com o objetivo de desenvolver, treinar e testar algoritmos que nos permitam construir diversos modelos de comportamento e risco que, posteriormente, utilizaremos para levar a cabo atividades de elaboração de perfis sobre clientes. Tenha em conta que estabelecemos as medidas adequadas para garantir que os dados anonimizados não possam ser rastreados até aos titulares dos mesmos.

Assim, durante a fase de desenvolvimento, segregamos a informação na nossa infraestrutura para que qualquer dado considerado pessoal seja eliminado das nossas bases de dados, o que nos permitirá analisar as tendências dos titulares dos dados como população geral, sem fazê-lo de forma personalizada. Por exemplo, podemos analisar se os nossos clientes estão interessados em geral em produtos de investimento ou querem fazer donativos para uma causa específica, de forma que possamos desenvolver produtos e serviços que se ajustem aos interesses de toda a nossa clientela.

Particularmente, para desenvolver e treinar os nossos modelos de comportamento e risco, utilizamos dados pessoais e financeiros pseudonimizados e/ou anonimizados procedentes de fontes próprias e externas, tais como:

- Informação que temos sobre si derivada da documentação que nos disponibiliza e da sua relação contratual connosco (como, por exemplo, as suas transações).

- Informação que conste nas bases de dados do Openbank relativamente à sua conduta nas operações que leve a cabo connosco.

- Informação sobre a utilização e as características do seu dispositivo, recolhida através de cookies técnicos.

- Cookies de terceiros para o desenvolvimento e a melhoria de produtos que utilizam informação sobre o seu dispositivo e o tipo de navegação que utiliza, caso nos tenha dado o seu consentimento para a sua utilização no nosso site.

Embora os seus dados pessoais sejam utilizados para criar, treinar e testar os modelos de comportamento e risco, este tratamento, unicamente relacionado com o desenvolvimento e o treino e o teste, não terá consequências jurídicas individuais sobre si.

Posteriormente, e noutros tratamentos dos seus dados pessoais explicados em secções anteriores da presente Política, poderemos utilizar tais modelos de comportamento e risco para contrastar a base de dados dos nossos clientes com os mesmos, para elaborar perfis sobre os nossos clientes, tanto para efeitos de marketing (envio de publicidade), como para analisar e avaliar o seu nível de risco e a sua propensão para contratar algum dos nossos produtos, bem como para a sua autorização, para detetar e prever possíveis tentativas de fraude e para a prevenção do branqueamento de capitais e o financiamento do terrorismo.

Adicionalmente, em função do modelo de comportamento e risco que utilizemos, poderemos empregar fontes internas e/ou externas em função de se já é um cliente existente do Openbank. O motivo pelo qual o nível de elaboração de perfil é distinto em função de se é ou não um cliente existente do Openbank deve-se ao facto de, se já for cliente, já termos informação sobre si derivada da relação contratual que nos permite prever o seu risco de incumprimento sem consultar fontes externas.

Além disso, gostaríamos de o informar que, no Openbank, temos um modelo de controlo que garante a qualidade da informação dos algoritmos utilizados para a elaboração dos nossos modelos de comportamento e risco.

O fundamento legítimo para este tratamento de dados é:

- O nosso interesse legítimo em desenvolver, criar e oferecer produtos e serviços financeiros inovadores e eficientes aos nossos clientes com base nos diferentes modelos de comportamento e risco criados pelos nossos algoritmos. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: a sua voz; dados económicos, financeiros e de seguros; dados sobre transações de bens e serviços; informações sobre solvência patrimonial obtida de fontes externas; e outros metadados, tais como dados sobre o seu dispositivo ao se conectar.

4.5.7. Análises estatísticas

De igual modo, com a finalidade de conhecer e entender as necessidades dos nossos clientes, bem como os seus hábitos de consumo, levaremos a cabo uma série de análises estatísticas para melhorar:

- Os nossos produtos e serviços.

- Os nossos modelos analíticos.

- Os nossos procedimentos e as nossas operações.

- O seguimento e a análise da carteira de clientes e potenciais clientes do Openbank.

Com as finalidades mencionadas, efetuaremos procedimentos de pseudonimização e/ou anonimização dos seus dados pessoais, utilizando informação pessoal e económica pseudonimizada e/ou anonimizada de fontes internas, tais como:

- Informação que temos sobre si derivada da documentação que nos disponibilizou e da sua relação contratual connosco.

- Informação existente nos ficheiros do Openbank sobre o seu comportamento em operações subscritas connosco.

- Informação sobre a interação com as comunicações que realizamos.

Este tratamento, vinculado exclusivamente com levar a cabo a mencionada análise estatística, não terá nenhuma consequência jurídica individualizada sobre si e a informação gerada em nenhum momento incluirá dados pessoais identificativos.

O fundamento legítimo para este tratamento de dados é:

- O nosso interesse legítimo em elaborar, criar e oferecer produtos e serviços financeiros inovadores e eficientes para os nossos clientes com base na análise estatística levada a cabo. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados económicos, financeiros e de seguros; dados sobre transações de bens e serviços; informações sobre solvência patrimonial obtida de fontes externas; e outros metadados, tais como dados sobre o seu dispositivo ao se conectar.

4.5.8. Criação, treino de modelos e utilização de inteligência artificial

Podemos utilizar determinados dados pessoais para criar e treinar modelos de inteligência artificial (IA), bem como para executá-los com o objetivo de criar ou melhorar soluções que otimizem os nossos procedimentos internos e melhorem os serviços que oferecemos aos nossos clientes.

Durante a fase de criação e treino de tais modelos, na medida do possível, anonimizaremos ou pseudonimizaremos os dados pessoais dos nossos clientes, em cujo caso não se produzirão efeitos jurídicos nem impactos significativos semelhantes nos clientes.

O Openbank implementou mecanismos de controlo sólidos para garantir a qualidade, relevância e integridade dos dados utilizados nos algoritmos que apoiam tais modelos.

Uma vez desenvolvido um modelo final e decidamos implementá-lo, é mais provável que utilizemos dados pessoais, o que pode incluir o tratamento de categorias especiais de dados pessoais. Se o procedimento tiver um impacto nos nossos clientes, disponibilizaremos a informação adequada e transparente em conformidade com a normativa de proteção de dados aplicável.

Para além de utilizarmos modelos de desenvolvimento próprio, também poderemos utilizar tecnologia OCR, sistemas de IA desenvolvidos por terceiros ou qualquer outra nova tecnologia. No Openbank, defendemos a disponibilização aos nossos clientes de procedimentos eficientes e serviços adequados e, portanto, nalguns casos colocaremos à sua disposição sistemas baseados em novas tecnologias como a IA. Se interagirmos consigo através de um sistema baseado em IA ou destes sistemas, informar-lhe-emos previamente de tal circunstância e, quando o consideremos necessário, disponibilizar-lhe-emos outras alternativas.

Os fundamentos legítimos para este tratamento de dados são:

- Interesse legítimo. O nosso interesse legítimo em desenvolver, criar e executar os modelos, bem como utilizar sistemas com IA com o objetivo de oferecer produtos e serviços financeiros inovadores e eficientes aos nossos clientes, em conformidade com o art.º 6.1 f) do RGPD. O Openbank aplica os critérios correspondentes de proporcionalidade e necessidade quando o tratamento tem um maior impacto na privacidade dos titulares.

- Interesse legítimo. O nosso interesse legítimo em aplicar técnicas de anonimização ou pseudonimização para a criação, o treino e a execução de modelos nos casos em que seja possível, de forma a reduzir o impacto na privacidade dos titulares, em conformidade com o art.º 6.1 f) do RGPD.

- Correta execução do contrato. A execução das nossas obrigações contratuais quando seja estritamente necessário para a execução do contrato, em conformidade com o art.º 6.1 b) do RGPD.

- Consentimento. O consentimento quando se trate de categorias especiais de dados pessoais para treinar ou executar o modelo, em conformidade com o art.º 9.2 a) do RGPD.

- Consentimento. Adicionalmente, poderemos solicitar o consentimento para tratar os seus dados pessoais quando seja necessário devido ao impacto que o modelo possa ter na privacidade dos clientes, em conformidade com o art.º 6.1 a) do RGPD.

As categorias de dados pessoais que o Openbank tratará para levar a cabo a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; dados económicos, financeiros e de seguros; dados sobre transações de bens e serviços; informação sobre solvência financeira; metadados, como os procedentes do seu dispositivo ao conectar-se; e qualquer outra informação que seja devidamente comunicada em cada caso. Além disso, poder-se-ão tratar categorias especiais de dados pessoais.

4.5.9. Análise e resolução de incidências

Adicionalmente, tratamos os seus dados pessoais para gerir qualquer incidência que possa ocorrer ao utilizar o site ou a App e os diferentes serviços e produtos do Openbank, o que engloba tanto a sua deteção como a gestão e resolução da mesma.

O fundamento legítimo para este tratamento de dados é:

- O nosso interesse legítimo na deteção e resolução de incidências para prestar um serviço adequado. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo e dados económicos, financeiros e de seguros, bem como o seu endereço de IP.

4.5.10. Gravar a sua voz e/ou imagem e conversas eletrónicas consigo

Ao longo da sua relação contratual com o Openbank, poderemos gravar a sua voz, a sua imagem e as conversas eletrónicas que mantenhamos consigo relacionadas com operações e consultas com base no seu prévio consentimento explícito. Nestes casos, sobre os quais será prévia e explicitamente informado, armazenaremos as conversas telefónicas e/ou eletrónicas para as seguintes finalidades:

- Auditar de forma interna a qualidade do serviço;

- Utilizar a gravação como prova das instruções recebidas e/ou do serviço prestado, tanto judicial como extrajudicialmente, quando necessário; e

- Elaborar e treinar modelos.

Os fundamentos legítimos para este tratamento de dados são:

- O seu consentimento prévio e informado para que o Openbank grave a sua voz e o nosso interesse legítimo em armazenar as conversas eletrónicas que gravámos para: (i) poder rever a qualidade dos nossos serviços e, assim, melhorá-los e torná-los mais eficientes; e (ii) responder a requerimentos de informação por parte das autoridades competentes ou utilizar as gravações como prova perante um tribunal.

- O nosso interesse legítimo em elaborar, criar e oferecer produtos e serviços financeiros inovadores e eficientes aos nossos clientes com base nos diferentes modelos de comportamento e risco criados pelos nossos algoritmos.

- Poderá solicitar a oposição a estes tratamentos baseados no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo (incluindo a sua voz e imagem); dados económicos, financeiros e de seguros; e dados e informações necessários para auditar a qualidade dos nossos serviços.

4.5.11. Envio de comunicações relacionadas com os seus produtos e serviços e outros alertas

Trataremos os seus dados pessoais para lhe enviar notificações por correio postal, correio eletrónico, push Web, SMS, pela aplicação e/ou pelo site do Openbank com as seguintes finalidades:

- Notificar-lhe determinadas circunstâncias que tenham lugar relativamente aos produtos e serviços do Openbank que tenha adquirido ou utilizado ou à relação que mantém connosco (por exemplo, notificações de operações rejeitadas). De tal forma que, por exemplo, se for titular de um dos nossos cartões, poderemos enviar-lhe notificações de cada vez que os utilize, por motivos de segurança, para que possa rever as suas despesas e receber uma notificação caso uma compra seja recusada.

- Para lhe enviar notificações de prevenção de fraude financeira, alertas de segurança e/ou notificações de controlo de despesas quando: (i) utilize qualquer um dos produtos que tenha contratados, como no caso de um cartão de débito; (ii) faça uso de algum dos nossos serviços; ou (iii) quando se conecte a partir de um novo dispositivo.

- Caso já não seja cliente do Openbank, também trataremos os dados necessários para lhe enviar comunicações a que estejamos obrigados legalmente, como, por exemplo, para colocar à sua disposição informação fiscal obrigatória.

Pode ativar/desativar algumas das notificações de acordo com as suas preferências e inclusive configurá-las ao personalizar as configurações na secção “Notificações” do menu principal da aplicação ou em “Notificações” na sua Área de cliente no nosso site.

Os fundamentos legítimos para este tratamento de dados são:

- Correta execução do contrato. Poderemos enviar-lhe notificações relativas às transações que tenha realizado sobre os produtos e serviços que tenha contratado ou solicitado.

- O nosso interesse legítimo em enviar-lhe notificações, cuja finalidade é combater a fraude financeira, bem como alertas de segurança quando esteja a utilizar algum dos produtos que contratou connosco. Este tratamento não é oponível por ocorrência em simultâneo de motivos imperiosos para tal fim.

- Obrigação legal de colocar à sua disposição uma série de documentos ou informação durante o período correspondente, inclusive após finalizada a relação connosco, por exemplo, o Real Decreto-Lei espanhol 19/2018, de 23 de novembro, relativo a serviços de pagamento e outras medidas urgentes em matéria financeira.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de caráter identificativo; e dados económicos, financeiros e de seguros.

4.5.12. Questionários de qualidade e satisfação e estudos de mercado

O Openbank tratará os dados pessoais relacionados com a utilização dos produtos e serviços que tenha contratados com a seguinte finalidade:

- Efetuar questionários de qualidade e satisfação dos clientes (através de correio eletrónico, SMS, telefone ou outros canais de comunicação), estudos de mercado ou estatísticas internas, bem como para elaborar relatórios comerciais que permitam conhecer melhor os hábitos de consumo dos nossos clientes com o objetivo de avaliar internamente a elaboração, criação e melhoria de novos produtos que possam ser de interesse para os nossos clientes ou para celebrar acordos comerciais com terceiros. Caso seja possível, anonimizaremos os seus dados pessoais para levar a cabo os nossos questionários e estudos de mercado.

- No âmbito das anteriores atividades, entre outros, levaremos a cabo questionários de satisfação de acordo com a metodologia Net Promoter Score (NPS), com o objetivo de identificar se os nossos clientes recomendariam os produtos do Openbank, para cujos efeitos os seus dados pessoais poderão ser cedidos ao terceiro que gira o questionário.

O fundamento legítimo para este tratamento de dados é:

- O nosso interesse legítimo em utilizar os dados obtidos através dos questionários, estudos de mercado, estatísticas internas ou relatórios comerciais para melhorar os nossos produtos e a prestação dos serviços aos clientes. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; dados económicos, financeiros e de seguros; e dados de navegação.

4.5.13. Resposta a reclamações legais, requerimentos de organismos competentes e salvaguardas de direitos legais por parte do Openbank

Trataremos os dados pessoais necessários com a finalidade de:

- Atender-lhe a si ou as pessoas que ajam em seu nome no exercício de direitos que lhe correspondam.

- Gerir e dar resposta a requerimentos das autoridades e dos organismos competentes (tanto judiciais como extrajudiciais), como, por exemplo, requerimentos de informação no decorrer de investigações judiciais.

- Formular e exercer a nossa própria defesa perante reclamações, judiciais ou extrajudiciais, iniciadas pelo Openbank ou por si.

Os fundamentos legítimos para este tratamento de dados são:

- Obrigação legal. Mais concretamente, as diferentes obrigações de responder aos requerimentos das autoridades competentes, resolver as reclamações dos titulares no cumprimento do previsto na normativa vigente sobre resolução de litígios e no cumprimento da normativa que regulamenta a transparência das operações bancárias e a proteção da clientela, bem como a própria normativa de proteção de dados pessoais, entre outras.

- O nosso interesse legítimo em responder às diferentes reclamações legais, administrativas ou judiciais, fazer frente às mesmas e exercer as ações legais que estimemos, bem como para nos defendermos das que possam ser direcionadas à sociedade, tudo isto em virtude do direito à ação. Este tratamento não é oponível por ocorrência em simultâneo de motivos imperiosos para tal fim.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; dados económicos, financeiros e de seguros; dados que sejam necessários para poder resolver a reclamação apresentada ou responder ao requerimento da autoridade competente.

4.5.14. Respostas aos seus pedidos de informação em redes sociais

Quando utilizar os nossos canais em redes sociais, como Facebook, Twitter ou Instagram, entre outros, para nos pedir informação ou efetuar uma consulta, trataremos os seus dados pessoais através de ferramentas especializadas com a finalidade de:

- Agilizar e otimizar as respostas às suas consultas formuladas através das correspondentes redes sociais. Tenha em conta que, ao utilizar os nossos canais de redes sociais, o tratamento dos seus dados pessoais também estará sujeito ao estabelecido na política de privacidade da correspondente rede social através da qual solicite informação ou efetue uma consulta.

- Igualmente, analisaremos as interações (comentários ou publicações) relacionadas com o Openbank que leve a cabo nas diferentes redes sociais para, assim, determinar internamente que melhorias se podem implementar nas nossas operações e nos produtos e serviços que oferecemos aos nossos clientes. Assim, caso um número elevado de clientes se queixe em redes sociais de, por exemplo, um passo concreto do processo de abertura de conta, teremos em conta tais queixas para melhorar os problemas manifestados pelos utilizadores nas redes sociais; ou, caso muitos clientes tenham gostado de uma promoção e assim o tenham manifestado em redes sociais, tê-lo-emos em conta para ponderar voltar a publicar tal promoção após algum tempo.

O fundamento legítimo para este tratamento de dados é:

- O nosso interesse legítimo em poder atender devidamente e da forma mais ágil e ideal as consultas que os nossos clientes nos façam através de redes sociais, bem como oferecer procedimentos eficazes e simples e produtos adaptados às expetativas e necessidades dos nossos clientes. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de caráter identificativo.

4.5.15. Auditorias e verificação de cumprimento

Trataremos os seus dados com a finalidade de:

- Executar, se aplicável, os controlos de verificação de cumprimento das obrigações legais e normas pertinentes, bem como levar a cabo as diferentes auditorias aplicáveis.

Os fundamentos legítimos para este tratamento de dados são:

- Obrigação legal: cumprimento de obrigações legais, como a realização de auditorias de contas.

- O nosso interesse legítimo em verificar a adequação dos nossos procedimentos, para efeitos de cumprir com as obrigações legais e normas de qualidade interna para a identificação, o controlo e a mitigação de riscos legais ou operacionais. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

Tenha em conta que os terceiros que prestam o serviço de auditoria podem aceder a esta informação para estes fins.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: todos os dados pessoais aos quais tenha acesso.

4.5.16. Elaboração e treino de um modelo de aprendizagem automática (machine learning) para validar documentos de identificação

Com o objetivo de evitar a abertura de contas à ordem de forma irregular, o Openbank está a trabalhar na elaboração e treino de um algoritmo próprio para analisar e estudar os documentos de identificação dos nossos clientes e, assim, detetar padrões comuns que nos permitirão identificar documentos falsificados (atualmente, para verificar a validade do seu documento de identificação, recorremos ao software de um terceiro).

Em particular, para elaborar e treinar o referido modelo aplicaremos os dados pessoais que aparecem nos documentos de identificação de clientes ativos do Openbank com idade igual ou superior a 18 anos.

A lógica aplicada para tais efeitos consistirá na captura e no processamento da imagem do documento de identificação para efetuar uma análise de reconhecimento do mesmo e, posteriormente, proceder à sua validação.

De momento, este tratamento estará exclusivamente vinculado às mencionadas atividades de elaboração e treino do modelo e não terá qualquer consequência jurídica individualizada sobre os clientes afetados. Após concluído o modelo e tomada a decisão de utilizá-lo nos nossos procedimentos de abertura de conta, informar-lhe-emos adequadamente sobre tal, seguindo o previsto na normativa de proteção de dados.

Além disso, gostaríamos de o informar que, no Openbank, temos um modelo de controlo que garante a qualidade da informação dos algoritmos utilizados para a elaboração dos nossos modelos de machine learning. Adicionalmente, neste caso concreto levar-se-á a cabo uma segunda comprovação que implicará a intervenção de um ser humano que será quem tomará a decisão final sobre a validade ou não do documento de identificação. Consequentemente, trataremos os seus dados com a seguinte finalidade:

- Elaborar e treinar o referido modelo de aprendizagem automática para a validação de documentos de identificação.

O fundamento legítimo para este tratamento de dados é:

- O nosso interesse legítimo em elaborar um modelo de comportamento através dos nossos algoritmos que nos permita detetar falsos positivos e falsos negativos na validação dos documentos de identificação dos clientes e, assim, evitar a abertura de contas à ordem de forma irregular e o consequente risco em matéria de prevenção de branqueamento de capitais ou de financiamento do terrorismo. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo.

4.5.17. Autenticação reforçada de cliente através de dados biométricos

Como prestador de serviços de pagamento, somos obrigados a aplicar procedimentos de autenticação reforçada de cliente (sigla inglesa “SCA”) com o objetivo de comprovar a sua identidade ou a validade do instrumento de pagamento que esteja a utilizar e, assim, fortalecer a segurança no mercado dos pagamentos.

Concretamente, a autenticação reforçada exige que, quando lhe prestemos determinados serviços, devamos utilizar, no mínimo, dois dados diferentes, conhecidos como fatores de autenticação. Tais fatores dividem-se em três grupos: conhecimento (algo que sabe), posse (algo que tem) e inerência (algo que é).

O terceiro destes elementos, a inerência, é a verificação biométrica que se efetua através de parâmetros físicos como, por exemplo, a impressão digital ou o reconhecimento facial.

Caso possua um telemóvel com identificação por impressão digital ou reconhecimento facial, poderá registá-lo para os efeitos anteriormente mencionados como “dispositivo de confiança” a partir da App Openbank e, consequentemente, trataremos os seus dados biométricos com a mencionada finalidade.

Os fundamentos legítimos para este tratamento de dados são:

- O seu consentimento prévio e informado para o tratamento de dados biométricos. Tenha em conta que, se mudar de opinião, poderá retirar o consentimento que nos tenha dado de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

- Obrigação legal. Concretamente, Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho de 25 de novembro de 2015 relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.º 1093/2010, e que revoga a Diretiva 2007/64/CE, transposta em Espanha através do Real Decreto-Lei espanhol 19/2018, de 23 de novembro, sobre serviços de pagamento e outras medidas urgentes em matéria financeira.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo, incluindo dados biométricos.

4.5.18. Acesso ao dispositivo

Ao utilizar a App Openbank ou efetuar determinadas gestões através de algum dispositivo eletrónico, para além dos tratamentos explicados, também utilizaremos os dados pessoais que nos disponibilize com outras finalidades.

Assim, nalguns procedimentos terá a possibilidade de nos autorizar a aceder à câmara do seu dispositivo ou aos seus ficheiros. Por exemplo, quando lhe peçamos o seu documento de identificação, poderá disponibilizar-nos o mesmo ao dar-nos acesso à sua câmara para poder fotografá-lo.

Adicionalmente, se o autorizar, poderá aceder à sua Área de cliente na aplicação, verificando a sua identidade, através de sistemas de reconhecimento biométrico como a sua impressão digital.

O fundamento legítimo para este tratamento de dados é:

- O seu consentimento prévio e informado. Tenha em conta que, se mudar de opinião, poderá retirar o consentimento que nos tenha dado de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo e qualquer outro dado que nos possa disponibilizar através destes meios.

4.5.19. Custódia de documentação e comunicações

Trataremos os seus dados pessoais para custodiar os documentos e as trocas de informação necessárias para estabelecer ou manter a relação contratual, para lhe prestar os correspondentes serviços e para qualquer gestão que nos solicite, neste caso inclusive se não for nosso cliente. Por exemplo, por obrigação, legal, custodiaremos o contrato que assine connosco durante o período correspondente.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato. Aplicação, a seu pedido, de medidas pré-contratuais e execução e cumprimento das nossas obrigações contratuais relativamente ao produto que contrate com o Openbank.

- Obrigação legal. Concretamente, o Openbank levará a cabo este tratamento para cumprir com as obrigações legais aplicáveis às entidades bancárias, entre outras.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo e dados económicos, financeiros e de seguros.

4.5.20. Testamentos, assembleia de credores e validação final de procurações

Tanto se for cliente do Openbank como se não o for, trataremos os seus dados pessoais com as seguintes finalidades:

- Poder tramitar os testamentos no Openbank (gerir a emissão do certificado de posições e do pedido de mudança de titularidade das posições por sucessão).

- Poder adotar as medidas necessárias caso um cliente esteja numa situação de assembleia de credores.

- Poder validar os documentos de procurações que nos tenha remetido e gerir o pedido que acompanhem.

O fundamento legítimo para este tratamento de dados é:

- Correta execução do contrato. Poder efetuar os trâmites que nos solicite.

- O nosso interesse legítimo em conhecer a situação financeira do cliente e poder adotar as medidas oportunas. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo e dados económicos, financeiros e de seguros.

4.5.21. Prevenção e deteção de abuso de mercado

O Openbank, no cumprimento do Regulamento (UE) n.º 596/2014 do Parlamento Europeu e do Conselho de 16 de abril de 2014 relativo ao abuso de mercado (Regulamento sobre abuso de mercado), tratará os dados dos clientes que sejam necessários para detetar e notificar à autoridade competente as ordens e operações suspeitas de constituir uma operação com informação privilegiada ou uma manipulação de mercado ou uma tentativa de operar com informação privilegiada ou de manipular o mercado.

O fundamento legítimo deste tratamento de dados é:

- Obrigação legal. Concretamente, o Openbank levará a cabo este tratamento para cumprir com as obrigações legais aplicáveis ao sistema financeiro e, em particular, com o Regulamento (UE) n.º 596/2014 do Parlamento Europeu e do Conselho de 16 de abril de 2014 relativo ao abuso de mercado.

As categorias de dados pessoais que o Openbank tratará para levar a cabo as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; dados económicos, financeiros e de seguros; e dados sobre transações de bens e serviços.

4.5.22. Canal Aberto

O Openbank, no cumprimento da Lei espanhola 2/2023, de 20 de fevereiro, reguladora da proteção das pessoas informadoras de infrações normativas e de luta contra a corrupção, tratará os dados pessoais das pessoas informadoras, dos denunciantes e de terceiros que possam ser afetados pelas denúncias das quais o Openbank tenha conhecimento através do canal interno de denúncias com as seguintes finalidades:

- Analisar e gerir internamente as denúncias recebidas.

- Levar a cabo, quando aplicável, a correspondente investigação sobre a denúncia apresentada.

- Manter o contacto com o informador, o denunciado e os terceiros afetados quando tenham relevância no procedimento.

- Eventual remissão para as autoridades competentes quando aplicável.

O fundamento legítimo para estes tratamentos é:

- Obrigação legal. Em concreto o Openbank levará a cabo este tratamento para cumprir com a obrigação legal recolhida na Lei espanhola 2/2023, de 20 de fevereiro, reguladora da proteção das pessoas informadoras de infrações normativas e de luta contra a corrupção.

As categorias de dados pessoais que o Openbank tratará para levar a cabo as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo; dados económicos, financeiros e de seguros; dados sobre transações de bens e serviços; qualquer outro dado incluído na descrição da comunicação ou que se averigue como consequência da investigação ou do procedimento iniciado, podendo incluir dados especialmente protegidos como sejam os dados de saúde.

4.6. Envio de comunicações comerciais

Na presente secção, proporcionamos informação sobre o alcance, a finalidade e o fundamento legítimo dos diferentes tratamentos que efetuaremos dos seus dados pessoais em função das diferentes comunicações comerciais que lhe poderemos enviar a partir do Openbank. Não obstante, tenha em conta que em qualquer momento poderá exercer os seus direitos em matéria de proteção de dados, previstos na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?” relativamente a tais tratamentos e, em particular, o direito de oposição e/ou de retirar o seu consentimento. Adicionalmente, de forma a não o incomodar e a cumprir sempre com o estabelecido na lei, com carácter prévio ao tratamento dos seus dados para fins de marketing por correio postal ou chamadas telefónicas, consultaremos as bases de dados de exclusão publicitária para comprovar que não está incluído numa delas, nos casos em que tal consulta esteja legalmente prevista.

4.6.1. Envio de comunicações comerciais sobre o Openbank e os seus produtos e serviços e dos relacionados com o objeto do seu contrato ou sobre vantagens associadas aos mesmos, com base em perfis elaborados com dados de fontes internas (marketing direto) (decisão automatizada)

Após a contratação dos nossos serviços ou produtos, os seus dados pessoais serão utilizados para lhe enviar mensagens comerciais dos nossos próprios produtos e serviços, incluindo os que já tenha contratado (por exemplo, poderemos enviar-lhe um e-mail do Openbank sobre um novo cartão de débito virtual). Estas comunicações comerciais poder-se-ão efetuar por meios automatizados e não automatizados (correio postal, telefone, SMS, aplicações de mensagens instantâneas, correio eletrónico, push Web, janelas de pop-up ou qualquer outro meio eletrónico ou telemático facilmente disponível) e serão personalizadas com informação que se extrairá das nossas fontes internas e com base nas quais elaboraremos perfis gerados a partir dos seus padrões de comportamento.

O objetivo que perseguimos com a elaboração de tais perfis é poder efetuar uma análise relacionada com as suas caraterísticas económicas e pessoais, somente com base na consulta de informação de fontes internas, com o objetivo de determinar quais são os produtos e serviços próprios e relacionados com a contratação que melhor se adaptam à sua situação em função da sua predisposição para contratar o produto.

A elaboração do perfil será o resultado de uma decisão automatizada na qual se aplicará a seguinte lógica: trataremos a informação que nos disponibilize para determinar o seu comportamento de pagamento, o(s) segmento(s) de cliente ao(s) qual(is) pertence — de acordo com os nossos critérios internos de classificação — e o cumprimento periódico das suas obrigações contratuais. Esta atividade pode levar-nos a tomar a decisão de não lhe oferecer determinados produtos ou serviços em função do risco estimado pela entidade e da qualificação resultante da análise da informação obtida.

Adicionalmente, trataremos os seus dados pessoais para analisar o seu comportamento relativamente ao impacto e sucesso das nossas campanhas comerciais.

Este tratamento de dados será levado a cabo durante a vigência da sua relação contratual com o Openbank, exceto se nos indicar o contrário através do exercício do seu direito de oposição.

Adicionalmente, como este tratamento é levado a cabo com base na tomada de uma decisão automatizada, tem direito a solicitar uma explicação sobre a decisão tomada, a exercer o seu direito a não ser objeto de decisões exclusivamente automatizadas, solicitando a intervenção de um dos nossos analistas, a expressar o seu ponto de vista sobre a decisão tomada com base na elaboração de perfis e a contestá-la. Para tal, poderá proporcionar a documentação adicional que considere necessária.

O fundamento legítimo para este tratamento de dados é:

- O nosso interesse legítimo em promover e lhe oferecer os nossos produtos e serviços através do envio de comunicações gerais ou adaptadas às suas caraterísticas pessoais, em Portugal, nos termos do parágrafo 3, alínea a) do art.º 13 da Lei n.º 41/2004, de 18 de agosto. O interesse preponderante do Openbank para levar a cabo este tratamento de dados é manter a nossa relação consigo através da contratação de novos produtos e da melhoria das condições dos produtos e/ou serviços que tenha contratados e oferecer-lhe informação sobre o Openbank e os seus produtos que possam ser do seu interesse. Consideramos que os tratamentos de dados pessoais anteriormente mencionados não representam um impedimento para o normal exercício dos seus direitos e liberdades, sendo prática habitual no setor empresarial, pelo que entendemos que a receção deste tipo de comunicações não ficará aquém das suas expetativas. Adicionalmente, comprometemo-nos a utilizar os meios menos prejudiciais para levar a cabo tais atividades de tratamento de dados. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo e dados económicos, financeiros e de seguros.

4.6.2. Envio de comunicações comerciais sobre produtos e serviços do Openbank com base em informação obtida e perfis elaborados com fontes internas e externas (decisão automatizada)

Sempre que nos tenha dado previamente o seu consentimento expresso, o Openbank poderá enviar-lhe comunicações comerciais personalizadas sobre os seus próprios produtos e serviços (por exemplo, poderemos enviar-lhe um e-mail do Openbank sobre um novo depósito) durante a vigência da nossa relação contratual. Estas comunicações comerciais poder-se-ão realizar de forma automatizada e não automatizada (por correio postal, telefone, SMS, aplicações de mensagens instantâneas, correio eletrónico, push Web, janelas de pop-up ou outros meios eletrónicos ou telemáticos facilmente disponíveis) e terão em conta a análise do seu perfil comercial de cliente.

A finalidade que perseguimos com a elaboração destes perfis é poder realizar uma análise das suas caraterísticas económicas e pessoais com o objetivo de determinar quais são os produtos comercializados pela nossa entidade que melhor se adaptam à sua situação em função da sua predisposição para contratar o produto.

Este perfil é criado a partir da análise do seu comportamento e padrões de risco, bem como da informação obtida de fontes externas (bases de dados de deteção de dados fraudulentos, ver secção “3. Que dados pessoais tratamos no Openbank e como os obtemos?” da presente Política.

A elaboração do perfil será o resultado de uma decisão automatizada na qual se aplicará a seguinte lógica: trataremos a informação que nos disponibilize para determinar o seu comportamento de pagamento, o(s) segmento(s) de cliente ao(s) qual(is) pertence — de acordo com os nossos critérios internos de classificação — e o cumprimento periódico das suas obrigações contratuais. Esta atividade pode levar-nos a tomar a decisão de não lhe oferecer determinados produtos ou serviços em função do risco que estimemos e da qualificação resultante da análise da informação obtida.

É importante que entenda que este tratamento de dados se limita à finalidade mencionada, isto é, sugerir-lhe produtos e serviços do Openbank com base em dados obtidos de fontes internas e externas.

Adicionalmente, como este tratamento é levado a cabo com base na tomada de uma decisão automatizada, tem direito a solicitar uma explicação sobre a decisão tomada, a exercer o seu direito a não ser objeto de decisões exclusivamente automatizadas, solicitando a intervenção de um dos nossos analistas, a expressar o seu ponto de vista sobre a decisão tomada com base na elaboração de perfis e a contestá-la. Para tal, poderá proporcionar a documentação adicional que considere necessária.

O fundamento legítimo para este tratamento de dados é:

- O seu consentimento prévio e informado para enviar as comunicações comerciais anteriormente descritas.

- O seu consentimento prévio e informado para utilizar a informação obtida a partir do Agregador Financeiro Openbanking para lhe remeter as comunicações comerciais anteriormente descritas.

Tenha em conta que, se mudar de opinião, poderá retirar os consentimentos que nos tenha dado de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo e dados económicos, financeiros e de seguros.

4.6.3. Envio de comunicações comerciais sobre produtos e serviços de terceiros com base em perfis elaborados com dados de fontes internas e externas (decisão automatizada)

Sempre que nos tenha dado previamente o seu consentimento expresso, o Openbank poderá enviar-lhe comunicações comerciais personalizadas sobre produtos e serviços de terceiros (por exemplo, poderemos enviar-lhe um e-mail do Openbank sobre descontos em produtos de terceiros) durante a vigência da nossa relação contratual. Estas comunicações comerciais poderão ser enviadas por meios automatizados e não automatizados (por correio postal, telefone, SMS, aplicações de mensagens instantâneas, correio eletrónico, push Web, janelas de pop-up ou outros meios eletrónicos ou telemáticos facilmente disponíveis) e terão em conta a análise do seu perfil comercial de cliente.

Relativamente às empresas de terceiros sobre cujos produtos e serviços lhe enviamos comunicações comerciais, tenha em conta que estas instituições desenvolvem a sua atividade individual nos seguintes setores, embora sem se limitarem aos mesmos: finanças, seguros, lazer e turismo, entretenimento, telecomunicações, sociedade da informação, comércio retalhista, artigos de luxo, saúde, alimentação, indústria automóvel, hotelaria, grandes armazéns e energia, entre outros.

A finalidade que perseguimos com a elaboração destes perfis é poder realizar uma análise das suas caraterísticas económicas e pessoais com o objetivo de determinar quais os produtos comercializados por tais empresas terceiras que melhor se adaptam à sua situação em função da sua predisposição para contratar o produto.

Este perfil criar-se-á a partir da análise dos seus padrões de comportamento e risco, bem como da informação extraída de fontes externas indicada na secção “3. Que dados pessoais tratamos no Openbank e como os obtemos?” da presente Política. Assim, por exemplo, se a informação que tivermos sobre si mostrar que tem interesse por produtos tecnológicos, poderíamos enviar-lhe comunicações comerciais sobre produtos oferecidos por empresas deste setor.

A elaboração do perfil será o resultado de uma decisão automatizada na qual se aplicará a seguinte lógica: trataremos a informação que nos disponibilize e a extraída de fontes externas para determinar o seu comportamento de pagamento, o(s) segmento(s) de cliente ao(s) qual(is) pertence — de acordo com os nossos critérios internos de classificação — e o cumprimento periódico das suas obrigações contratuais. Esta atividade pode levar-nos a tomar a decisão de não lhe oferecer determinados produtos ou serviços de terceiros em função do risco que estimemos e da qualificação resultante da análise da informação obtida.

É importante que entenda que este tratamento de dados se limita à finalidade anteriormente mencionada, isto é, sugerir-lhe produtos e serviços de terceiros.

Adicionalmente, como este tratamento é levado a cabo com base na tomada de uma decisão automatizada, tem direito a solicitar uma explicação sobre a decisão tomada, a exercer o seu direito a não ser objeto de decisões exclusivamente automatizadas, solicitando a intervenção de um dos nossos analistas, a expressar o seu ponto de vista sobre a decisão tomada com base na elaboração de perfis e a contestá-la. Para tal, poderá proporcionar a documentação adicional que considere necessária.

O fundamento legítimo deste tratamento de dados é:

- O seu consentimento prévio e informado para enviar as comunicações comerciais anteriormente descritas.

- O seu consentimento prévio e informado para utilizar a informação obtida a partir do Agregador Financeiro Openbanking para lhe remeter as comunicações comerciais anteriormente descritas.

Tenha em conta que, se mudar de opinião, poderá retirar os consentimentos que nos tenha dado de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com as finalidades anteriormente descritas são as seguintes: dados de carácter identificativo e dados económicos, financeiros e de seguros.

4.6.4. Publicidade personalizada no site privado do Openbank

Ao aceder à sua Área de cliente no nosso site, mostrar-lhe-emos anúncios sobre funcionalidades, produtos e serviços que pensamos que podem ser do seu interesse em função dos produtos que tenha contratado. Se quiser, pode opor-se a receber este tipo de publicidade personalizada, seguindo as indicações da secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”, embora tenha em conta que continuará a receber avisos genéricos que não serão baseados nos seus interesses ou nas suas preferências, como, por exemplo, mensagens que são acesso à contratação de um produto de forma mais simples e, em função das suas escolhas de privacidade, também poderá receber outro tipo de publicidade.

O fundamento legítimo deste tratamento de dados é:

- O nosso interesse legítimo em enviar comunicações comerciais e disponibilizar informação sobe os produtos e/ou serviços do Openbank aos nossos clientes, semelhantes aos que contrataram, uma vez que é mais provável que os contratem, em Portugal, nos termos do parágrafo 3, alínea a) do art.º 13 da Lei n.º 41/2004, de 18 de agosto. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo e dados económicos, financeiros e de seguros.

4.6.5. Envio de informação sobre produtos e serviços do seu interesse através das redes sociais

Se estiver registado nalguma rede social, trataremos os seus dados pessoais para a seguinte finalidade:

- Mostrar-lhe promoções especificamente dirigidas a si sobre produtos/serviços do Openbank semelhantes aos que já contratou connosco e que possam ser do seu interesse.

Para levar a cabo estas promoções, utilizamos ferramentas que as empresas de redes sociais desenvolveram especificamente para este fim (por exemplo, Facebook Custom Audiences).

As empresas de redes sociais informar-lhe-ão, nas suas próprias políticas de privacidade, sobre como tratam os seus dados utilizando estas ferramentas. Relativamente a estes tratamentos, teremos, juntamente com a rede social, a consideração de responsáveis conjuntos pelo tratamento ou responsáveis separados, em função do caso.

Ao utilizar estas ferramentas, o Openbank efetuará segmentações de acordo com os interesses dos utilizadores e, portanto, se for utilizador de uma rede social e estiver classificado na audiência que selecionamos, poderá receber publicidade do Openbank. Tenha em conta que, nestes casos, o Openbank somente efetua a segmentação de audiência, mas não tem acesso aos utilizadores finais impactados, pelo que, para se opor a receber estas comunicações, deverá dirigir-se à rede social que lhe faça chegar a comunicação.

Os fundamentos legítimos para este tratamento de dados são:

- O nosso interesse legítimo em enviar mensagens comerciais por diversos meios sobre os produtos e/ou serviços do Openbank, em Portugal, nos termos do parágrafo 3, alínea a) do art.º 13 da Lei n.º 41/2004, de 18 de agosto. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

- Não obstante o anterior, quando devido à utilização das diferentes ferramentas que as redes sociais desenvolveram se leve a cabo uma elaboração exaustiva de um perfil da sua pessoa, validaremos que a ferramenta tenha solicitado o consentimento prévio e expresso aos utilizadores para levar a cabo o tratamento aqui descrito e poder enviar-lhe informação sobre produtos e serviços do seu interesse.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; e dados económicos, financeiros e de seguros.

4.7. Sorteios e promoções e assistência a eventos

Independentemente de ser ou não cliente do Openbank, trataremos os seus dados quando participe nos sorteios e promoções que organizemos, com as seguintes finalidades:

- Gerir a sua participação nos mesmos (incluindo a comprovação do cumprimento dos requisitos para participar no sorteio/promoção e, se aplicável, comunicar-lhe e entregar-lhe o prémio caso seja vencedor).

- Também poderemos tratar os dados para o cumprimento das nossas obrigações legais caso seja vencedor e devamos levar a cabo uma retenção fiscal sobre o prémio. Os dados serão comunicados exclusivamente à AEAT por motivos de tributação.

Os fundamentos legítimos para este tratamento de dados são:

- Correta execução do contrato: cumprimento das nossas obrigações contratuais adquiridas para consigo quando aceita os termos e condições para participar nas correspondentes promoções/sorteios.

- Obrigação legal: concretamente, o cumprimento das nossas obrigações fiscais.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo.

4.8. Classificações e avaliações sobre os nossos produtos e serviços

Independentemente de ser ou não cliente do Openbank, trataremos os seus dados quando faça uma classificação ou avaliação dos nossos produtos e serviços em sites públicos ou através das plataformas disponíveis para tal e se identifique ou nos disponibilize diretamente os seus dados de carácter pessoal para lhe poder dar resposta e ter em conta a sua contribuição para futuras melhorias.

O fundamento legítimo para este tratamento de dados é:

- O nosso interesse legítimo em responder às avaliações e utilizar as mesmas para aplicar as alterações pertinentes. Poderá solicitar a oposição a este tratamento baseado no nosso interesse legítimo de acordo com o disposto na secção “7. Que direitos tem relativamente ao tratamento dos seus dados pessoais?”.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; e dados que disponibilize através da avaliação ou análise.

4.9. Tratamento de dados de terceiros intervenientes

4.9.1. Empresários individuais, representantes de pessoas singulares ou coletivas, autorizados ou intervenientes

Se for um representante de uma pessoa singular, autorizado ou interveniente, trataremos os seus dados para as seguintes finalidades, se e quando aplicáveis:

- A manutenção e a gestão da relação pré-contratual e contratual que nos une ao nosso cliente ou à pessoa interessada em contratar os nossos produtos e serviços.

- Comunicarmo-nos com o nosso cliente.

- Verificar os seus poderes e faculdades de representação.

Os fundamentos legítimos para estes tratamentos de dados são os seguintes:

- Correta execução do contrato com a pessoa singular da qual é representante ou autorizado.

- Obrigação legal: concretamente, verificar a sua capacidade de representação da pessoa que representa e a vigência do cargo que ostenta, bem como cumprir com as nossas obrigações de identificação formal em virtude da Lei espanhola 10/2010, de 28 de abril, sobre Prevenção do Branqueamento de Capitais e do Financiamento do Terrorismo.

Para além dos tratamentos anteriormente mencionados, específicos derivados da sua condição de representante autorizado ou interveniente, também trataremos os seus dados para as seguintes finalidades de acordo com o descrito na secção “4.5. Tratamentos de dados pessoais dos nossos clientes levados a cabo independentemente do produto Openbank contratado”.

- Prevenção do branqueamento de capitais e do financiamento do terrorismo.

- Deteção e prevenção de possíveis tentativas de fraude.

- Elaboração e treino de modelos de risco e comportamento.

- Análises estatísticas.

- Resposta às suas reclamações legais e salvaguarda de direitos legais - por parte do Openbank.

- Auditorias e verificação de cumprimento.

As categorias de dados pessoais que o Openbank tratará para cumprir com a finalidade anteriormente descrita são as seguintes: dados de carácter identificativo; dados sobre as suas caraterísticas pessoais; dados académicos e profissionais; dados sobre informação comercial. No caso de empresários individuais e representantes de pessoas coletivas, trataremos os seus dados de contacto, bem como os relativos ao cargo que desempenha e, em geral, os necessários para a sua localização profissional.

5. DURANTE QUANTO TEMPO CONSERVAREMOS OS SEUS DADOS PESSOAIS NO OPENBANK?

Conservaremos os seus dados pessoais no Openbank enquanto forem necessários para a finalidade para a qual foram reunidos e, posteriormente, mantê-los-emos bloqueados durante os períodos de conservação ou prazos de prescrição legalmente previstos. Decorridos — se aplicável — tais períodos, procederemos à destruição ou completa anonimização dos dados.

O bloqueio implica que o Openbank não leve a cabo nenhum tratamento de dados distinto da conservação dos mesmos para a disponibilização às Administrações Públicas competentes, Juízes ou Tribunais ou Ministério das Finanças, para atender as possíveis responsabilidades derivadas da relação contratual mantida consigo ou das relacionadas com o tratamento dos dados.

Concretamente, se for cliente, trataremos os seus dados durante todo o período de vigência da sua relação contratual connosco. Após concluída a referida relação contratual, regra geral, manteremos os seus dados pessoais bloqueados. Tenha em conta que algumas ações previstas pela normativa de consumo, como a ação de cessação ou a de declaração de nulidade, são imprescritíveis.

No caso dos pedidos que leve a cabo, mas que não terminem numa contratação, conservaremos os dados durante o tempo que estimemos razoável para evitar duplicidades nas suas gestões e para o caso de ser necessário fazer frente a alguma reclamação pela utilização que tenhamos feito dos seus dados. Em seguida, procederemos a suprimir os dados.

6. COM QUEM PARTILHAMOS OS SEUS DADOS?

O Openbank poderá comunicar os seus dados pessoais aos seguintes destinatários com base nos nossos interesses legítimos, nas obrigações legais que devamos cumprir e/ou nos produtos que tenha contratado:

- Comunicaremos os seus dados pessoais a autoridades públicas, organismos oficiais ou entidades de supervisão e controlo bancário e autoridades fiscais competentes que assim o requeiram para efeitos de cumprir com a regulamentação que, em cada momento, seja aplicável ao sector bancário e financeiro, a normativa de prevenção de branqueamento de capitais e financiamento do terrorismo e a legislação em matéria de proteção dos consumidores.

- Partilharemos os seus dados com entidades do Grupo Santander (no sentido do Art.º 42 do Código de Comércio espanhol) para o cumprimento da sua normativa interna sobre prevenção de crime financeiro, das suas obrigações legais de prevenção do branqueamento de capitais, da notificação regulamentar às autoridades supervisoras ou para o envio de comunicações comerciais.

- Partilharemos os seus dados com as entidades do ordenante da transferência na prestação do Serviço de Garantia da Verificação do Beneficiário ao qual o ordenante tenha a intenção de enviar uma transferência, tal como descrito na presente Política.

- Ao contratar ou utilizar determinados produtos ou serviços (como sejam, entre outros, ETF ou transferências solidárias), comunicaremos os seus dados a terceiros colaboradores para a correta prestação do serviço (isto é, entidades gestoras ou, se aplicável, para a emissão do certificado anual de donativos, à ONG correspondente, respetivamente).

- Partilharemos os seus dados com a Emailage Limited para detetar e prevenir possíveis tentativas de fraude, cumprindo e respeitando os procedimentos, os direitos e as garantias que, em cada momento, sejam estabelecidos e lhe sejam reconhecidos pela legislação vigente.

- De igual forma, o Openbank conta com a colaboração de terceiros prestadores de serviços que podem ter acesso aos seus dados pessoais, mas que tratarão os mesmos em nosso nome e por nossa conta na qualidade de responsáveis pelo tratamento, seguindo sempre as nossas instruções e sempre para nos prestarem os serviços que, se aplicável, possamos ter contratado com os mesmos. Particularmente, o Openbank utiliza os serviços de terceiros que desenvolvem as suas atividades, entre outros, nos seguintes âmbitos: serviços logísticos, serviços jurídicos, empresas de serviços profissionais multidisciplinares, empresas de hosting, empresas de manutenção, prestadores de serviços tecnológicos, prestadores de serviços informáticos, empresas de segurança física, prestadores de serviços de mensagens instantâneas, empresas de gestão e manutenção de infraestruturas, empresas de serviços de call centers e empresas de controlo. Em qualquer caso, no Openbank seguimos critérios estritos de seleção de terceiros prestadores de serviços com o objetivo de dar cumprimento às nossas obrigações em matéria de proteção de dados e comprometemo-nos a subscrever com eles o correspondente contrato de tratamento de dados através do qual lhes imporemos, entre outras, as seguintes obrigações: aplicar medidas técnicas e organizacionais apropriadas, tratar os dados pessoais para as finalidades acordadas e seguindo unicamente as nossas instruções documentadas e apagar ou devolver os dados após concluída a prestação dos serviços.

- Somente efetuamos transferências internacionais de dados no âmbito de algumas das mencionadas prestações de serviços por parte de terceiros prestadores. Poderá encontrar mais detalhes sobre as mesmas na secção “11. Transferências internacionais de dados”.

7. QUE DIREITOS TEM RELATIVAMENTE AO TRATAMENTO DOS SEUS DADOS PESSOAIS?

Informamos-lhe que tem e pode exercer os seguintes direitos:

Direito de acesso: tem o direito de obter a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento no Openbank e, se for esse o caso, o direito de aceder aos mesmos.

- Direito de portabilidade dos dados: tem o direito de receber os dados pessoais que nos tenha fornecido num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento.

- Direito de retificação: Tem o direito de obter a retificação dos dados pessoais inexatos que lhe digam respeito.

- Direito ao apagamento dos dados: tem o direito de obter o apagamento dos seus dados pessoais, quando, entre outros, os dados deixem de ser necessários para a finalidade que motivou a sua recolha ou tratamento.

- Direito de oposição: em determinadas situações, tem o direito de se opor ao tratamento dos dados pessoais que lhe digam respeito (por exemplo, opor-se a que possamos responder aos pedidos que nos envie através de redes sociais). Em tal caso, o Openbank cessará imediatamente tal tratamento de dados, em conformidade com a normativa aplicável.

- Direito à limitação do tratamento: em determinadas situações, em função do estabelecido na normativa aplicável em matéria de proteção de dados, tem o direito de obter a limitação do tratamento.

- Direito a retirar o seu consentimento: pode retirar o seu consentimento em qualquer momento. A remoção do consentimento não afeta a licitude do tratamento efetuado com base no consentimento previamente dado.

- Direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado: caso tenha autorizado a elaboração de perfis e esta seja levada a cabo na íntegra por um procedimento automatizado, tem direito a obter intervenção humana por parte de um dos nossos analistas, manifestar o seu ponto de vista e contestar a decisão baseada em tais perfis. Para tal, poderá disponibilizar a documentação adicional que considere necessária.

Pode exercer os direitos anteriores através dos seguintes canais:

- Site: secção “Informações pessoais” do seu perfil de cliente
- Correio eletrónico: privacidade@openbank.com
- Correio postal: Open Bank, S.A., Av. de Cantabria, s/n, 28660 Boadilla del Monte – Madrid (Espanha)
- Agência: Paseo de la Castellana, 134, 28046 Madrid (Espanha)
- Telefone: (+351) 800 785 168. Se ligar a partir do estrangeiro: (+34) 911 773 395

Também pode apresentar uma reclamação ao Openbank e/ou à Autoridade Espanhola de Proteção de Dados (enquanto autoridade de controlo responsável pela proteção de dados), em particular se não estiver satisfeito com o exercício dos seus direitos, escrevendo para a morada acima indicada, no caso do Openbank, ou para a morada C/ Jorge Juan, 6, 28001 Madrid (Espanha) ou através do site https://www.aepd.es/, no caso da Autoridade Espanhola de Proteção de Dados. Se viver num Estado-Membro que não Espanha, também pode contactar diretamente a autoridade de controlo em matéria de proteção de dados do seu país.

8. DEVE MANTER OS SEUS DADOS PESSOAIS ATUALIZADOS?

Para nos podermos comunicar consigo devidamente, bem como para que lhe possamos prestar corretamente os serviços contratados, compromete-se a que todos os dados que nos disponibilize sejam corretos, completos e exatos e estejam devidamente atualizados, assumindo qualquer responsabilidade que possa ocorrer devido ao facto de nos ter disponibilizado dados incorretos, erróneos ou inexatos.

Assim, se mudar algum dos dados pessoais que nos tenha disponibilizado, particularmente a sua morada, o seu endereço de e-mail e os seus números de telefone/telemóvel, pedimos-lhe que nos lo comunique assim que possível ao ligar para o (+351) 800 785 168 ou (+34) 911 773 395 (se ligar do estrangeiro), ao atualizar sem demora os seus dados na secção “Informações pessoais” no seu perfil do Openbank ou ao enviar-nos um correio eletrónico para o endereço privacidade@openbank.com. Nalguns casos, é possível que necessitemos pedir-lhe documentos ou comprovativos adicionais.

Caso não nos informe sobre estas possíveis alterações, assume que se deverão dar por válidas, vinculantes e plenamente eficazes as comunicações que lhe tenhamos enviado para a sua morada ou o seu endereço de correio eletrónico, bem como para os números de telefone que constem nos nossos ficheiros.

9. UTILIZAÇÃO DE COOKIES E RASTREADORES

No Openbank, utilizamos cookies e rastreadores para, por exemplo, recordar quem é quando acede à sua Área de cliente ou para personalizar conteúdos do seu interesse em função dos seus hábitos de navegação.

Quando visite o site ou aceda à aplicação do Openbank, informar-lhe-emos sobre as cookies ou tecnologias semelhantes que utilizamos. Poderá configurar as cookies analíticas, de publicidade comportamental, de personalização e para o desenvolvimento e a melhoria de produtos que utilizamos ao navegar pelo Openbank ou ao utilizar a nossa App. Pode consultar a nossa Política de Cookies do site ou a Política de Cookies da App para obter mais informação.

10. ADESÃO A CÓDIGOS DE CONDUTA

O Openbank aderiu ao Código de Conduta de Proteção de Dados na Atividade Publicitária da Associação para a Autorregulação da Comunicação Comercial (doravante, “AUTOCONTROL”) espanhola, acreditado pela Agência Espanhola de Proteção de Dados e, como tal, está vinculado ao seu sistema extrajudicial de tramitação de reclamações quando relacionadas com a proteção de dados e a publicidade, disponível para os titulares dos dados aqui. Tenha em conta que o idioma da mediação é o castelhano e, em casos excecionais, o inglês.

11. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

Tal como se explica ao longo da presente Política, o Openbank poderá comunicar determinados dados a terceiras entidades e, em determinados casos, tal implicará a realização de transferências internacionais dos seus dados.

Tais transferências são efetuadas tanto para países que oferecem um nível de proteção adequado, equiparável ao da União Europeia, como para países que não usufruem do referido nível. Neste último caso, não tem de se preocupar: no Openbank, utilizamos diversos mecanismos previstos na normativa para poder cumprir com todas as garantias quando tratemos os seus dados pessoais, como cláusulas contratuais tipo ou mecanismos de certificação.

Poderá consultar as transferências internacionais de dados que levamos a cabo, seja de maneira direta ou através de subcontratação de alguns dos nossos fornecedores, aqui ou ao enviar um e-mail para o endereço privacidade@openbank.com.

12. ALTERAÇÕES A ESTA POLÍTICA DE PRIVACIDADE

No Openbank, comprometemo-nos a manter a presente Política de Privacidade atualizada para poder reunir qualquer novidade que possa surgir relativamente ao âmbito do tratamento que efetuemos dos seus dados pessoais. Por este motivo, é importante que dedique regularmente algum tempo a ler o presente documento e a garantir que o compreende. Informá-lo-emos previamente sobre qualquer possível modificação que tenhamos de introduzir, no mínimo, através do nosso site e/ou da nossa App e através de uma mensagem personalizada que enviaremos para a área privada do seu perfil de cliente e para o seu endereço de e-mail pessoal para que tenha a oportunidade de se manter devidamente informado em qualquer momento.

Se pretender, pode descarregar a presente Política de Privacidade.

Também pode descarregar a versão anterior da nossa Política de Privacidade.