Aviso Privacidade - Audit & Assurance Services - Revisor Oficial de Contas
Enquadramento
A BDO & Associados, SROC (adiante designada por BDO) sociedade de revisores oficiais de contas (SROC) inscrita na Ordem dos Revisores Oficiais de Contas com o número 29 e na CMVM (Comissão de Mercado de Valores Mobiliários) com o número 20161384, exerce as funções de interesse público nos termos do previsto no Estatuto da Ordem dos Revisores Oficiais de Contas (EOROC), aprovado pela Lei n.º 140/2015, de 7 de setembro e nas normas internacionais de auditoria, como o EOROC legalmente impõe.
Com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD), Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril, os dados pessoais são uma preocupação adicional aos princípios éticos e estatutários a observar pela BDO, cujo cumprimento se sobrepõe aos referidos princípios, mas que simultaneamente acautelará as obrigações da BDO subjacentes ao RGPD.
No exercício das funções de interesse público a BDO verifica as demonstrações financeiras (contas), outros atos ou factos patrimoniais das empresas ou outras entidades (doravante designados por Clientes), tendo que consultar, utilizar e muitas vezes conservar informação, que, não sendo objeto do seu trabalho mas sendo necessária à sua verificação, poderá incluir dados pessoais de trabalhadores, clientes, fornecedores ou demais terceiros transmitidos pelas indicadas entidades, emitindo no final um relatório sobre as demonstrações financeiras, outros atos ou factos patrimoniais, em observação das Normas Internacionais de Controlo de Qualidade, Auditoria, Revisão, Outros Trabalhos de Garantia de Fiabilidade de Serviços Relacionados, aplicáveis.
Introdução
A presente política aplica-se à BDO, aos sócios, aos trabalhadores, colaboradores e demais pessoas a quem seja disponibilizada informação contendo os dados pessoais a que esta política se reporta, devendo consequentemente ser cumprida por todos os visados.
Esta política cinge-se aos dados pessoais que a BDO tenha que tratar para poder exercer cabalmente as funções de interesse público, excluindo-se da mesma expressamente os dados pessoais tratados com outras finalidades, nomeadamente, os dos seus trabalhadores, dos próprios Clientes (e potenciais Clientes) e dos contratos celebrados, com fornecedores, entre outros, relevando a este nível a política de privacidade geral disponível no site (www.bdo.pt) ou, na sua falta, os princípios e normas concretizados no RGPD e Lei Nacional de Proteção de Dados.
Responsabilidade pelo tratamento de dados e contacto
A BDO tem que pautar o seu comportamento pela observância dos princípios éticos e de conduta fundamentais ao exercício das funções de interesse público, nomeadamente, os de independência, integridade, objetividade, competência profissional, comportamento e zelo profissional e confidencialidade, mantendo o ceticismo profissional e recorrendo ao seu julgamento profissional, de modo a ter condições para emitir uma opinião sobre as demonstrações financeiras ou outros factos patrimoniais da responsabilidade das empresas ou outras entidades que aumente efetivamente o grau de confiança dos respetivos destinatários, sendo este o principal objetivo da sua intervenção.
Neste contexto, a BDO pode aceder a informação contendo dados do cliente, consultar, copiar e manter evidência como prova de auditoria ou no arquivo de auditoria, legalmente obrigatório no âmbito da revisão legal e voluntária de contas, informações essas que podem incluir dados pessoais tratados pelo cliente na qualidade de responsável ou de subcontratante pelo respetivo tratamento e sobre os quais a BDO assumirá, no âmbito do exercício das funções de interesse público, a sua responsabilidade.
A BDO, para efeitos da presente política de privacidade, é contactável na seguinte morada:
- Avenida da República, nº 50 - 10º1069-211 Lisboa; e
Através do seguinte endereço de correio eletrónico:
Finalidade do tratamento de dados pessoais
Nos termos do artigo 41.º do EOROC constituem funções de interesse público dos Revisores Oficiais de Contas e das Sociedades de Revisores Oficiais de Contas: (i) a auditoria às contas (compreendendo, nos termos do artigo 42.º do EOROC, a revisão legal e voluntária de contas e os serviços com elas relacionados, com limitação de âmbito ou finalidade específica); e (ii) o exercício de quaisquer outras funções que por lei exijam a intervenção própria e autónoma dos ROC sobre determinados factos patrimoniais de empresas ou outras entidades.
Nas funções de auditoria às contas o ROC/SROC tem que celebrar com o cliente um contrato de prestação de serviços, reduzido a escrito (artigo 53.º do EOROC), devendo fazê-lo também quanto às demais funções de interesse público.
Os dados pessoais que o ROC/SROC venha a aceder têm por finalidade possibilitar o exercício das referidas funções de interesse público (bem como das outras funções, embora não previstas na presente política, tais como o cumprimento de deveres contratuais e/ou legais).
Categorias de dados pessoais
A BDO poderá solicitar o acesso a quaisquer dados, incluindo dados pessoais tratados pelas Entidades, nomeadamente, clientes, utentes ou respetivos colaboradores, podendo consultar e utilizar os mesmos para efetuar os procedimentos necessários na análise das contas, cumprindo com as suas obrigações legais enquanto Revisor Oficial de Contas.
Não compete à BDO exigir informação ou acesso a dados, mas se lhe for imposta alguma restrição no acesso a informação ou a dados, compete à BDO considerar o efeito dessa restrição na emissão do seu relatório.
Princípios do tratamento de dados pessoais disponibilizados pelos Clientes
1 - Licitude: fundamento jurídico do tratamento
Os Serviços do Revisor Oficial de Contas (ROC) compreendem o acesso, consulta e verificação de um conjunto de informação, que a BDO, no âmbito do seu juízo profissional independente, selecione como necessária para a realização das suas funções de interesse público e que conservará como prova de auditoria (que eventualmente contém informação relativa a dados pessoais).
O cumprimento dos deveres resultantes do Estatuto da Ordem dos Revisores Oficiais de Contas e das normas de auditoria, em particular a sujeição a sigilo profissional, no âmbito das suas funções de interesse público, acomoda suficientemente os deveres do RGPD, não carecendo de diligências adicionais, nomeadamente, da obtenção do consentimento junto dos titulares dos dados pessoais.
Assim, o fundamento de licitude da intervenção do ROC/SROC, no âmbito do exercício das funções de interesse público e quanto aos dados pessoais tratados previamente pelo cliente, reside no interesse público subjacente à sua intervenção e na necessidade do seu tratamento para cumprimento de uma obrigação legal (artigo 6.º, n.º 1, als. c) e e) do RGPD), nomeadamente, do EOROC.
2 - Limitação da finalidade
Os dados pessoais visados na presente política serão, à partida, recolhidos diretamente pelos seus Clientes ou por outra entidade (caso o cliente seja subcontratante), mas não pela BDO.
O tratamento dos dados pessoais (por exemplo: consulta, utilização e conservação) pela BDO cingir-se-á à finalidade subjacente, ou seja, ao cumprimento das funções de interesse público a desempenhar.
A BDO assume especificamente o compromisso de não utilizar os dados pessoais, tal como qualquer outra informação, a que aceda por conta do exercício das referidas funções para qualquer outra finalidade, comercial ou outra, que não redunde na realização dos procedimentos de auditoria e na emissão da opinião respetiva.
3 - Minimização de dados
A BDO analisará caso a caso a necessidade de utilizar e conservar as cópias dos elementos que incluem dados pessoais disponibilizados pelo cliente, procurando, sempre que possível, minimizar a sua recolha, utilização e conservação ao que se revele necessário no âmbito do planeamento e evidência do trabalho.
4 - Exatidão dos dados
O princípio da exatidão, tal como preconizado pelo RGPD, não é aplicável à atuação da BDO no exercício das funções de interesse público e no que se refere aos dados transmitidos pelos seus Clientes.
5 - Limitação da conservação
O arquivo como suporte ao trabalho realizado pela BDO, incluindo ou não dados pessoais, nos termos do EOROC e das normas internacionais de auditoria, deve ser mantido pelo período mínimo de cinco anos (prazo mínimo).
Pese embora as normas de auditoria determinem um período mínimo para a retenção da informação (coincidente com o prazo legal de cinco anos), não determinam um período máximo, consignando que os documentos de trabalho deverão ser conservados por período suficiente para satisfazer as necessidades da BDO ou conforme exigido por lei ou regulamento, dependendo por exemplo, de a documentação de trabalho ser necessária como registo de matérias de importância continuada para trabalhos futuros.
Ainda neste âmbito, o EOROC determina a conservação dos documentos por período superior a cinco anos, preceituando que os Revisores Oficiais de Contas conservem a informação até que se findem processos judiciais, de supervisão ou de contraordenação que se encontrem em curso. Por maioria de razão, estando os Revisores Oficiais de Contas sujeitos a ser alvo de tais processos, enquanto não prescrever o direito de ação dos titulares dos respetivos direitos, a informação (o arquivo) deverá ser mantida pelo período máximo de prescrição dos processos judiciais e de contraordenação, podendo corresponder ao período de prescrição geral de responsabilidade civil contratual de vinte anos.
Em específico, no que se refere a toda a informação que evidencie o cumprimento pela BDO da Lei n.º 83/2017, de 18 de agosto, que estabelece medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo, nomeadamente, o dever de identificação, deverá ser mantida pelo período mínimo de sete anos.
6 - Integridade e confidencialidade
Os relatórios emitidos pela BDO, pese embora possam ser do conhecimento público, não contêm à priori dados pessoais, sendo que a prova de auditoria que tem de o suportar e que poderá conter dados pessoais está sujeita ao segredo profissional. A par da liberdade de acesso à informação, essencial para a independência do ROC no exercício das suas funções, é imposto ao ROC o dever de sigilo. Assim, o ROC encontra-se legalmente proibido de usar a informação a que acede para qualquer outro fim que não evidenciar os procedimentos que executou que suportam as conclusões extraídas no relatório que emite. O ROC encontra-se também proibido de divulgar (salvo raras exceções judiciais) qualquer informação que tenha obtido no exercício das suas funções.
A norma internacional de controlo de qualidade (ISQC1) e as normas internacionais de auditoria (ISA) impõem a confidencialidade aos Revisores Oficiais de Contas, bem como a todos os trabalhadores e colaboradores dos mesmos, como um requisito transversal e essencial no exercício das respetivas funções, devendo estes prever medidas efetivas para a sua garantia.
Neste âmbito a BDO apresenta anualmente aos seus trabalhadores e colaboradores um acordo de confidencialidade, que é assinado e devolvido, o qual refere expressamente a confidencialidade também dos dados pessoais incluídos na informação do cliente.
A BDO só permite o acesso à informação de determinado cliente, em particular a que inclua dados pessoais, aos seus colaboradores que integrem a equipa de trabalho (incluindo os responsáveis pelo controlo de qualidade) e na medida em que dela careçam para a execução das suas funções.
Medidas de segurança do tratamento
A BDO implementou as medidas técnicas e organizativas adequadas, para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados e contra qualquer outra forma de tratamento ilícito, sempre com um nível de segurança adequado aos riscos que o tratamento implica para as pessoas a quem os dados respeitam, tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o que é assegurado pelo cumprimento do dever de segredo exigido pelo EOROC.
Direitos dos titulares dos dados
A presente política de privacidade visa dar cumprimento aos direitos dos titulares dos dados, nomeadamente, ao direito de informação. A BDO, no âmbito do exercício das funções de interesse público, quanto aos dados pessoais transmitidos pelos Clientes, por norma não procede à sua recolha junto dos respetivos titulares, limitando-se a consultá-los, a utilizá-los nos procedimentos e testes que realiza e a conservá-los nos seus documentos de trabalho, sob reserva de confidencialidade, imposta legalmente (EOROC e demais legislação, nomeadamente comunitária).
Atendendo ao suprarreferido, o exercício dos direitos dos titulares dos dados consignados no RGPD (vide artigos 15.º, 16.º, 17.º, 18.º, 20.º e 21.º), relativos ao acesso, à retificação, ao apagamento, à limitação do tratamento, à portabilidade e à oposição não será, na sua generalidade, aplicável à BDO, sobrepondo-se ao exercício de tais direitos, o interesse público subjacente ao exercício das funções de interesse público, que tais direitos podem comprometer.
Pese embora este facto, a BDO compromete-se a esclarecer, sempre, os titulares dos dados de quaisquer dúvidas que tenham quanto a qualquer aspeto do tratamento, sem prejuízo da confidencialidade subjacente ao seu trabalho e aos documentos de trabalho, ressalvando que os titulares dos dados poderão reclamar de quaisquer circunstâncias que entendam desrespeitadoras dos seus direitos, junto da Comissão Nacional de Proteção de Dados.
Transferências de dados pessoais para fora da União Europeia
Os dados pessoais que sejam utilizados pela BDO, no decurso do exercício das funções de interesse público, serão conservados no arquivo de auditoria ou como evidência da execução da sua prestação de acordo com as normas de auditoria. Por regra os referidos dados não serão transferidos para fora da União Europeia. No entanto, nos casos em que exista a efetiva necessidade dos dados pessoais serem objeto de transferência para fora da União Europeia, a BDO assegura que esta será realizada de acordo com os requisitos do Regulamento Geral de Proteção de Dados (RGPD) e demais legislações de proteção de dados.
Versão 30 de setembro de 2020