16.9.2021   

PT

Jornal Oficial da União Europeia

L 328/15

DECISÃO (UE) 2021/1486 DO BANCO CENTRAL EUROPEU

de 7 de setembro de 2021 que adota regras internas relativas à restrição de direitos de titulares de dados relacionada com o desempenho das atribuições do Banco Central Europeu no domínio da supervisão prudencial das instituições de crédito

(BCE/2021/42)

A COMISSÃO EXECUTIVA DO BANCO CENTRAL EUROPEU,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta os Estatutos do Sistema Europeu de Bancos Centrais e do Banco Central Europeu, nomeadamente o artigo 11.o-6,

Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (1), nomeadamente o artigo 25.o,

Considerando o seguinte:

(1)

O Banco Central Europeu (BCE) exerce as suas atribuições em conformidade com os Tratados e com o Regulamento (UE) n.o 1024/2013 do Conselho (2).

(2)

De harmonia com o disposto no artigo 45.o, n.o 3, do Regulamento (UE) 2018/1725, a Decisão (UE) 2020/655 do Banco Central Europeu (BCE/2020/28) (3) estabelece as disposições gerais de execução do Regulamento (UE) 2018/1725 no que diz respeito ao BCE. Define, em especial, as regras relativas à nomeação e ao papel do encarregado da proteção de dados do BCE (data protection officer/DPO), incluindo as respetivas funções, deveres e competências.

(3)

No exercício das atribuições conferidas ao BCE, o BCE e, em particular, a unidade organizativa em causa atuam como responsáveis pelo tratamento dos dados na medida em que determinem, individualmente ou em conjunto com outrem, as finalidades e os meios de tratamento dos dados pessoais.

(4)

Nos termos do artigo 4.o, n.o 1, do Regulamento (UE) n.o 1024/2013, o BCE exerce em exclusivo, para efeitos de supervisão e para garantir a segurança e a solidez das instituições de crédito e a estabilidade do sistema financeiro, atribuições específicas relativamente à totalidade das instituições de crédito estabelecidas nos Estados-Membros que participam no Mecanismo Único de Supervisão (MUS).

(5)

No exercício destas atribuições específicas, o BCE trata várias categorias de informações que podem estar relacionadas com uma pessoa singular identificada ou identificável, tais como dados de identificação, dados de contacto, dados profissionais, financeiros ou administrativos, dados recebidos de fontes específicas, dados sobre comunicações eletrónicas e dados de tráfego eletrónico, registos criminais, uma descrição dos interesses financeiros e não financeiros, pormenores das relações de uma pessoa singular ou dos seus familiares próximos com entidades supervisionadas ou membros do órgão de administração das entidades supervisionadas e, ainda, dados relativos ao cargo para o qual uma pessoa foi, ou poderá vir a ser, nomeada. Os dados pessoais podem também fazer parte de uma avaliação que inclua uma apreciação efetuada: para efeitos da autorização ou revogação da autorização de uma instituição de crédito, ou do procedimento de participação qualificada; em relação ao direito de estabelecimento de uma entidade supervisionada significativa; para verificar o cumprimento de requisitos de aptidão e idoneidade; em relação às políticas de remuneração de uma entidade supervisionada significativa e aos créditos por essa entidade concedidos aos seus próprios quadros superiores e a pessoas relacionadas com esses funcionários; e em relação a alegações relacionadas com potenciais violações dos atos jurídicos a que se refere o artigo 4.o, n.o 3, do Regulamento (UE) n.o 1024/2013.

(6)

O objetivo do BCE no exercício destas atribuições específicas é prosseguir objetivos importantes de interesse público geral da União. Por este motivo, a execução dessas tarefas deve ser salvaguardada tal como previsto no Regulamento (UE) 2018/1725, nomeadamente no artigo 25.o, n.o 1, alíneas c) e g). Especialmente ao exercer essas atribuições, o BCE age no interesse público geral da União enquanto autoridade pública encarregada de exercer, para efeitos de supervisão, atribuições específicas em relação a todas as instituições de crédito estabelecidas nos Estados-Membros participantes no MUS. As ditas atribuições incluem funções de controlo, inspeção ou regulação relacionadas com o exercício da autoridade pública no tocante à supervisão prudencial das instituições de crédito.

(7)

Neste contexto, é conveniente especificar os motivos pelos quais o BCE pode limitar os direitos dos titulares de dados no que se refere aos dados obtidos no exercício das suas funções de supervisão nos termos do Regulamento (UE) n.o 1024/2013.

(8)

Em conformidade com o disposto no artigo 25.o, n.o 1, do Regulamento (UE) 2018/1725, as restrições à aplicação dos artigos 14.o a 22.o, 35.o e 36.o e, na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 22.o, do artigo 4.o do referido regulamento devem ser estabelecidas em normas internas ou em atos jurídicos adotados com base nos Tratados. Por conseguinte, o BCE deve estabelecer as regras ao abrigo das quais pode restringir os direitos dos titulares de dados no exercício das suas funções de supervisão.

(9)

Embora a presente decisão estabeleça as regras ao abrigo das quais o BCE pode restringir os direitos dos titulares de dados no exercício das suas atribuições de supervisão, a Comissão Executiva pretende adotar uma decisão autónoma estabelecendo regras internas em matéria de limitação desses direitos para os casos em que o BCE tratar dados pessoais no contexto do seu funcionamento interno.

(10)

O BCE pode aplicar exceções nos termos do Regulamento (UE) 2018/1725, o que significa não ser necessário prever restrições, em especial as já contempladas no artigo 15.o, n.o 4, no artigo 16.o, n.o 5, no artigo 19.o, n.o 3, e no artigo 35.o, n.o 3, do regulamento citado. Em relação ao tratamento de informação para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, o BCE pode aplicar as exceções previstas no artigo 16.o, n.o 5, alínea b), ou no artigo 19.o, n.o 3, alínea d), do Regulamento (UE) 2018/1725.

(11)

O exercício dos direitos dos titulares dos dados a que se referem os artigos 17.o, 18.o, 20.o, 21.o, 22.o e 23.o do Regulamento (UE) 2018/1725 pode tornar impossível ou prejudicar gravemente a prossecução de certas finalidades, incluindo, se for o caso, fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos. Por conseguinte, a presente decisão deve prever uma derrogação desses direitos em conformidade com o artigo 25.o, n.o 3 ou n.o 4, do Regulamento (UE) 2018/1725, com as necessárias salvaguardas.

(12)

O BCE deve fornecer as razões pelas quais tais restrições são estritamente necessárias e proporcionadas, numa sociedade democrática, para salvaguardar os objetivos prosseguidos no exercício da sua autoridade pública e as funções que lhe estão associadas, e descrever a forma como respeita a essência dos direitos e liberdades fundamentais ao impor essa limitação.

(13)

Neste contexto, o BCE é obrigado a respeitar, tanto quanto possível, os direitos fundamentais dos titulares dos dados, em especial aqueles relacionados com o direito à prestação de informação, de acesso à mesma e de retificação, o direito ao apagamento, a limitação do tratamento, o direito de comunicação de uma violação de dados pessoais ao titular dos dados ou de confidencialidade da comunicação, tal como previsto no Regulamento (UE) 2018/1725.

(14)

No entanto, o BCE pode ser obrigado a limitar a informação prestada aos titulares dos dados, bem como os direitos dos titulares de dados, a fim de salvaguardar o desempenho das suas atribuições de supervisão, em especial as suas próprias investigações e procedimentos, as investigações e procedimentos de outras autoridades públicas e os direitos e liberdades fundamentais de outras pessoas relacionadas com as suas investigações ou outros procedimentos.

(15)

O BCE deve levantar as restrições já aplicadas na medida em que deixarem de ser necessárias.

(16)

O DPO do BCE deve rever a aplicação de restrições com vista a assegurar o cumprimento da presente decisão e do Regulamento (UE) 2018/1725.

(17)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 41.o, n.o 2, do Regulamento (CE) n.o 2018/1725, tendo emitido o seu parecer em 12 de março de 2021,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

Objeto e âmbito de aplicação

1.   A presente decisão estabelece regras relativas à limitação dos direitos dos titulares de dados pelo BCE no exercício de atividades de tratamento de dados pessoais conforme constam do registo central aquando do desempenho das suas funções de supervisão nos termos do Regulamento (UE) n.o 1024/2013.

2.   Os direitos dos titulares dos dados que podem ser objeto de restrições são especificados nos seguintes artigos do Regulamento (UE) 2018/1725:

a)

Artigo 14.o (Transparência das informações e das comunicações e regras para o exercício dos direitos dos titulares dos dados);

b)

Artigo 15.o (Informações a prestar caso os dados pessoais sejam recolhidos junto do titular dos dados);

c)

Artigo 16.o (Informações a prestar caso os dados pessoais não sejam recolhidos junto do titular dos dados);

d)

Artigo 17.o (Direito de acesso do titular dos dados);

e)

Artigo 18.o (Direito de retificação);

f)

Artigo 19.o (Direito ao apagamento dos dados («direito a ser esquecido»);

g)

Artigo 20.o (Direito à limitação do tratamento);

h)

Artigo 21.o (Obrigação de notificação relativa à retificação ou do apagamento dos dados pessoais e da limitação do tratamento);

i)

Artigo 22.o (Direito de portabilidade dos dados);

j)

Artigo 35.o (Comunicação de violações de dados pessoais ao titular dos dados);

k)

Artigo 36.o (Confidencialidade das comunicações eletrónicas);

l)

Artigo 4.o, na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 22.o do Regulamento (UE) 2018/1725.

Artigo 2.o

Definições

Para efeitos da presente decisão, entende-se por:

1)

«Tratamento», o mesmo que no artigo 3.o, ponto 3, do Regulamento (UE) 2018/1725;

2)

«Dados pessoais», o mesmo que no artigo 3.o, ponto 1, do Regulamento (UE) 2018/1725;

3)

«Titular dos dados», uma pessoa singular identificada ou identificável; é identificável a pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como, por exemplo, um nome, um número de identificação, dados de localização, um identificador por via eletrónica ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

4)

«Registo central», o repositório, acessível ao público, de todas as atividades de tratamento de dados pessoais realizadas no BCE, mantido pelo DPO do BCE e referido no artigo 9.o da Decisão (UE) 2020/655 (BCE/2020/28);

5)

«Responsável pelo tratamento de dados», o BCE e, nomeadamente, a unidade organizativa do BCE que, individualmente ou em conjunto com outras entidades, determine as finalidades e os meios de tratamento dos dados pessoais.

6)

«Instituições e órgãos da União», o mesmo que no artigo 3.o, ponto 10, do Regulamento (UE) 2018/1725.

Artigo 3.o

Aplicação de restrições

1.   O responsável pelo tratamento de dados pode limitar os direitos a que se refere o artigo 1.o, n.o 2, para salvaguarda dos interesses e objetivos referidos no artigo 25.o, n.o 1, do Regulamento (UE) 2018/1725, em especial se o exercício desses direitos puder prejudicar ou afetar negativamente:

a)

O desempenho das funções de supervisão do BCE nos termos do Regulamento (UE) n.o 1024/2013, incluindo o bom funcionamento do sistema de supervisão;

b)

A segurança e a solidez do sistema bancário e a estabilidade do sistema financeiro no seio da União Europeia e em cada Estado-Membro;

c)

A eficácia da comunicação de infrações em conformidade com o artigo 23.o do Regulamento (UE) n.o 1024/2013.

2.   Para salvaguardar os interesses e os objetivos referidos no artigo 25.o, n.o 1, do Regulamento (UE) 2018/1725, o responsável pelo tratamento de dados pode limitar os direitos referidos no artigo 1.o, n.o 2, em relação aos dados pessoais obtidos junto de outras instituições e organismos da União e autoridades competentes dos Estados-Membros, de países terceiros ou de organizações internacionais, em qualquer das seguintes circunstâncias:

a)

Caso o exercício desses direitos possa ser limitado por outras instituições e órgãos da União, de onde são originários os dados pessoais, com base noutros atos previstos no artigo 25.o do Regulamento (UE) 2018/1725 ou em conformidade com o capítulo IX do mesmo regulamento ou com os atos constitutivos de outras instituições e órgãos da União;

b)

Sempre que o exercício desses direitos possa ser limitado pelas autoridades competentes dos Estados-Membros junto das quais os dados pessoais foram obtidos, com base nos atos legislativos referidos no artigo 23.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (4), ou ao abrigo de medidas nacionais de transposição do artigo 13.o, n.o 3, do artigo 15.o, n.o 3, ou do artigo 16.o, n.o 3, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (5);

c)

Sempre que o exercício desses direitos possa comprometer ou afetar negativamente a cooperação do BCE com países terceiros ou organizações internacionais junto dos quais a informação foi obtida no exercício das suas atribuições, a menos que os interesses ou os direitos e liberdades fundamentais dos titulares dos dados prevaleçam sobre o interesse do BCE na cooperação.

3.   Antes de aplicar uma restrição nas circunstâncias referidas no n.o 2, alíneas a) e b), o responsável pelo tratamento de dados deve:

a)

Ter em atenção os acordos celebrados com as instituições e organismos competentes da União ou com as autoridades competentes dos Estados-Membros;

b)

Consultar as instituições e organismos competentes da União ou as autoridades competentes dos Estados-Membros, a menos que seja claro para o responsável pelo tratamento de dados que a aplicação dessa limitação está prevista num dos atos ou medidas referidos no n.o 2, alíneas a) e b).

4.   O responsável pelo tratamento de dados só pode aplicar uma restrição se, numa apreciação casuística, concluir que essa limitação:

a)

É necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades do titular dos dados; e

b)

Respeita a essência dos direitos e liberdades fundamentais numa sociedade democrática.

5.   O responsável pelo tratamento de dados deve documentar a sua avaliação numa nota de avaliação interna, da qual devem constar a base jurídica, os motivos da restrição, os direitos dos titulares dos dados que são objeto de restrições, os titulares dos dados afetados, a necessidade e proporcionalidade da restrição e a duração provável da mesma.

6.   A decisão de limitar os direitos do titular dos dados nos termos da presente decisão, que cabe ao responsável pelo tratamento de dados, deve ser tomada ao nível do diretor ou diretor-adjunto da área em que se desenrolar a principal operação de tratamento envolvendo os dados pessoais.

Artigo 4.o

Derrogações

1.   Para o tratamento de dados para fins de investigação científica ou histórica ou para fins estatísticos, o responsável pelo tratamento de dados pode aplicar derrogações em conformidade com o artigo 25.o, n.o 3, do Regulamento (UE) 2018/1725. Para o efeito, o responsável pelo tratamento de dados pode estabelecer uma derrogação aos direitos a que se referem os artigos 17.o, 18.o, 20.o e 23.o do Regulamento (UE) 2018/1725, de acordo com as condições previstas no artigo 25.o, n.o 3, do mesmo Regulamento.

2.   Para o tratamento de dados para fins de arquivo de interesse público, o responsável pelo tratamento de dados pode estabelecer derrogações em conformidade com o artigo 25.o, n.o 4, do Regulamento (UE) 2018/1725. Para esse efeito, o responsável pelo tratamento de dados pode estabelecer uma derrogação aos direitos a que se referem os artigos 17.o, 18.o, 20.o, 21.o, 22.o e 23.o do Regulamento (UE) 2018/1725 de acordo com as condições previstas no artigo 25.o, n.o 4, do mesmo regulamento.

3.   Essas derrogações estão sujeitas a garantias de proteção adequadas em conformidade com o artigo 13.o do Regulamento (UE) 2018/1725 e com o artigo 8.o da presente decisão.

Artigo 5.o

Prestação de informação geral sobre as restrições

O responsável pelo tratamento de dados deve fornecer as seguintes informações gerais sobre a potencial limitação dos direitos dos titulares dos dados:

a)

O responsável pelo tratamento de dados deve especificar os direitos que podem ser limitados, os motivos e a duração potencial da restrição imposta;

b)

O responsável pelo tratamento de dados deve incluir as informações referidas na alínea a) nos seus avisos sobre a proteção de dados, nas declarações de privacidade e nos registos das atividades de tratamento a que se refere o artigo 31.o do Regulamento (UE) 2018/1725.

Artigo 6.o

Limitação do direito de acesso por parte dos titulares dos dados, do direito de retificação, do direito de apagamento ou do direito à limitação do tratamento

1.   Se o responsável pelo tratamento de dados limitar, total ou parcialmente, o direito de acesso, o direito de retificação, o direito de apagamento ou o direito à limitação do tratamento a que se referem, respetivamente, os artigos 17.o e 18.°, o artigo 19.o, n.o 1, e o artigo 20.o, n.o 1, do Regulamento (UE) 2018/1725, deve o mesmo, na sua resposta escrita ao pedido e no prazo referido no artigo 11.o, n.o 5, da Decisão (UE) 2020/655 (BCE/2020/28), informar o titular dos dados em causa da restrição aplicada, dos principais motivos justificativos e, ainda, da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça da União Europeia.

2.   O responsável pelo tratamento de dados deve conservar a nota de avaliação interna a que se refere o artigo 3.o, n.o 5, e, se for caso disso, todos os documentos contendo os elementos factuais e jurídicos subjacentes, e disponibilizá-los, a pedido, à Autoridade Europeia para a Proteção de Dados.

3.   O responsável pelo tratamento de dados pode adiar, omitir ou recusar a prestação de informações sobre os motivos da limitação a que se refere o n.o 1 pelo período de tempo em que tal prestação de informações possa prejudicar a finalidade da limitação. Logo que o responsável pelo tratamento de dados determinar que a prestação das informações deixou de prejudicar a finalidade da limitação, deve prestar essas informações ao titular dos dados.

Artigo 7.o

Duração das restrições

1.   O responsável pelo tratamento de dados deve levantar as restrições assim que as circunstâncias que as justificam deixem de se verificar.

2.   Se o responsável pelo tratamento de dados levantar uma restrição nos termos do n.o 1, deve, prontamente:

a)

Na medida em que ainda não o tenha feito, informar o titular dos dados dos principais motivos em que se baseou a aplicação de uma restrição;

b)

Informar o titular dos dados do seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia;

c)

Conferir ao titular dos dados o direito que foi objeto da restrição entretanto levantada.

3.   O responsável pelo tratamento de dados deve reavaliar semestralmente a necessidade de manter uma restrição aplicada nos termos da presente decisão e documentar a sua reavaliação numa nota de avaliação interna.

Artigo 8.o

Salvaguardas

O BCE aplicará as salvaguardas técnicas e organizativas previstas no anexo, no sentido de evitar abusos ou o acesso ou a transferência ilícitos.

Artigo 9.o

Revisão pelo encarregado da proteção de dados

1.   Se o responsável pelo tratamento de dados limitar o exercício dos direitos do titular dos dados, deve a todo o tempo envolver o DPO. Aplicar-se-ão, nomeadamente, as seguintes disposições:

a)

O responsável pelo tratamento de dados deve consultar prontamente o DPO;

b)

A pedido do DPO, o responsável pelo tratamento de dados deve facultar-lhe o acesso a todos os documentos que contenham elementos factuais e jurídicos subjacentes, incluindo a nota de avaliação interna a que se refere o artigo 3.o, n.o 5;

c)

O responsável pelo tratamento de dados deve documentar a forma como o DPO esteve envolvido, incluindo informações relevantes que tenham sido partilhadas, em especial a data da sua primeira consulta, tal como referido na alínea a);

d)

O DPO pode solicitar ao responsável pelo tratamento de dados que reveja a restrição;

e)

O responsável pelo tratamento de dados deve informar o DPO, por escrito, do resultado da revisão solicitada sem demora injustificada e, em qualquer caso, antes da aplicação de qualquer restrição.

2.   O responsável pelo tratamento de dados deve informar o DPO quando a restrição for levantada.

Artigo 10.o

Entrada em vigor

A presente decisão entra em vigor no vigésimo dia subsequente ao da sua publicação no Jornal Oficial da União Europeia.

Feito em Frankfurt am Main, em 7 de setembro de 2021.

A Presidente do BCE

Christine LAGARDE

(1)  JO L 295 de 21.11.2018, p. 39.

(2)  Regulamento (UE) n.o 1024/2013 do Conselho, de 15 de outubro de 2013, que confere ao Banco Central Europeu atribuições específicas no que diz respeito às políticas relativas à supervisão prudencial das instituições de crédito (JO L 287 de 29.10.2013, p. 63).

(3)  Decisão (UE) 2020/655 do Banco Central Europeu, de 5 de maio de 2020, que adota disposições de execução relativas à proteção de dados no Banco Central Europeu e que revoga a Decisão BCE/2007/1 (BCE/2020/28) (JO L 152 de 15.5.2020, p. 13).

(4)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(5)  Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JHA do Conselho (JO L 119 de 4.5.2016, p. 89).

ANEXO

As salvaguardas técnicas e organizativas no BCE para evitar abusos ou acesso ou transferência ilícitos incluem:

a)

No que diz respeito às pessoas:

i)

Todas as pessoas com acesso a informação não pública do BCE são responsáveis por conhecer e aplicar a política e as regras do BCE em matéria de gestão e confidencialidade da informação;

ii)

Aplicação de um processo de credenciação de segurança que garanta que apenas as pessoas devidamente escrutinadas e autorizadas tenham acesso às instalações do BCE e à sua informação não pública;

iii)

Tecnologias de informação, informação e medidas de sensibilização respeitantes à segurança física;

iv)

Ações de formação destinadas a membros do pessoal e a prestadores de serviços externos;

v)

Subordinação dos membros do pessoal do BCE a regras estritas de sigilo profissional estabelecidas nas condições de emprego e nas regras aplicáveis ao pessoal do BCE, cuja violação dá origem a sanções disciplinares;

vi)

Regras e obrigações que regem o acesso de fornecedores de bens ou serviços externos a informações não públicas do BCE estabelecidas em acordos contratuais;

vii)

Controlos de acesso com zonas de segurança, para garantir que o acesso de pessoas à informação não pública do BCE é autorizado e limitado, justificado por necessidades operacionais e com base em requisitos de segurança;

b)

No que diz respeito aos processos:

i)

Existência de processos destinados a assegurar a implementação, o funcionamento e a manutenção controlados das aplicações informáticas de apoio às operações do BCE;

ii)

Utilização de aplicações informáticas para as atividades do BCE em conformidade com os padrões de segurança do BCE;

iii)

Existência de um programa global de segurança física em funcionamento que avalie continuamente as ameaças à segurança e inclua medidas de segurança física para assegurar um nível adequado de proteção;

c)

No que diz respeito à tecnologia:

i)

Todos os dados eletrónicos são armazenados em aplicações informáticas conformes com as normas de segurança do BCE e, por conseguinte, protegidos contra o acesso ou alteração não autorizados;

ii)

Aplicações informáticas são implementadas, operadas e mantidas com um nível de segurança proporcional às necessidades — baseadas em análises de impacto nas operações — de confidencialidade, integridade e disponibilidade das aplicações informáticas;

iii)

Validação regular do nível de segurança das aplicações informáticas através de avaliações de segurança técnicas e não técnicas;

iv)

Concessão do acesso à informação não pública do BCE de acordo com o princípio da «necessidade de tomar conhecimento», acesso privilegiado estritamente limitado e rigorosamente controlado;

v)

Realização de controlos para detetar e dar seguimento a violações reais e potenciais da segurança.