Informativa relativa al trattamento dei dati personali della clientela
Informativa relativa al trattamento dei dati personali della clientela
Ai Sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (RGPD) del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Banca di Imola S.p.A., in qualità di Titolare del trattamento, Le fornisce alcune informazioni circa il trattamento dei Suoi Dati Personali e la tutela dei Suoi diritti.
Per “trattamento di dati personali” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a Dati Personali, come, a titolo esemplificativo, la raccolta, la registrazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
I. Titolare del trattamento dei dati e Responsabile della Protezione dei dati (RPD)
Il Titolare del trattamento è Banca di Imola S.p.A. (di seguito BdI), Via Emilia 196, 40026, Imola.
Il Responsabile per la protezione dei dati personali è contattabile al seguente indirizzo rpdlacassa@lacassa.com
II. Fonte dei Dati Personali
I Dati Personali oggetto di trattamento sono raccolti direttamente presso gli interessati e/o presso terzi (come ad esempio le Banche e Società del Gruppo La Cassa di Ravenna, i sistemi di informazione creditizia, enti di previdenza, enti pubblici), ovvero ottenuti da fonti accessibili al pubblico (ad esempio i registri catastali, i registri di imprese e associazioni, la stampa, internet, ecc.). I suoi dati possono essere acquisti anche tramite l’utilizzo del Call center, gestito dalla nostra società controllata. In questa categoria rientrano il numero remoto del chiamante laddove non occultato, i dati di navigazione, la durata della chiamata, nonché previo consenso dell’interessato la registrazione audio della chiamata.
III. Finalità e base giuridica del trattamento dei dati
I Dati Personali sono trattati nell’ambito della normale attività di BdI per le seguenti finalità:
a) Dare esecuzione al contratto o a misure precontrattuali adottate su richiesta del cliente
I Dati Personali sono trattati, in quanto necessari, per dare esecuzione al contratto concluso con il cliente e/o adempiere, prima della conclusione del contratto, a richieste formulate dal cliente medesimo nonché svolgere altre attività connesse e strumentali all’esecuzione e gestione del rapporto (ad esempio la valutazione del merito creditizio; servizi di intermediazione finanziaria; gestione di depositi e conti correnti; etc.).
Il trattamento di Dati Personali a tali fini non necessita del consenso del cliente, ma il rifiuto di fornirli può comportare l’impossibilità di instaurare e/o proseguire un rapporto contrattuale.
Il trattamento di dati personali dell’interessato può essere anche necessario per dare attuazione alla normativa europea sulla seconda direttiva sui servizi di pagamento (direttiva UE 2015/2366 del Parlamento europeo e del Consiglio del 25 dicembre 2015, di seguito “PSD2”) in materia di trattamento di dati personali da parte dell’ASPSP che consiste nel concedere accesso ai dati personali richiesti dal PISP e dall’AISP affinché essi possano prestare i propri servizi di pagamento all’utente. Anche questo trattamento si basa su un obbligo giuridico Resta salva la possibilità dell’interessato a seguito del recesso dal contratto o dalla revoca dell’eventuale consenso prestato ai PISP e agli AISPO di chiedere alla cassa di non rendere i propri dati personali visibili ai PISP e agli AISP salvo non vi siano specifici obblighi normativi che impongano detti trattamenti da parte della Banca.
I dati acquisti tramite call center sono trattati al fine di ricavare informazioni statistiche sull’utilizzo della call center, per controllarne il corretto funzionamento e garantirne la sicurezza, nonché per l’accertamento di responsabilità in caso di eventuali illeciti, ai danni della Banca o dei clienti della stessa.
b) Adempiere ad obblighi previsti dalla legge sia nazionale sia europea
I Dati Personali sono trattati per adempiere agli obblighi previsti da leggi, regolamenti, normative comunitarie nonché da disposizioni impartite da autorità legittimate dalla legge e da organi di vigilanza e controllo (ad esempio: normativa antiriciclaggio, normativa fiscale, gestione reclami, centrale di allarme interbancaria, centrale dei rischi; ecc.).
Il trattamento dei dati per tali finalità non richiede il consenso dell’interessato.
c) Per finalità di legittimo interesse e marketing diretto
Connessa alla promozione e vendita dei prodotti e servizi di BdI, nonché connessa alla conduzione di ricerche di mercato, all’invio di inviti o omaggi e allo svolgimento di attività di pubbliche relazioni. Le comunicazioni commerciali avverranno tramite modalità non-automatizzate. Inoltre, nel caso in cui Lei abbia fornito il Suo indirizzo di posta elettronica in occasione della vendita di un prodotto o servizio della Società, comunicazioni commerciali potranno avvenire mediante posta elettronica, al fine di promuovere prodotti o servizi di BdI analoghi a quelli da Lei già acquistati in precedenza. Il conferimento da parte Sua dei Suoi dati personali per la finalità in discorso è facoltativo, il mancato conferimento dei dati potrebbe comportare l’impossibilità per BdI di inviarLe comunicazioni commerciali connesse alla promozione e vendita dei prodotti e servizi. Potrà opporsi in qualunque momento a tale attività di trattamento contattando il Titolare mediante comunicazione scritta da inviarsi a: rpdlacassa@lacassa.com. La base giuridica del trattamento consiste nel legittimo interesse di BdI (risultante dal bilanciamento di interessi con i diritti degli interessati) a svolgere attività di marketing per sviluppare il proprio business e perseguire il proprio oggetto sociale, avendo riguardo a quelle che ragionevolmente possono essere le Sue aspettative al momento e nell’ambito della raccolta dei Suoi dati personali. Inoltre, sempre per legittimo interesse, BdI condividerà con le altre società del Gruppo la Cassa di Ravenna le informazioni e i dati rilevanti ai fini del contrasto, a livello di Gruppo, dei seguenti fenomeni:
• riciclaggio di denaro sporco e finanziamento del terrorismo;
• sanzioni e embargo;
• frode fiscale e adempimento dei controlli fiscali e obbligo di notifica;
• abusi e frodi.
Sempre nell’ambito del Gruppo, verranno condivise le informazioni e i dati rilevanti al fine di garantire, a livello di Gruppo:
• la definizione del punteggio di rischio di credito e la capacità di rimborso dell’interessato.
Infine, qualora l'interessato sia un cliente delle Banche del Gruppo La Cassa di Ravenna, BdI potrà acquisire alcune informazioni in merito al rapporto di conto corrente esistente (a titolo esemplificativo, esistenza di un contratto di mutuo, di altri finanziamenti, accredito stipendio/pensione su conto corrente), per le finalità di cui alla lettera b) della presente informativa, ed in particolare per finalità legate alla tutela del credito e per prevenire il rischio di sovra indebitamento. Tali dati saranno acquisiti per lo svolgimento dell'istruttoria e nel corso del rapporto di finanziamento eventualmente instaurato e saranno trattati esclusivamente per finalità indicate sulla base del legittimo interesse di BdI di verificare il grado di affidabilità e solvibilità della clientela. Sempre nella eventualità in cui l'interessato sia un cliente delle Banche del Gruppo La Cassa di Ravenna, qualora la richiesta di finanziamento venga accolta, BdI potrà comunicare alla Banca di riferimento informazioni in merito all'esecuzione del contratto di finanziamento. Tali informazioni saranno trattate dalla Banca per perseguire il suo legittimo interesse di prevenire il rischio di sovra indebitamento della propria clientela.
Inoltre i Dati Personali, saranno trattati per :
– garantire la sicurezza informatica e le operazioni informatiche di BdI;
– svolgere attività di videosorveglianza per la tutela della proprietà dei locali; per la raccolta di prove su rapine o frodi; per dimostrare che sono stati effettuati disposizioni e depositi ad esempio presso gli sportelli bancomat e di cassa continua.
d) Previo espresso consenso dell’interessato:
I Dati Personali sono trattati per
-svolgere attività automatizzate di profilazione per offrire servizi ancora più mirati e adeguati al singolo acquirente e per fornire pubblicità personalizzata, attraverso lettere, telefono, internet, SMS, MMS e altri sistemi di comunicazione;
- comunicare i Dati Personali a società che rilevano per conto di BdI la qualità dei servizi o i bisogni della clientela;
- iniziative promozionali e ricerche di mercato curate dalle Banche e dalle Società del Gruppo cui essa appartiene, anche attraverso sistemi automatizzati;
- iniziative promozionali di prodotti e servizi di altre società, anche attraverso strumenti automatizzati,
- comunicare i Dati Personali a società terze a fini di informazioni commerciali, ricerche di mercato, offerte dirette di loro prodotti o servizi, anche attraverso strumenti automatizzati;
- il trattamento di particolari categorie di dati (quali i dati sensibili) comunicati a BdI direttamente dall’interessato e/o da parti terze (come ad esempio enti previdenziali, enti pubblici, ecc.).
Il trattamento dei dati per tali finalità avviene nei limiti del consenso espresso dall’interessato. Il consenso può essere revocato in qualsiasi momento. Ciò vale anche per la revoca di dichiarazioni di consenso fornite prima dell’entrata in vigore del RGPD, ossia prima del 25 maggio 2018. La revoca del consenso non pregiudica la liceità del trattamento dei dati basata sul consenso prima della revoca.
IV. Modalità di trattamento dei Dati Personali
Il trattamento dei Dati Personali avverrà, nel rispetto del RGPD ed i relativi atti e provvedimenti nazionali ad esso conseguenti, mediante strumenti manuali, informatici, telematici, in ogni caso nel rispetto delle cautele, garanzie e misure necessarie prescritte dalla normativa di riferimento.
Ove necessario, i trattamenti possono basarsi su processi decisionali automatizzati per valutare determinati aspetti personali relativi alla persona fisica (c.d. profilazione). In particolare, la profilazione è svolta (i) in base a previsione di legge nei limiti strettamente necessari per adempiere a quanto prescritto dalla vigente disciplina contro il riciclaggio di denaro, finanziamento al terrorismo; (ii) in quanto necessaria ai fini della conclusione o esecuzione di un contratto (come ad esempio nell’ambito della valutazione del merito di credito del cliente) (iii) ovvero su esplicito consenso dell’interessato (come ad esempio per fini commerciali). Nel caso in cui la profilazione sia stata svolta per la conclusione o esecuzione di un contratto ovvero in quanto basata su esplicito consenso, l’interessato ha il diritto di ottenere l’intervento umano da parte del Titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Sarà Suo diritto chiedere, con una comunicazione al RPD (vedi punto I), maggiori informazioni sulla logica sottostante al processo automatizzato.
V. Categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza
Per il perseguimento delle finalità al precedente paragrafo III, i Dati Personali possono essere comunicati e/o trattati: dalle Società del Gruppo (da tutti gli Uffici di Direzione e da tutte le filiali delle Banche e Società del Gruppo); da soggetti cui è affidata la distribuzione dei prodotti e dei servizi di BdI; da Società di cui BdI distribuisce prodotti e servizi, da Società con le quali BdI definisce contratti di cessione/cartolarizzazione dei crediti.
I Dati Personali possono anche essere comunicati e/o trattati da Società convenzionate con BdI, che svolgono compiti di natura operativa, tecnica od organizzativa. Queste Società sono dirette collaboratrici di BdI in qualità di Responsabili del trattamento o di Autonomi Titolari. Esse operano in Italia o all’interno dell’Unione Europea. Tuttavia le Società del Gruppo possono utilizzare le prestazioni di Società che utilizzano servizi in Cloud localizzati all’esterno dell’Unione Europea. In tal caso queste dovranno garantire una decisione di adeguatezza della Commissione Europea o di altre garanzie adeguate previste dalla normativa privacy (fra cui le norme vincolanti d'impresa e le clausole tipo di protezione). I dati personali trattati dalle Società del Gruppo non sono oggetto di diffusione.
Le Società convenzionate possono svolgere servizi di: pagamento; esattorie e tesorerie; intermediazione bancaria e finanziaria; gestione del sistema informativo di BdI; la gestione delle rete di telecomunicazioni; lavorazioni relative a pagamenti, effetti, assegni e altri titoli; trasmissione, imbustamento, trasporto e smistamento delle comunicazioni alla clientela; archiviazione della documentazione; assistenza e consulenza a BdI; ricerche di mercato, volte a rilevare la qualità dei servizi e i bisogni della clientela; revisione contabile e certificazioni di bilancio.
L’elenco aggiornato (Mod. NORME1393) è disponibile presso tutte le Filiali di BdI e sul sito web: www.bancadiimola.it, può altresì essere richiesto gratuitamente al RPD.
I Suoi dati inoltre potranno essere comunicati alle seguenti Società per la prevenzione e controllo del rischio d'insolvenza: Banca d'Italia, CRIF spa, Experian Italia spa, CTC Consorzio per la Tutela del Credito, SIA spa.
Inoltre i suoi dati possono essere comunicati alle società qualificate come PISP e AISP sulla base di quanto previsto dalla normativa europea sulla seconda direttiva sui servizi di pagamento ( direttiva UE) 2015/2366 del Parlamento europeo e del Consiglio del 25 dicembre 2015 , di seguito “PSD2” in materia di trattamento di dati personali da parte dell’ASPSP al fine di concedere l’accesso ai dati personali richiesti dai PISP e AISP affinché essi possano prestare i propri servizi di pagamento all’interessato sulla base del contratto con questi sottoscritto e dell’obbligo normativo in capo all’ASPSP.
Possono venire a conoscenza dei Dati Personali i dipendenti e i collaboratori, pro-tempore incaricati del trattamento, secondo profili operativi agli stessi attribuiti in relazione alle funzioni svolte.
VI. Trattamento di categorie particolari di dati personali
Banca di Imola S.p.A., nell’esecuzione delle proprie attività e limitatamente a quanto necessario per il perseguimento delle finalità elencate al precedente paragrafo III, può venire a conoscenza anche di dati definiti particolari dal RGPD (ad esempio i dati idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale ai sensi dell’art. 9 comma I RGPD). Il trattamento di tali dati può avvenire nei limiti di quanto necessario o strumentale per l’esecuzione di specifiche operazioni o servizi richiesti dall’interessato, solo con il consenso esplicito di quest’ultimo e/o in conformità alle autorizzazioni del Garante. Tali dati non saranno oggetto di diffusione e potranno essere comunicati ai soggetti di cui al precedente paragrafo V esclusivamente per le finalità dichiarate.
Il mancato assenso al trattamento da parte dell’interessato può impedire a BdI di fornire i servizi richiesti (in particolare, i versamenti che riguardano sindacati, forze politiche e determinate associazioni, gli accreditamenti di alcune pensioni o di speciali rimborsi assicurativi; specifici servizi quali mutui assistiti da assicurazione, polizze vita che comportano la necessaria conoscenza da parte di BdI di dati sensibili, ecc.).
Il consenso può essere revocato in qualsiasi momento. Ciò vale anche per la revoca di dichiarazioni di consenso fornite prima dell’entrata in vigore del RGPD, ossia prima del 25 maggio 2018. La revoca del consenso non pregiudica la liceità del trattamento dei dati basata sul consenso prima della revoca.
VII. Esercizio dei diritti dell’interessato
I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la conferma dell'esistenza o meno dei medesimi dati e di conoscerne il contenuto e l'origine, verificarne l'esattezza o chiederne l'integrazione o l'aggiornamento, oppure la rettifica (artt. 15 e 16 Regolamento). Gli interessati hanno inoltre il diritto di chiedere la cancellazione, la limitazione al trattamento, la revoca del consenso, la portabilità dei dati nonché di proporre reclamo all’autorità di controllo e di opporsi in ogni caso, per motivi legittimi, al loro trattamento (art. 17,18,19,20,21,22 del Regolamento).
L’esercizio dei diritti indicati nel presente paragrafo non è soggetto ad alcun vincolo di forma ed è gratuito, salvo per richieste manifestamente infondate o eccessive ai sensi dell’art. 12 comma 5 del RGPD. Il Titolare del trattamento sarà tenuto a fornire informazioni in merito all’azione intrapresa dal soggetto interessato senza ingiustificato ritardo e, al più tardi, entro un mese dal ricevimento della richiesta. Sono ammesse proroghe ai sensi dell’art. 12 comma 3 del RGPD.
Per le richieste inerenti all’esercizio di tali diritti ci si può rivolgere a: Banca di Imola S.p.A., Via Emilia 196, 40026, Imola ed al RPD (E-Mail: rpdlacassa@lacassa.com).
VIII. Tempi di conservazione dei dati
I Dati Personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali i dati sono trattati. Decorso tale termine, i Dati Personali saranno cancellati o trasformati in forma anonima, seguendo le prescrizioni di legge, salvo che la loro ulteriore conservazione sia necessaria per assolvere agli obblighi di legge o per adempiere ad ordini della pubblica autorità e/o degli organismi di vigilanza. In particolare, nel caso di conclusione del rapporto con la clientela, i Dati Personali verranno conservati a partire dalla data dell’evento ai fini di adempiere alle previsioni di legge in materia di conservazione delle scritture contabili, oltre le eventuali richieste di ulteriore conservazione per esigenze giudiziarie, verifiche fiscali o per adempimenti relativi alla normativa in materia di antiriciclaggio come pure alle esigenze probatorie anche di natura extraprocessuale cui eventualmente può andare soggetta questa Banca.
IX. Informativa integrativa sul trattamento dei dati personali nell’ambito dell’attività di trasferimento dei fondi svolta da S.W.I.F.T. ex articoli 13 e 14 del GDPR
Per dare corso a operazioni finanziarie internazionali (es. bonifici verso l'estero) e ad alcune specifiche operazioni in ambito nazionale (es. bonifici in divisa estera e/o con controparte non residente), richieste dall’Interessato, è necessario utilizzare un servizio di messaggistica internazionale gestito da S.W.I.F.T. (Society for Worldwide Interbank Financial Telecommunication), con sede legale in Belgio (www.swift.com).
La Banca comunica a S.W.I.F.T. (titolare del sistema S.W.I.F.T. Net Fin) i dati personali necessari all’esecuzione delle transazioni (es. i nomi dell'ordinante, del beneficiario e delle rispettive banche, le coordinate bancarie, l'importo e, se espressa, la motivazione del pagamento).
Il normale funzionamento del servizio include un continuo e massivo flusso di dati verso paesi terzi, data l'ubicazione dei centri operativi della SWIFT. I due centri operativi della SWIFT in Europa e negli USA svolgono le funzioni di memorizzazione e di trasmissione ("storeand-forward") secondo le seguenti modalità:
- i messaggi sono decriptati automaticamente presso i centri operativi, allo scopo di memorizzare e di trasmettere le informazioni in pochi millisecondi. Questo procedimento di memorizzazione e trasmissione è inteso a convalidare (controllare la correttezza o la presenza di lettere/numeri nei riquadri del messaggio da compilare obbligatoriamente) le informazioni (accertando tra l'altro che sia stato indicato correttamente il codice monetario, per esempio "EUR") in base a un contenuto standardizzato. Nel corso di tale procedimento, inoltre, le informazioni vengono conservate ("back-up") per 124 giorni, per motivi di sicurezza, presso entrambi i centri operativi, i quali sono quindi perfettamente speculari;
- tutto ciò assicura che la memorizzazione dei dati personali avvenga in parallelo e che i dati siano identici. A seguito del TFTP ("Terrorist Finance Tracking Program"), SWIFT è soggetta a richieste giuridicamente vincolanti di fornire al U.S. Treasury Department (UST) i dati ubicati nel suo centro operativo statunitense, necessario ai fini della prevenzione, indagine, accertamento o perseguimento del terrorismo o del finanziamento del terrorismo sulla base giuridica di un obbligo normativo.
La Banca ricorda che l'Interessato conserva i suoi diritti di cui al paragrafo "Esercizio dei diritti degli interessati" della presente informativa.