Decreto Presidencial n.º 275/20 de 21 de outubro

Detalhes

• Diploma: Decreto Presidencial n.º 275/20 de 21 de outubro
• Entidade Legisladora: Presidente da República
• Publicação: Diário da República Iª Série n.º 168 de 21 de Outubro de 2020 (Pág. 5229)

Assunto

Aprova o Regulamento da Actividade das Centrais Privadas de Informação de Crédito.

Conteúdo do Diploma

Considerando que o alinhamento das políticas emanadas pelo Executivo, respaldadas no Plano de Desenvolvimento Nacional de Angola 2018-2022, que nas suas acções prioritárias para melhoria do ambiente de negócios e concorrência, recomenda a tomada de medidas para melhorar o acesso ao crédito, como sejam, a criação de centrais privadas de informação de crédito: Atendendo que a modernização do sistema de gestão de informação sobre o risco de crédito é fundamental para contribuir para o aumento da inclusão financeira, a concessão de crédito de forma responsável e sustentável, bem como a mitigação do risco sistémico e a promoção da estabilidade financeira: Considerando que as instituições que fazem a gestão da informação de crédito jogam um papel preponderante na promoção da eficiência e estabilidade do mercado de crédito:

• Tendo em conta as disposições do n.º 2 do artigo 16.º e nas alíneas b), f) e h) do artigo 44.º da Lei n.º 22/11, de 17 de Junho, da Protecção de Dados Pessoais, bem como o disposto nas alíneas
• a) e k) do n.º 1 do artigo 5.º do Decreto Presidencial n.º 214/16, de 10 de Outubro, que aprova o Estatuto Orgânico da Agência Angolana de Protecção de Dados; O Presidente da República decreta, nos termos da alínea l) do artigo 120.º e do n.º 3 do artigo 125.º, ambos da Constituição da República de Angola, o seguinte:

Artigo 1.º (Aprovação)

É aprovado o Regulamento da Actividade das Centrais Privadas de Informação de Crédito, anexo ao presente Decreto Presidencial, de que é parte integrante.

Artigo 2.º (Dúvidas e Omissões)

As dúvidas e omissões resultantes da interpretação e aplicação do presente Diploma são resolvidas pelo Presidente da República.

Artigo 3.º (Entrada em Vigor)

O presente Decreto Presidencial entra em vigor na data da sua publicação. Apreciado em Conselho de Ministros, em Luanda, aos 26 de Agosto de 2020.

• Publique-se. Luanda, aos 13 de Outubro de 2020. O Presidente da República, JOÃO MANUEL GONÇALVES LOURENÇO.

REGULAMENTO DA ACTTV1DADE DAS CENTRAIS PRIVADAS DE INFORMAÇÃO DE CRÉDITO

CAPÍTULO I DISPOSIÇÕES GERAIS

Artigo 1.º (Objecto)

O presente Regulamento estabelece os termos e condições de autorização, organização e funcionamento das Centrais Privadas de Informação de Crédito, abreviadamente designadas por «CPIC».

Artigo 2.º (Natureza)

As Centrais Privadas de Informação de Crédito são entidades que, constituídas sob a forma de sociedades anónimas, se responsabilizam pela recolha, armazenamento e gestão de informações sobre o cumprimento e incumprimento de obrigações creditícias por pessoas colectivas ou singulares, e pela elaboração dos respectivos históricos.

Artigo 3.º (Regime Jurídico)

As Centrais de Informação de Crédito regem-se pelas normas do presente Diploma e, subsidiariamente, pela Lei das Sociedades Comerciais, pela Lei da Protecção de Dados Pessoais e pela Lei de Protecção das Redes e Sistemas Informáticos.

Artigo 4.º (Definições)

Para efeitos do presente Regulamento, entende-se por:

• a)- «Assinante», pessoa definida nos termos do presente Regulamento como elegível para aceder a relatórios das Centrais Privadas de Informação de Crédito;
• b)- «Base de Dados», conjunto de informações devidamente administradas pelas Centrais Privadas de Informação de Crédito, independentemente, da modalidade ou forma da sua produção, organização, armazenamento, sistematização e acesso, com vista ao seu tratamento e disponibilização a terceiros autorizados;
• c)- «Central Privada de Informação de Crédito», empresa devidamente constituída nos termos da Lei das Sociedades Comerciais e autorizada pela Agência de Protecção de Dados a exercer as actividades estabelecidas no artigo 16.º do presente Regulamento;
• d)- «Cliente», pessoa singular ou colectiva que no âmbito do presente Regulamento se encontra contratualmente vinculada a uma ou mais instituições financeiras que desenvolvem operações de crédito ou outras entidades que vendem bens ou serviços com pagamento a prestações;
• e)- «Cadastrado», pessoa que pode ser identificada, directa ou indirectamente, nomeadamente por referência pessoal ou pelo nome de empresa, data de nascimento ou data de estabelecimento, endereço, identificação ou NIF, ou outros factores específicos de identificação ou de comportamento do cliente;
• f)- «Função de Gestão Relevante», função cujos responsáveis não integrem os órgãos de administração ou fiscalização, que exerçam influência significativa na gestão corrente da instituição, nos termos da presente lei e regulamentação específica;
• g)- «Informações de Cliente», informações de crédito, de pagamento, relativas a um cliente, incluindo todos os dados sobre a sua identificação;
• h)- «Informações de Crédito», informações relativas ao crédito contratado, garantido ou avalizado por um cliente em instituições financeiras, nomeadamente, o limite do crédito, tipologia de crédito, plano financeiro, periodicidade do pagamento e data de vencimento;
• i)- «Informações de Pagamento», declarações factuais sobre o comportamento de pagamento relativo a um crédito concedido ou uma conta aberta para o fornecimento de bens ou serviços ao longo de um período de tempo;
• j)- «Informações de Pagamentos a Prestações», todas as informações relativas aos contratos celebrados com entidades que vendem bens ou serviços a prestações, garantidos ou avalizados por um cliente, nomeadamente, plano financeiro, periodicidade do pagamento e data de vencimento;
• k)- «Informações Negativas», informações relativas ao incumprimento das obrigações contratuais financeiras do cliente;
• l)- «Informações Positivas», informações relativas ao cumprimento das obrigações contratuais financeiras do cliente;
• m)- «Informações Públicas», quaisquer informações sobre um cliente registadas em bases de dados de entidades públicas que tenham sido categorizadas como sendo de acesso público;
• n)- «Notação», sistema automatizado de avaliação de um cliente com base em procedimentos estatísticos que usa o comportamento passado ou classificação do cliente com o objectivo de prever o comportamento de reembolso;
• o)- «Obrigações Contratuais Financeiras», obrigações de pagamento assumidas ao abrigo de um contrato de crédito por assinatura ou por desembolso, de uma garantia ou aval prestado, ou ao abrigo da aquisição de bens ou serviços com pagamento diferido;
• p)- «Pagamentos Diferidos (a prestações)», contraprestação pecuniária efectuada, em parcelas ou na totalidade, em data posterior à aquisição de bens ou serviços a que diz respeito;
• q)- «Provedor de Dados», pessoa que, de forma regular, envia informações sobre clientes e o respectivo histórico de crédito ou pagamentos deferidos para a central privada de informação de crédito, nos termos de um acordo de submissão de dados;
• r)- «Relatório de Central Privada de Informação de Crédito», comunicação escrita ou electrónica feita pelas Centrais Privadas de Informação de Crédito que contenha o histórico do cumprimento ou incumprimento de obrigações do cliente.

Artigo 5.º (Requisitos para a Constituição)

1. As Centrais Privadas de Informação de Crédito devem satisfazer os seguintes requisitos:
   • a)- Adoptar a forma de sociedade anónima, nos termos previstos na Lei das Sociedades Comerciais;
   • b)- Ter a sua sede na República de Angola;
   • c)- Ter por objecto exclusivo o exercício de actividades definidas no artigo 16.º do presente Regulamento;
   • d)- Ter capital social integralmente subscrito e realizado, não inferior ao legal mente exigido;
   • e)- Ter o capital social representado obrigatoriamente por acções nominativas.
2. As Centrais Privadas de Informação de Crédito não devem ser participadas directa ou indirectamente, em mais de 20% do seu capital social por um provedor de dados, individualmente considerado, ou em mais de 49% do seu capital social por provedores de dados globalmente considerados, não podendo adquirir participações nestas entidades.

Artigo 6.º (Competências da Agência de Protecção de Dados)

À Agência de Protecção de Dados compete o seguinte:

• a)- Conceder às sociedades comerciais autorização para o exercício da actividade de CPIC, com o parecer do Banco Nacional de Angola quando naquelas haja participação de alguma instituição financeira;
• b)- Suspender e revogar as autorizações das Centrais Privadas de Informação de Crédito;
• c)- Definir directrizes para a organização e o funcionamento das Centrais Privadas de Informação de Crédito;
• d)- Definir e manter padrões mínimos de conduta e práticas aceitáveis de reporte da informação sobre os contratos de crédito e pagamentos;
• e)- Fiscalizar a actividade das Centrais Privadas de Informação de Crédito;
• f)- Zelar pela observância das normas que disciplinam a actividade das Centrais Privadas de Informação de Crédito;
• g)- Emitir recomendações, orientações e instruções, cujo cumprimento se reveste de natureza obrigatória;
• h)- Tomar medidas para proteger os interesses dos clientes;
• i)- Exigir a apresentação de relatórios e outras informações;
• j)- Proceder a inspecções;
• k)- Desempenhar outras funções que julgar necessário para o correcto funcionamento das Centrais Privadas de Informação de Crédito;
• l)- Aplicar as sanções previstas no presente Diploma;
• m)- Estabelecer o regime de fixação de remunerações, comissões e outros encargos aplicáveis aos serviços prestados pelas Centrais Privadas de Informação de Crédito.

CAPÍTULO II PROCESSO DE AUTORIZAÇÃO

Artigo 7.º (Instrução do Pedido)

1. O pedido de autorização da CPIC é entregue à Agência de Protecção de Dados, instruído com os seguintes documentos:
   • a)- Formulário definido pela Agência de Protecção de Dados;
   • b)- Fotocópia de documentos de identificação dos subscritores do pedido, atestando os poderes de representação da sociedade comercial;
   • c)- Estatuto e certidão comercial da sociedade, relação das sociedades em cujo capital detenha participações e demonstração de resultados auditados dos últimos 3 (três) anos ou, caso estejam em exercício a menos tempo, do período que estiveram em actividade;
   • d)- Documentos comprovativos da proveniência dos fundos utilizados na constituição da Central Privada de Informação de Crédito, nos termos da Lei n.º 5/20, de 27 de Janeiro, de Prevenção e Combate ao Branqueamento de Capitais, do Financiamento do Terrorismo e da Proliferação de Armas de Destruição em Massa;
   • e)- Identificação e informação detalhada sobre os membros dos órgãos de administração e fiscalização nomeados ou a nomear;
   • f)- Plano de negócio, contendo no mínimo os seguintes elementos:
     • i. Resumo das principais características do negócio, produtos e serviços a serem fornecidos e expectativas dos investidores;
     • ii. Descrição dos sistemas tecnológicos e do modelo de recolha, tratamento e divulgação da informação de crédito;
     • iii. Análise do mercado, com identificação do público-alvo e de fornecedores;
     • iv. Plano financeiro, com descrição do investimento projectado e indicadores de viabilidade e rentabilidade;
     • v. Modelo de governação corporativa;
     • vi. Mecanismos de segurança e de controlo interno, plano de contingência, código de conduta.
2. Para além dos elementos referidos no número anterior pode a Agência de Protecção de Dados, uma vez iniciada a análise do pedido solicitar que sejam apresentados outros elementos que entender necessários para uma adequada apreciação.
3. Para efeitos de apreciação do pedido de autorização é devido o pagamento de uma taxa à Agência de Protecção de Dados, cujo montante é definido em diploma conjunto com o Departamento Ministerial responsável pela Área das Finanças.

Artigo 8.º (Decisão de Autorização)

1. A decisão sobre o pedido de autorização deve ser tomada no prazo de 90 (noventa) dias a contar da data de recepção do pedido devidamente instruído.
2. Em caso de instrução deficiente do pedido, que se traduza na falta de certos elementos, ou da necessidade de informações complementares, a Agência de Protecção de Dados notifica os requerentes, concedendo-lhes um prazo, até ao máximo de 30 (trinta) dias para suprir a deficiência ou fornecer a informação em falta.
3. Nos casos referidos no número anterior, a contagem do prazo para a tomada de decisão fica suspensa.
4. A Agência de Protecção de Dados deve notificar por escrito o requerente da decisão tomada e, em caso de indeferimento, indicar as razões da recusa.

Artigo 9.º (Caducidade da Autorização)

1. A autorização caduca se os requerentes a ela expressamente renunciarem, se a instituição for dissolvida, ou se não iniciar a actividade no prazo de 6 (seis) meses a contar da data da referida autorização.
2. Em circunstâncias excepcionais, mediante o requerimento da instituição, devidamente fundamentado, pode a Agência de Protecção de Dados, prorrogar por uma única vez, até 6 (seis) meses, o prazo de início da actividade.

Artigo 10.º (Revogação e Suspensão da Autorização)

1. A autorização da Central Privada de Informação de Crédito pode ser revogada com os seguintes fundamentos, além de outros legalmente previstos:
   • a)- Ter sido obtida por meio de falsas declarações ou outros expedientes ilícitos, independentemente das sanções penais que ao caso couberem;
   • b)- Deixar de se verificar algum dos requisitos estabelecidos no presente Regulamento;
   • c)- A actividade da instituição não corresponder ao objecto estatutário autorizado;
   • d)- A instituição cessar a sua actividade;
   • e)- Verificar-se a violação do dever de segredo, nos termos do no n.º 3 do presente artigo;
   • f)- Se a instituição violar as leis e regulamentos que regulam a sua actividade ou não observar as determinações da Agência de Protecção de Dados.
2. A revogação da autorização implica a dissolução e liquidação da instituição.
3. Considera-se violação do dever do segredo a disponibilização de informações de clientes a entidades não assinantes, não cobertas pelas excepções previstas no presente Regulamento.
4. Para os casos previstos na alínea f) do n.º 1 do presente artigo, a Agência de Protecção de Dados pode, em função do grau de gravidade, decidir pela suspensão da autorização por um determinado período que permita a regularização das situações de incumprimento.
5. A Agência de Protecção de Dados deve comunicar a revogação ou a suspensão da autorização ao Banco Nacional de Angola, aos assinantes, provedores de dados e outras instituições interessadas.

Artigo 11.º (Registo Especial dos Membros dos Órgãos Sociais)

1. Os membros dos órgãos de administração e fiscalização, bem como os titulares de cargos de gestão relevante das Centrais Privadas de Informação de Crédito, estão sujeitos a registo especial junto da Agência de Protecção de Dados.
2. Para efeitos do disposto no número anterior, os membros dos órgãos de administração, fiscalização e os titulares de cargos de gestão devem reunir os requisitos de idoneidade e qualificação profissional que dêem garantias de gestão sã e prudente, tendo em vista, de modo particular, a segurança das informações que lhes forem confiadas.
3. Na apreciação da idoneidade, deve ter-se em conta o modo como a pessoa gere habitualmente os negócios ou exerce a profissão, em especial nos aspectos que revelem incapacidade para decidir de forma ponderada ou criteriosa ou tendência para não cumprir pontualmente as suas obrigações ou ter comportamento incompatíveis com a preservação da confiança do mercado.
4. Considera-se indicador de falta de idoneidade, entre outras situações atendíveis, o facto de, a pessoa ter sido, no País, ou no estrangeiro:
   • a)- Responsabilizada pela infracção das regras de sigilo profissional;
   • b)- Declarada, por sentença nacional ou estrangeira, falida ou insolvente ou responsável pela falência ou insolvência da empresa por ela dominada ou de que ela tenha sido administradora, directora ou gerente;
   • c)- Condenada por crimes de falsificação, furto, burla, defraudação, extorsão, abuso de confiança e outros crimes de natureza económica;
   • d)- Administradora, directora, ou gerente da empresa cuja falência ou insolvência tenha sido prevenida, suspensa ou evitada por terceiros, desde que seja reconhecida pelas autoridades competentes a sua responsabilidade por essa situação;
   • e)- Condenada pela prática de infracções das regras legais ou regulamentares que regem a actividade das Centrais Privadas de Informação de Crédito, instituições financeiras, seguradoras, e o mercado de valores mobiliários, quando a gravidade ou reincidências dessas infracções justifiquem.
5. Presume-se existir qualificação adequada quando a pessoa em causa tenha anteriormente exercido funções relacionadas com as matérias objecto de tratamento nas Centrais Privadas de Informação de Crédito.
6. Se, por qualquer motivo, os membros dos órgãos de gestão e fiscalização deixarem de reunir os requisitos legais ou estatutários inerentes às Centrais Privadas de Informação de Créditos, a Agência de Protecção de Dados fixa um prazo para sanar a referida falta e não sendo sanada é revogada a autorização.
7. O disposto no presente Regulamento quanto aos membros dos órgãos de gestão e fiscalização aplica-se, com as necessárias adaptações aos membros de outros órgãos e cargos relevantes de gestão das Centrais Privadas de Informação de Crédito.

Artigo 12.º (Acumulação de Cargos e Funções)

Os membros do órgão de administração e de fiscalização das Centrais Privadas de Informação de Crédito não podem, cumulativamente, exercer cargos de gestão ou desempenhar quaisquer funções em entidades que sejam assinantes ou provedores de dados.

Artigo 13.º (Alterações Estatutárias em Geral)

As alterações aos estatutos das Centrais Privadas de Informação de Crédito estão sujeitas à prévia autorização da Agência de Protecção de Crédito.

Artigo 14.º (Dissolução Voluntária)

Qualquer projecto de dissolução de uma Central Privada de Informação de Crédito deve ser comunicado à Agência de Protecção de Dados com a antecedência mínima de 90 (noventa) dias em relação à data da sua efectivação.

Artigo 15.º (Fusão e Cisão)

À fusão e à cisão das Centrais Privadas de Informação de Crédito aplica-se o regime previsto na Lei das Sociedades Comerciais.

CAPÍTULO III ACTIVIDADE

Artigo 16.º (Actividades da Central Privada de Informação de Crédito)

1. As Centrais Privadas de Informação de Crédito podem exercer as seguintes actividades:
   • a)- Recolha, armazenamento e gestão de informações positivas ou negativas de clientes, de informações judiciais que resultem de acções executivas e declarativas de falência e insolvência e de informações sobre actos de protesto de títulos de crédito;
   • b)- Classificação de risco de crédito;
   • c)- Produção de estatísticas relativas à informação dos tomadores de créditos;
   • d)- Disponibilização de informações referidas nas alíneas anteriores, nos termos do presente Regulamento;
   • e)- Venda de literatura especializada, soluções informáticas e outros materiais relacionados com as suas actividades;
   • f)- Disseminação de informação que auxilie a análise de riscos de crédito;
   • g)- Serviços de formação e consultoria.
2. As Centrais Privadas de Informação de Crédito não podem fazer uso indevido das informações a que têm acesso, nomeadamente para propaganda, publicidade ou qualquer actividade afim, nem desenvolver actividades que não as especificadas no presente Regulamento.
3. As Centrais Privadas de Informação de Crédito estão proibidas de tratar dados pessoais referentes a convicções filosóficas, ideológicas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica.

CAPÍTULO IV PARTILHA DE INFORMAÇÃO

Artigo 17.º (Disponibilização de Informação)

1. As Centrais Privadas de Informação de Crédito devem assegurar o acesso e a partilha de informações centralizadas de forma não discriminatória para assinantes do mesmo sector.
2. As Centrais Privadas de Informação de Crédito apenas podem disponibilizar informações de clientes às seguintes entidades:
   • a)- A Agência de Protecção de Dados, no âmbito das suas atribuições;
   • b)- Ao Banco Nacional de Angola, no âmbito das suas atribuições;
   • c)- Aos assinantes, desde que:
     • i. O cliente assine um termo de consentimento, nos termos do presente Regulamento;
     • ii. O assinante concorde em se desfazer das informações de clientes quando estes deixem de ter obrigações de crédito ou de pagamento perante esse assinante;
     • iii. Outras situações previstas na legislação.
   • d)- Aos clientes, em relação à informação que lhes diga respeito.
3. A informação deve ser fornecida em forma de relatório, com excepção da remetida à Agência de Protecção de Dados e ao Banco Nacional de Angola, que deve obedecer ao formato e periodicidade prevista em regulamentação específica.
4. O relatório deve omitir a identidade dos provedores de dados, salvo quando a informação é direccionada aos próprios clientes, devendo neste caso conter ainda a identificação das entidades que tenham consultado as suas informações nos últimos dois anos.
5. Os relatórios fornecidos às instituições financeiras devem conter informações captadas de provedores de dados de todos sectores.
6. Os demais assinantes só podem obter relatórios com informações captadas dos respectivos sectores.
7. A notação efectuada sobre um cliente deve ser baseada nas informações captadas no sector do assinante requerente, excepto as solicitadas pelas Instituições Financeiras.

Artigo 18.º (Partilha Transfronteiriça de Informação)

A partilha de informações de clientes entre as Centrais Privadas de Informação de Crédito e entidades de outros Estados, carece de autorização prévia da Agência de Protecção de Dados, nos termos definidos na Lei da Protecção de Dados Pessoais.

Artigo 19.º (Centros de Processamento de Dados)

As Centrais Privadas de Informação de Crédito devem ter os seus centros primários de processamento de dados sediados em território nacional e estarem dotadas de instalações de réplica para efeitos de recuperação de dados em caso de falhas ou desastres, localizados dentro do território nacional, sem prejuízo das prerrogativas previstas no presente Regulamento.

Artigo 20.º (Centros de Réplica)

As instalações de réplica das Centrais Privadas de Informação de Crédito devem estar localizadas a uma distância não inferior a 30 (trinta) quilómetros dos centros de processamento primário.

Artigo 21.º (Adopção da Computação em Nuvem)

As Centrais Privadas de Informação de Crédito podem efectuar a contratação de serviços de computação em nuvem para o armazenamento de dados ao abrigo do presente Regulamento, mediante a autorização prévia da Agência de Protecção de Dados, que procede à avaliação da confidencialidade, integridade, disponibilidade e recuperação de dados e de informações processadas ou armazenadas pelo prestador de serviço de computação em nuvem.

Artigo 22.º (Requisitos de Retenção de Dados)

1. As Centrais Privadas de Informação de Crédito não podem registar nas suas bases de dados informações de clientes cuja origem não seja provada pelos provedores de créditos e obrigações vencidas que estejam vencidos há mais de 5 (cinco) anos.
2. O consentimento para partilhar ou consultar a informação de um cliente nas Centrais Privadas de Informação de Crédito deve ser mantido em arquivo, físico ou electrónico pelo provedor ou assinante, conforme o caso, por um período de 10 (dez) anos, contados a partir da data da cessação da relação jurídica.

CAPÍTULO V REGRAS DE CONDUTA

Artigo 23.º (Deveres das Centrais Privadas de Informação de Crédito)

As Centrais Privadas de Informação de Crédito são obrigadas a:

• a)- Ter instalações seguras e adequadas para o desenvolvimento das suas actividades;
• b)- Estabelecer e manter uma unidade de serviço de informações nos termos dispostos no artigo 45.º do presente Regulamento, com pessoal suficientemente formado e capacitado para as actividades desenvolvidas;
• c)- Adoptar tecnologias operacionais de computação capazes de receber dados, integrá-los e reportar informações com a qualidade e tempestividade necessárias à satisfação da demanda dos assinantes e provedores;
• d)- Ter manuais operacionais devidamente actualizados relativamente ao carregamento, consolidação e controle da qualidade da fonte de dados e informações, consultas, segurança, procedimentos para o tratamento de reclamações e arquivo, tendo em vista assegurar a exactidão e actualização dos dados e informações arquivadas, bem como o adequado funcionamento do sistema;
• e)- Adoptar medidas e sistemas de registo e arquivo de pedidos de informação e respectiva disponibilização ou recusa, bem como de casos de uso indevido de informações constantes da base de dados;
• f)- Disponibilizar informações de clientes numa linguagem clara, verdadeira e inequívoca e apenas para os fins autorizados no presente Regulamento;
• g)- Adoptar um sistema de controlo interno consistente de gestão de risco, visando a identificação, avaliação e a gestão dos riscos inerentes aos processos utilizados;
• h)- Adoptar regras claras e detalhadas quanto à periodicidade e a forma de actualização dos dados e informações e definir os eventos que requeiram actualização imediata;
• i)- Adoptar um plano de continuidade de negócio que garanta o perfeito funcionamento e o fluxo das informações entre os provedores e assinantes, mesmo em situação adversa;
• j)- Solicitar autorização para abertura e encerramento das suas agências ou dependências;
• k)- Comunicar à Agência de Protecção de Dados a ocorrência de incidentes de segurança cibernética que possam acarretar risco ou dano relevante aos dados e informações, bem como outras ocorrências que sejam susceptíveis de comprometer o desempenho eficaz das suas actividades.

Artigo 24.º (Requisitos de Segurança)

1. As Centrais Privadas de Informação de Crédito devem adoptar medidas técnicas e organizativas adequadas para proteger os dados contra a destruição acidental ou ilícita, perda, alteração, difusão ou o acesso não autorizado e contra qualquer outra forma de tratamento ilícito.
2. As medidas enunciadas no número anterior devem atender os conhecimentos técnicos disponíveis e os custos resultantes da sua aplicação, bem como um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados e informações a proteger.
3. As Centrais Privadas de Informação de Crédito devem dispor de infra-estruturas, e adoptar sistemas ou plataformas tecnológicas compatíveis com as normas de segurança exigidas pela Agência de Protecção de Dados.

Artigo 25.º (Medidas Especiais de Segurança)

1. As Centrais Privadas de Informação de Crédito devem tomar as medidas adequadas para impedir:
   • a)- O acesso de pessoa não autorizada às instalações utilizadas para o tratamento de dados e informações;
   • b)- Que os suportes de dados e informações possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada;
   • c)- A introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizada de dados e informações;
   • d)- Que os sistemas de tratamento automatizados de dados possam ser utilizados por pessoa não autorizada através de instalações de transmissão de dados;
   • e)- Que na transmissão, bem como no transporte do seu suporte, os dados e informações possam ser lidos, copiados, alterados ou eliminados de forma não autorizada.
2. As Centrais Privadas de Informação de Crédito devem ainda garantir:
   • a)- Que as pessoas autorizadas para o efeito apenas possam ter acesso aos dados e informações abrangidas pela autorização de acordo com os seus perfis, definidos em regulamentação específica;
   • b)- A verificação das entidades a quem possam ser transmitidos os dados e informações pessoais;

• c)- Que os dados e informações recebidos para carregamento sejam validados pelos colaboradores autorizados para o efeito.

CAPÍTULO VI ASSINANTES E PROVEDORES DE DADOS

Artigo 26.º (Assinantes e Provedores de Dados)

1. Podem ser assinantes e provedores de dados das Centrais Privadas de Informação de Crédito as seguintes entidades:
   • a)- Instituições financeiras, devidamente autorizadas pelo Banco Nacional de Angola, que concedem crédito;
   • b)- Fundos ou institutos públicos com personalidade jurídica que desempenhem funções de crédito;
   • c)- Seguradoras;
   • d)- Provedores de serviços de energia eléctrica, água e gás, que não sejam sujeitos passivos do imposto para pequenos contribuintes;
   • e)- Provedores de serviços de telecomunicações;
   • f)- Sociedades comerciais que prestam serviços ou efectuem vendas a pagamento a prestações, nos termos do presente Regulamento.
2. A Agência de Protecção de Dados pode autorizar outras entidades a serem assinantes das Centrais Privadas de Informação de Crédito, nos termos definidos em normativo específico.

Artigo 27.º (Sociedades Comerciais)

As sociedades comerciais que prestam serviços ou efectuem vendas a pagamento a prestações podem ser assinantes e provedores das centrais privadas de informação de crédito, desde que:

• a)- Forneçam esses serviços ou produtos a pagamento diferido de pelo menos 30 (trinta) dias;
• b)- Estejam sujeitas ao regime de contabilidade organizada, para efeitos de tributação de rendimentos;
• c)- Estejam a exercer a actividade há pelo menos 6 (seis) meses.

Artigo 28.º (Outros Assinantes)

A Agência de Protecção de Dados pode autorizar outras entidades a figurarem como assinantes das Centrais Privadas de Informação de Crédito, desde que as mesmas desempenhem actividades de crédito.

Artigo 29.º (Outros Provedores de Dados)

1. Podem ainda ser provedores de dados das Centrais Privadas de Informação de Crédito as seguintes entidades:
   • a)- Administrações Locais;
   • b)- Autoridade Geral Tributária;
   • c)- Instituto Nacional de Segurança Social;
   • d)- Outras entidades que detenham informações creditícias ou de pagamento.
2. As Centrais Privadas de Informação de Crédito podem ainda receber, compilar e partilhar informações que sejam consideradas públicas, incluindo informações que possam ser obtidas a partir das seguintes entidades:
   • a)- Responsáveis pelo registo de sociedades comerciais;
   • b)- Responsáveis pelo registo de direitos de propriedade intelectual e transacções comerciais, incluindo o registo sobre bens imóveis e móveis e outros ónus sobre os activos e o respectivo distrate;
   • c)- Tribunais, relativamente a termos de dívidas, declaração de falência ou insolvência e ordens para a liquidação de sociedades.
3. As entidades públicas previstas no n.º 2 do presente artigo que gerem informações podem celebrar acordos com as Centrais Privadas de Informação de Crédito para estabelecer:
   • a)- As condições para a prestação de dados;
   • b)- O modo e a forma de apresentação de dados.
4. O disposto no presente artigo não prejudica o regime de acesso às informações de Instituições Governamentais estabelecidos em legislação específica.

Artigo 30.º (Normalização de Dados)

1. O provedor de dados deve recolher as informações dos clientes, nos termos exigidos pelo Manual de Normalização de Dados.
2. O Manual de Normalização de dados é emitido pela Agência de Protecção de Dados, consultadas as Centrais Privadas de Informação de Crédito a operar no mercado.

Artigo 31.º (Tipo de Dados a Fornecer)

1. O provedor de dados deve fornecer às Centrais Privadas de Informação de Crédito:
   • a)- A informação do cliente, nos termos definidos na alínea f) do artigo 32.º do presente Regulamento;
   • b)- Outros dados relacionados à informação do cliente solicitados pelas Centrais Privadas de Informação de Crédito, mediante aprovação da Agência de Protecção de Dados.
2. Quando o cliente realize a obrigação, o provedor deve comunicar esse facto à Central Privada de Informação de Crédito nos termos e condições estabelecidos no presente artigo.
3. Fica proibida a partilha de qualquer informação contrária às finalidades previstas no artigo 36.º do presente Regulamento.

Artigo 32.º (Deveres do Provedor de Dados)

Os provedores de dados devem:

• a)- Recolher, fornecer e actualizar as informações de clientes, nos termos previstos no presente Regulamento e demais legislação aplicável, no contrato celebrado com as Centrais Privadas de Informação de Crédito e respectivos procedimentos;
• b)- Fornecer informações de clientes completas, precisas e tempestivas;
• c)- Corrigir imediatamente as informações incompletas, imprecisas ou erradas detectadas na sua base de dados;
• d)- Responder às reclamações de clientes nos termos definidos pela Lei de Defesa do Consumidor;
• e)- Responsabilizar-se por quaisquer erros ou imprecisões verificadas na informação fornecida às Centrais Privadas de Informação de Crédito;
• f)- Fornecer aos clientes, a seu pedido, contactos das Centrais Privadas de Informação de Crédito para onde tenha sido remetida informação a seu respeito;
• g)- Manter os registos adequados para demostrar que o cliente autorizou o envio e o registo de informações às Centrais Privadas de Informação de Crédito e comunicar tempestivamente uma eventual revogação do seu consentimento;
• h)- Cumprir outras obrigações exigidas pela Agência de Protecção de Dados.

Artigo 33.º (Comunicação de Cumprimento de Obrigação em Incumprimento)

Os provedores de dados devem comunicar à Central Privada de Informação de Crédito o cumprimento, por parte de seus clientes, de obrigações que estavam registadas como em incumprimento, no prazo máximo de 2 (dois) dias úteis, contados da data do respectivo pagamento.

Artigo 34.º (Obrigatoriedade de Consulta)

1. As instituições financeiras devem obter um relatório das Centrais Privadas de Informação de Crédito sobre o cliente, nas seguintes situações:
   • a)- Antes de celebrar ou modificar um contrato de crédito;

• b)- Numa base anual ou com maior frequência para avaliar os créditos em curso.

2. A falta de informação na Central Privada de Informação de Crédito sobre o requerente ou garante não constitui por si só motivo suficiente para impedir a concessão de crédito ou prestação de outros serviços pela instituição financeira.
3. As instituições financeiras devem informar os seus clientes que solicitam um novo crédito ou a modificação de um crédito existente, da obrigatoriedade de obter informações a seu respeito junto de uma Central Privada de Informação de Crédito, não sendo possível considerar a concessão ou modificação de crédito, sem a referida consulta.

Artigo 35.º (Consentimento do Cliente)

1. Os assinantes devem obter o consentimento dos seus clientes, actuais ou antigos, para solicitar informações sobre os mesmos à Central Privada de Informação de Crédito.
2. Os provedores de dados devem obter consentimento dos seus clientes para fornecer informações referentes aos contratos de crédito, bem como informações de pagamento, positivas e negativas, às Centrais Privadas de Informação de Crédito, com excepção de informação considerada pública.
3. O consentimento referido no presente artigo deve constar de um instrumento específico se a consulta tiver que ser feita anterior à contratação, ou em cláusula própria no contrato de crédito, prestação de serviço ou fornecimento de produtos, conforme o caso, celebrado com o provedor de dados, também assinante, devendo estar explícito que o cliente tem conhecimento da natureza da informação que é partilhada e consultada, respectivamente, do uso que o assinante faz da mesma, e do direito que lhe assiste de obter cópias do relatório de créditos da Central Privada de Informação de Crédito e contestar as informações erróneas.
4. O consentimento subsiste pelo período de vigência da relação jurídica com o provedor de dados e assinante, ou, não se constituindo tal relação, o consentimento fica sem efeito a partir da data da decisão.

Artigo 36.º (Finalidade dos Relatórios Emitidos pelas Centrais Privadas de Informação de Crédito)

Os relatórios disponibilizados pelas Centrais Privadas de Informação de Crédito só podem ser usados para as seguintes finalidades e devem apenas conter a informação adequada à finalidade para a qual foram preparados:

• a)- Avaliação de um pedido de crédito, reestruturação e extensão de crédito concedido, registo de facilidades de crédito concedido e actividades comerciais que impliquem pagamento diferido ou pagamento em prestações nos termos do presente Regulamento;
• b)- Avaliação de um pedido de seguro ou de reivindicação de pagamento de seguro ou para monitorização de riscos em curso;
• c)- Detecção de fraudes;
• d)- Pesquisas com fins estatísticos, desde que seja de forma sumária ou agregada e que não permita a identificação individualizada de pessoas ou assinantes e provedores;
• e)- Quaisquer outros fins autorizados pela Agência Angolana de Protecção de Dados.

Artigo 37.º (Deveres dos Assinantes)

Os assinantes devem:

• a)- Obter e utilizar as informações contidas no relatório das Centrais Privadas de Informação de Crédito apenas para os fins permitidos, nos termos do presente Regulamento;
• b)- Respeitar as disposições de confidencialidade estabelecidas no presente Regulamento;
• c)- Não vender, transferir ou utilizar as informações obtidas das Centrais Privadas de Informação de Crédito para outros fins não especificados no artigo 36.º do presente Regulamento;
• d)- Cumprir outras obrigações estabelecidas pelo presente Regulamento e/ou outra legislação aplicável.

Artigo 38.º (Notificação de Recusa)

1. Se um assinante se recusar a conceder crédito ou prestar outros serviços com pagamento diferido a uma pessoa singular e colectiva com base em informações contidas no relatório das Centrais Privadas de Informação de Crédito, este deve dar a conhecer o facto ao cliente por escrito.
2. A comunicação da recusa deve conter a identificação da Central Privada de Informação de Crédito que elaborou o relatório que serviu de base à decisão do assinante e informação sobre o direito que assiste ao cliente de aceder a uma cópia do relatório dessa entidade.

CAPÍTULO VII CONFIDENCIALIDADE

Artigo 39.º (Dever de Segredo)

1. As Centrais Privadas de Informação de Crédito estão sujeitas ao dever de segredo nos termos da legislação vigente.
2. Sem prejuízo do disposto no número anterior, as Centrais Privadas de Informação de Crédito devem disponibilizar, gratuitamente, informações às entidades judiciais ou equiparadas, nos termos previstos na legislação penal, e a outras entidades, quando exista alguma disposição legal que expressamente o permita através da limitação do dever de segredo.
3. As Centrais Privadas de Informação de Crédito e os assinantes devem tomar todas as medidas necessárias para assegurar que as informações obtidas dos clientes estão devidamente protegidas contra qualquer perda, acesso, uso ou divulgação não autorizada.
4. Os accionistas ou sócios, membros dos órgãos de administração ou de fiscalização, gestores e trabalhadores, mandatários, comissários das Centrais Privadas de Informação de Crédito e outras pessoas que lhes prestem serviços, a título permanente ou ocasional, não podem revelar ou utilizar informações de clientes fornecidas nos termos do presente Regulamento, cujo conhecimento lhes advenha do exercício das suas funções ou da prestação dos seus serviços.
5. O dever de segredo não cessa com o termo das funções ou serviços.
6. Em nenhuma circunstância pode ocorrer uma divulgação de informação pelos assinantes ou a um terceiro, salvo se for numa situação que submete a pessoa contratada ou autorizada à restrição de revelação ou utilização de informações de clientes.

CAPÍTULO VIII DIREITOS

Artigo 40.º (Direito do Cliente)

1. Os direitos previstos neste capítulo devem ser interpretados em harmonia com os dispostos na Lei da Protecção de Dados Pessoais.
2. O cliente, devidamente identificado, tem o direito de solicitar às Centrais Privadas de Informação de Crédito, sem custos:
   • a)- Os critérios subjacentes à notação atribuída, salvaguardado o segredo empresarial;
   • b)- A rectificação e a eliminação dos dados cujo tratamento não cumpra o disposto no presente Regulamento, nomeadamente devido ao carácter incompleto e inexacto dos mesmos;

• c)- A notificação enviada às entidades a quem os dados tenham sido comunicados, de qualquer rectificação ou eliminação efectuada nos termos da alínea anterior.

3. O cliente tem o direito de receber do provedor de dados, no prazo a definir pela Agência de Protecção de Dados, as informações negativas a serem remetidas às Centrais Privadas de Informação de Crédito.

Artigo 41.º (Obtenção de Relatório)

1. O cliente tem o direito de obter um relatório acessível sobre as notações e toda a informação que as Centrais Privadas de Informação de Crédito têm a seu respeito, bem como a identificação das entidades que tenham disponibilizado e consultado essa informação.
2. O relatório deve, anualmente, ser fornecido sem encargos para o cliente, nos seguintes casos:
   • a)- Quando o seu pedido de contratação ou alteração de crédito, ou aquisição de bens ou serviços com pagamento diferido, submetido a um assinante, tenha sido indeferido com fundamento nas informações prestadas pelas Centrais Privadas de Informação de Crédito;
   • b)- Após ter solicitado a correcção de informações erradas ou imprecisas constantes da base de dados da Central Privada de Informação de Crédito, nos termos dos artigos 40.º e 41.º do presente Regulamento.
3. Exceptuando os casos previstos no número anterior, o cliente pode solicitar um relatório às Centrais Privadas de Informação de Crédito a qualquer momento mediante o respectivo pagamento.
4. Após a solicitação do cliente as Centrais Privadas de Informação de Crédito devem fornecer o relatório dentro do prazo de 3 (três) dias úteis.

Artigo 42.º (Direito à Reclamação)

1. Sempre que verificar que a informação contida a seu respeito na Central Privada de Informação de Crédito é incompleta, incorrecta ou desactualizada, o cliente pode notificar o respectivo provedor de dados sobre esse facto e solicitar a devida correcção.
2. O cliente pode apresentar reclamações às Centrais Privadas de Informação de Crédito, sempre que, dentro do prazo de 3 (três) dias, o provedor de dados não efectuar a correcção referida no número anterior.
3. Após a recepção da reclamação referida no número anterior, as Centrais Privadas de Informação de Crédito devem colocar um sinal de alerta nas informações reclamadas e proceder à averiguação dos factos e correcções que se considerarem necessárias, nos termos estabelecidos pelo presente Regulamento.
4. Findo o prazo previsto no n.º 2 do presente artigo, se a exactidão da informação questionada pelo cliente não puder ser confirmada pelo provedor de dados, a Central Privada de Informação de Crédito deve eliminá-la.
5. O exercício do direito à reclamação não pode influenciar a notação do cliente.

Artigo 43.º (Direito à Informação)

1. O cliente que tenha obtido uma notificação de recusa ou que tenha solicitado a correcção de informações erradas ou imprecisas pode requerer um relatório gratuito à Central Privada de Informação de Crédito no prazo de 30 (trinta) dias, contados da data da notificação ou de solicitação de correcção.
2. O prazo para as Centrais Privadas de Informação de Crédito fornecerem relatórios gratuitos, nos termos do número anterior, ou prestarem esclarecimentos solicitados pelos clientes, é de 3 (três) dias úteis, a contar da data de solicitação.
3. Nos demais casos, o prazo para o fornecimento do relatório aos clientes é de 1 (um) dia útil, contado da data da solicitação.
4. As Centrais Privadas de Informação de Crédito não podem estipular condições adicionais para os clientes acederem aos seus relatórios.
5. Se o erro ou imprecisão da informação for imputável ao provedor, as Centrais Privadas de Informação de Crédito têm direito de regresso sobre o mesmo no concernente ao valor do relatório cedido gratuitamente ao cliente.

Artigo 44.º (Recurso)

Qualquer cliente que não esteja de acordo com os resultados da averiguação efectuada pelas Centrais Privadas de Informação de Crédito pode apresentar recurso à Agência de Protecção de Dados, sem prejuízo das acções judicias que possam ter lugar.

Artigo 45.º (Unidade de Serviço de Informações)

As Centrais Privadas de Informação de Crédito devem estabelecer uma unidade de serviço de informações para lidar com reclamações e outras questões dos clientes, nos termos da Lei da Protecção de Dados Pessoais e da Lei n.º 15/03, de 22 de Julho, de Defesa do Consumidor.

CAPÍTULO IX INFRACÇÕES E SANÇÕES

Artigo 46.º (Responsáveis)

Pela prática das infracções previstas no presente capítulo, podem ser responsabilizadas, conjuntamente ou não, pessoas singulares ou colectiva.

Artigo 47.º (Responsabilidades dos entes Colectivos)

1. As pessoas colectivas, ainda que irregularmente constituídas, são responsáveis pelas infracções cometidas pelos membros dos respectivos órgãos sociais, titulares de cargos de direcção ou chefia, mandatários, representantes ou trabalhadores, no exercício das suas funções, ou em seu nome ou no seu interesse.
2. A invalidade e a ineficácia jurídicas dos actos em que se funde a relação entre o agente individual e o ente colectivo não obstam a que seja aplicado o disposto no número anterior.

Artigo 48.º (Responsabilidade dos entes Individuais)

1. A responsabilidade do ente colectivo e das entidades equiparadas não exime de responsabilidade individual os membros dos órgãos que exerçam cargos de gestão ou que actuem em sua representação, legal ou voluntária.
2. Não obsta à responsabilidade dos agentes individuais que representem outrem o facto de o tipo legal de ilícito requerer determinados elementos pessoais e estes só se verificarem na pessoa do representado ou requerer que o agente pratique o acto no seu interesse, tendo o representante actuado no interesse do representado.

Artigo 49.º (Reincidência)

1. Quando o agente sancionado por qualquer contravenção aqui prevista cometer, antes de decorridos 5 (cinco) anos a contar da aplicação da sanção, outra contravenção, são elevados ao dobro os limites mínimo e máximo da multa aplicável.
2. A prescrição da sanção não obsta a verificação da reincidência.

Artigo 50.º (Cumprimento do Dever Omitido)

Sempre que a infracção resulte da omissão de um dever, a aplicação da sanção e o pagamento da multa ou o cumprimento da sanção acessória não dispensam o infractor do cumprimento do dever, se este ainda for possível.

Artigo 51.º (Contravenções)

Sem prejuízo do disposto na sub-alínea i) da alínea a) do n.º 1 do artigo 51.º da Lei da Protecção de Dados Pessoais, constituem contravenções ao abrigo do presente Regulamento as seguintes:

• a)- O exercício da actividade com inobservância das normas sobre autorização do organismo competente;
• b)- O exercício de actividade não incluída no seu objecto social, bem como a realização de operações não autorizadas;
• c)- A omissão de informações e comunicações devidas à Agência de Protecção de Dados e às demais entidades, nos prazos estabelecidos;
• d)- A prestação de informações incompletas à Agência de Protecção de Dados e às demais entidades de tutela dos assinantes e provedores de dados;
• e)- O não acatamento das determinações ou recomendações emitidas pela Agência de Protecção de Dados para assegurar o cumprimento de insuficiências detectadas;
• f)- O exercício de quaisquer cargos ou funções em Centrais Privadas de Informação de Crédito em violação de proibições legais ou à revelia de oposição expressa do organismo competente;
• g)- A prática ou omissão de um acto susceptível de impedir ou dificultar o exercício dos poderes e deveres que incumbem à Agência de Protecção de Dados;
• h)- A violação do dever de segredo;
• i)- A partilha de dados com pessoas não autorizadas;
• j)- A partilha de informações centralizadas de forma discriminatória para assinantes do mesmo sector;
• k)- A adopção do serviço de computação em nuvem sem autorização da Agência de Protecção de Dados;
• l)- A violação dos deveres de informação e assistência ao cliente;
• m)- A violação de regras e deveres previstos no presente Regulamento ou em diplomas complementares que remetam para o seu regime sancionatório.

Artigo 52.º (Multas)

As contravenções previstas no artigo anterior são puníveis, se multas mais graves não lhes couber, com a multa de Kz: 50.000,00 (cinquenta mil kwanzas), a Kz: 10 000 000,00 (dez milhões de kwanzas), e Kz: 100.000,00 (cem mil kwanzas), a Kz: 30 000 000,00 (trinta milhões de kwanzas), consoante seja aplicada a pessoa singular ou colectiva.

Artigo 53.º (Competência para Aplicação de Multas e Forma do Processo)

À Agência de Protecção de Dados compete a aplicação das multas previstas no presente Regulamento, devendo seguir o processo para a aplicação das multas previstos na Lei da Protecção de Dados Pessoais.

Artigo 54.º (Destino das Multas)

O produto das multas aplicadas ao abrigo do presente Regulamento é distribuído nos termos da Lei da Protecção de Dados Pessoais.

CAPÍTULO X DISPOSIÇÕES FINAIS

Artigo 55.º (Cessação de Actividade)

1. Sempre que as Centrais Privadas de Informação de Crédito pretendam cessar as suas actividades, devem submeter, no prazo de 5 (cinco) dias úteis, um plano de transferência da sua base de dados para a base de dados da Agência de Protecção de Dados.
2. A transferência da base de dados deve ser acompanhada de instruções técnicas e esclarecimentos suficientes para garantir uma importação bem sucedida.
3. Após a verificação da integridade da base de dados fornecida, a Agência de Protecção de Dados deve ordenar a Central Privada de Informação de Crédito cessante a eliminar todos os registos da base de dados, da réplica ou da nuvem, conforme aplicável, e apresentar provas de tal acto.

Artigo 56.º (Integração e Interoperabilidade de Base de Dados)

As Centrais Privadas de Informação de Crédito devem reunir condições técnicas e tecnológicas adequadas que permitam a integração e a interoperabilidade da sua base de dados com a Central de Informação e Risco de Crédito (CIRC) do Banco Nacional de Angola e outras bases de dados de autoridades públicas.

Artigo 57.º (Dever de Colaboração das Autoridades Reguladoras ou de Tutela dos Provedores de Dados)

As autoridades reguladoras ou de tutela dos provedores de dados devem prestar à Agência de Protecção de Dados a colaboração que esta os solicite.

Artigo 58.º (Regime de Liquidação)

O processo de recuperação e de insolvência das Centrais Privadas de Informação de Crédito rege-se pela Lei que aprova o Regime Jurídico da Recuperação de Empresas e da Insolvência. O Presidente da República, JOÃO MANUEL GONÇALVES LOURENÇO.

Download

Para descarregar o PDF do diploma oficial clique aqui.