INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
(ai sensi degli Artt. 13 e 14 REGOLAMENTO UE 2016/679, di seguito "Regolamento")
Gentile Cliente,
con questo documento La informiamo delle caratteristiche del trattamento dei dati personali (a titolo esemplificativo e non esaustivo; nome, cognome, estremi documento di riconoscimento e copia dello stesso, telefono, indirizzo e-mail) effettuato da Banca Sella S.p.A. (di seguito la "Banca").
1) Titolare del trattamento dei dati
Il Titolare del trattamento dei dati personali è Banca Sella S.p.A., con sede in Biella (BI) - 13900, Piazza Gaudenzio Sella, n. 1 - Tel. 015 35011.
2) Come contattare il Responsabile della protezione dei dati
Il Responsabile della Protezione dei Dati (di seguito anche "RPD" o "DPO - Data Protection Officer") può essere contattato ai seguenti recapiti:
- indirizzo postale di Banca Sella S.p.A.: Piazza Gaudenzio Sella n. 1, 13900, Biella;
- indirizzo e-mail: privacy@sella.it oppure dpo@sella.it o privacy@pec.sella.it.
3) Fonte dei dati personali
I dati personali sono raccolti direttamente presso il Soggetto Interessato o presso altri Titolari del trattamento (a titolo esemplificativo e non esaustivo: Partner Commerciali, prestatori di servizi di informazione sui conti "AISP", e/o prestatori di servizi di disposizione di ordini di pagamento "PISP", Mediatori Creditizi, Fonti Pubbliche, Sistema pubblico di prevenzione delle frodi, Sistemi di Informazioni Creditizie, Fornitori di servizi abilitati al Sistema Pubblico di identità digitale "SPID", altre Società del Gruppo Sella) in osservanza alle normative di riferimento.
4) Su quali basi giuridiche e per quali finalità la Banca tratta i dati personali
Il trattamento dei dati personali è effettuato dalla Banca esclusivamente in presenza di almeno una delle seguenti condizioni:
- adempimento di obblighi di legge;
- esecuzione del contratto stipulato con la Banca e attività precontrattuali;
- consenso per specifiche finalità
- legittimo interesse della Banca.
Il trattamento, pertanto, è svolto nel rispetto delle condizioni di liceità previste dal Regolamento ed è limitato a quanto necessario allo svolgimento, da parte della Banca e/o di terzi per conto della medesima, di attività connesse e strumentali a:
- adempiere agli obblighi di legge in ambito fiscale, contabile, bancario, finanziario, antiriciclaggio e antifrode in base ai quali la Banca è tenuta a stabilire misure di sicurezza al fine di prevenire abusi e frodi, rilevare transazioni che si discostano dai modelli normali, monitorare e segnalare rischi che la Banca potrebbe subire nei citati ambiti; conoscere il codice IMEI e i dettagli relativi alle informazioni hardware e software del dispositivo utilizzato. I dati raccolti potranno essere utilizzati per rispondere ad eventuali richieste avanzate da un'autorità pubblica o giudiziaria, nei casi previsti dalla legge, per la prevenzione dei reati di riciclaggio e di finanziamento del terrorismo, per adempiere alla disciplina vigente in materia di sanzioni ed embarghi, per contrastare la frode fiscale e adempiere a obblighi di controllo e notifica fiscale.
- eseguire il contratto e le misure precontrattuali, compresa la gestione del contenzioso giudiziale e stragiudiziale, la gestione dei reclami, la gestione delle abilitazioni ad operare su rapporti intestati ad altri soggetti, garantire il miglioramento dei servizi.
- qualora abbia manifestato il consenso:
- conservare la documentazione delle attività precontrattuali (es. preventivi, richiesta di prodotti e servizi) che non si è conclusa con la sottoscrizione del contratto;
- svolgere attività finalizzate al miglioramento continuo del servizio offerto, quali:
- rilevazione del grado di soddisfazione sulla qualità dei servizi resi;
- l'attività di marketing di prodotti e servizi propri, di Società del gruppo Sella e/o di terzi;
- l'elaborazione di studi e ricerche di mercato;
- l'attività di profilazione per proporre prodotti e servizi personalizzati che rispondono alle esigenze del Cliente;
- trattamento di dati particolari (maggiori dettagli al paragrafo 9).
- perseguire il legittimo interesse della Banca:
- nell'offrire prodotti e servizi che soddisfano al meglio le esigenze dei Clienti. Per questa attività la Banca individua i destinatari dell'offerta commerciale attraverso criteri di profilazione non invasivi (es. età, residenza, utilizzo del servizio di internet banking, professione, stato civile, ecc.). Tali dati vengono acquisiti al momento dell'instaurazione del rapporto e vengono aggiornati in ogni momento di contatto con il Cliente. La Banca effettua preventivamente una valutazione dell'impatto di questa attività sui diritti, gli interessi e le libertà dei destinatari. Inoltre, la Banca permette agli stessi di non beneficiare ulteriormente di questo servizio attraverso l'opzione di cancellazione dalla lista ad ogni occasione di contatto;
- nell'eseguire, in forma aggregata, analisi qualitative e quantitative delle tendenze, al fine di migliorare le strategie ed i processi aziendali ed organizzare le attività di business per lo sviluppo di prodotti e servizi;
- valutazione in merito all'affidabilità e puntualità nei pagamenti. Ove previsto il trattamento, è fornita apposita Informativa di cui al "Codice di Condotta per i Sistemi Informativi gestiti dai soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti" del 12 settembre 2019;
- valutazione del merito creditizio e prevenzione del sovraindebitamento anche mediante l'utilizzo di un indice di affidabilità e solvibilità (c.d. credit scoring);
- attività di prevenzione delle frodi.
Nei limiti delle specifiche finalità sopra indicate, il trattamento dei Suoi dati personali è effettuato attraverso strumenti manuali, informatici e telematici.
La Banca adotta misure organizzative e tecniche adeguate a garantire la sicurezza e la riservatezza dei Suoi dati personali.
5) A chi possono essere comunicati i dati personali
La Banca può comunicare i dati a soggetti terzi appartenenti alle categorie di seguito riportate: altri Titolari del trattamento o a Responsabili del trattamento, appositamente nominati ai sensi dell'art. 28 del Regolamento, consulenti e dipendenti dei Responsabili nominati:
- per adempimento di obblighi di legge:
- soggetti che curano la revisione contabile e la certificazione del bilancio;
- autorità e organi di vigilanza (Banca d'Italia, MEF, CONSOB, EBA, ecc.);
- soggetti pubblici nell'ambito di comunicazioni previste normativamente (es. Agenzia delle Entrate);
- società di supporto alla prevenzione di frodi;
- altri intermediari finanziari appartenenti al gruppo Sella nel caso in cui le Sue operazioni siano ritenute "sospette" ai sensi della normativa Antiriciclaggio (articoli 35 e 39 del d. lgs. 90 del 25 maggio 2017), in conformità alle prescrizioni di cui al Provvedimento Generale dell'Autorità Garante per la protezione dei dati personali del 10 settembre 2009 denominato "Misure relative alle comunicazioni fra intermediari finanziari appartenenti al medesimo gruppo in materia di antiriciclaggio";
- archivio istituito presso il Ministero dell'Economia e delle Finanze (di seguito "MEF"), ai sensi degli artt. 30-ter, commi 7 e 7-bis, e 30-quinquies, del D.lgs. 13 agosto 2010 n. 141, esclusivamente per le finalità di prevenzione del furto di identità. Gli esiti della procedura di riscontro sull'autenticità dei dati non saranno diffusi, ma potranno essere comunicati alle autorità e agli organi di vigilanza e di controllo;
- altre società appartenenti al gruppo Sella, in virtù del principio di esattezza dei dati personali trattati dei "Clienti in comune". Per "Cliente in comune" si intende un Cliente che ha un prodotto attivo in più di una società del gruppo Sella;
- terze parti autorizzate: prestatori di servizi di informazione sui conti ("AISP"), e/o prestatori di servizi di disposizione di ordini di pagamento ("PISP"), qualora il soggetto interessato abbia conferito loro un consenso esplicito a tali fini, ai sensi della normativa di riferimento (D. lgs. 218/2017 di recepimento della Direttiva UE 2015/2366 c.d. PSD2);
- prestatori di garanzie, limitatamente ai dati connessi alla garanzia o funzionali alla sua gestione ed escussione;
- soggetti incaricati della detenzione e custodia dei titoli e della liquidità (depositarie dell'intermediario)
- per esecuzione del contratto e attività precontrattuali:
- soggetti che gestiscono il recupero crediti o forniscono prestazioni professionali di consulenza e assistenza fiscale e legale;
- soggetti che supportano le attività di istruttoria,valutazione, erogazione, incasso ed assicurazione del credito;
- società del gruppo Sella e controllate;
- imprese di assicurazione o riassicurazione;
- terzi partner commerciali;
- soggetti incaricati della gestione della comunicazione alla clientela;
- fornitori di strumenti alternativi di pagamento;
- per eventuali cessioni del credito: banche, intermediari finanziari, veicoli di cartolarizzazione dei crediti di cui alla legge 130 /99, e loro intermediari, e società autorizzate ex. Art 115 Tulps;
- soggetti incaricati della detenzione e custodia dei titoli e della liquidità (depositarie dell'intermediario).
- per svolgere attività facoltative richieste dai Clienti:
- società del gruppo Sella e controllate;
- terzi partner commerciali, anche Social (es. Facebook, Instagram, Tik-Tok, ecc.).
- per perseguire il legittimo interesse della Banca:
- società di servizi per prevenzione frodi;
- Sistemi di Informazioni Creditizie.
- Inoltre, per dar corso ad operazioni finanziarie internazionali e ad alcune specifiche operazioni in ambito nazionale richieste dalla Clientela è necessario utilizzare il servizio di messaggistica internazionale gestito da SWIFT (Society for Worldwide lnterbank Financial Telecommunication), che conserva temporaneamente in copia tutti i dati necessari per l'esecuzione delle transazioni (ad esempio, nome dell'ordinante, del beneficiario, coordinate bancarie, somma ecc.). Tali dati personali sono conservati in un server della società localizzato negli Stati Uniti. A tale sito possono accedere le autorità statunitensi competenti (in particolare, il Dipartimento del Tesoro) per finalità di contrasto del terrorismo (sì veda https://www.swift.com per l'informativa sulla protezione dei dati).
6) I dati possono essere trasferiti verso paesi al di fuori dell'Unione Europea
La Banca può comunicare i dati a Sella India Software Services Private Limited, Tiger Analytics LLC e Hexaware Technologies Limited, con sede in India, sulla base di clausole contrattuali tipo, approvate della Commissione Europea, a garanzia dell'adeguatezza della protezione dei dati personali.
7) Per quanto tempo sono conservati i dati personali
La Banca conserva i dati in una forma che consente l'identificazione dei soggetti interessati per un arco di tempo necessario al conseguimento delle specifiche finalità del trattamento, nel rispetto degli obblighi contrattuali e/o normativi (es. in materia di antiriciclaggio, servizi di investimento, monitoraggio fiscale), e pari generalmente a 10 anni dalla chiusura del rapporto/servizio avente durata continuativa; per 15 anni nel caso di sottoscrizione di prodotti ai quali possano essere stati applicati interessi passivi, salvo il verificarsi di presupposti che giustifichino l'ulteriore prolungamento di tale termine (ad esempio in caso di contenzioso o su richiesta delle Autorità competenti).
Per i dettagli sui tempi di conservazione è possibile contattare l'Ufficio BSE Privacy della Banca all'indirizzo privacy@sella.it o privacy@pec.sella.it.
8) Quali sono i diritti sulla Protezione dei Dati
Informiamo che, ai sensi degli Att. 15-22 del GDPR, è possibile esercitare specifici diritti sulla protezione dei dati, riportati nel seguente elenco:
- diritto di accesso: diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali e in tal caso, di ottenere l'accesso ai dati personali ed informazioni di dettaglio riguardo l'origine, le finalità, le categorie di dati trattati, destinatari di comunicazione e/o trasferimento dei dati;
- diritto di rettifica: diritto di ottenere dal Titolare la rettifica dei dati personali inesatti senza ingiustificato ritardo, nonché l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
- diritto alla cancellazione ("oblio"): diritto di ottenere dal Titolare la cancellazione dei dati personali senza ingiustificato ritardo nel caso in cui:
- i dati personali non sono più necessari rispetto alle finalità del trattamento;
- il consenso su cui si basa il trattamento è revocato e non sussiste altro fondamento giuridico per il trattamento;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale;
- diritto di opposizione al trattamento: diritto di opporsi in qualsiasi momento al trattamento dei dati personali che hanno come base giuridica un interesse legittimo del Titolare e/o al trattamento per finalità di marketing, inclusa la profilazione. In caso di opposizione al trattamento per marketing, i dati personali non sono più oggetto di trattamento per tali finalità;
- diritto alla limitazione del trattamento: diritto di ottenere dal Titolare la limitazione del trattamento, nei casi in cui sia contestata l'esattezza dei dati personali (per il periodo necessario al Titolare per verificare l'esattezza di tali dati personali), se il trattamento è illecito e/o l'Interessato si è opposto al trattamento;
- diritto alla portabilità dei dati: diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali e di trasmettere tali dati ad altro Titolare del trattamento, solo per i casi in cui il trattamento sia basato sul consenso o sul contratto e per i soli dati trattati tramite strumenti elettronici;
- diritto di proporre un reclamo a un'Autorità di controllo: fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo all'autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, ovvero dello Stato in cui si è verificata la presunta violazione.
Inoltre, è possibile revocare in qualsiasi momento il consenso eventualmente prestato a specifiche attività facoltative, fermo restando la liceità del trattamento eseguito antecedentemente alla revoca.
Per esercitare i diritti sopra riportati, è possibile inoltrare una richiesta ai seguenti recapiti:
- indirizzo postale di Banca Sella S.p.A.: Piazza Gaudenzio Sella n. 1, Biella (BI) - 13900 - Ufficio Privacy;
- indirizzi email: privacy@sella.it, dpo@sella.it oppure privacy@pec.sella.it
La Banca fornirà informazioni relative all'azione intrapresa riguardo alla specifica richiesta senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della stessa.
Qualora dall'esercizio dei diritti sopra elencati possa derivare un pregiudizio effettivo e concreto agli interessi tutelati in base alle disposizioni in materia di riciclaggio, ai sensi dell'art. 2-undecies del Codice privacy, la portata di tali diritti, e di alcuni obblighi connessi in capo alla Banca in qualità di Titolare, potrebbe subire una limitazione.
In tali circostanze l'esercizio dei medesimi diritti può essere ritardato, limitato o escluso, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata. Ove ne ricorrano i presupposti, verrà inviata senza ritardo una comunicazione motivata.
9) Perché la Banca potrebbe trattare categorie particolari di dati
Sono definiti "particolari" quei dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. La Banca può trattarli per eseguire Sue specifiche richieste di servizi ed operazioni (es. richiesta di pagamento di quote associative ad organizzazioni politiche/sindacali, bonifici ad associazioni religiose, la stipula di finanziamenti assistiti da polizze assicurative, la stipula di polizze assicurative, l'erogazione di servizi di welfare, ecc.). Per questo motivo il Suo specifico consenso al trattamento di questi dati, ai sensi dell'art. 9 del Regolamento, è necessario e/o strumentale per l'instaurazione del rapporto contrattuale e/o per l'esecuzione di servizi o prestazioni. La Banca si limita a trattare queste informazioni esclusivamente per adempiere agli obblighi di legge e/o per eseguire il contratto.
L'eventuale comunicazione di categorie particolari di dati a terze parti cui Lei ha conferito apposita autorizzazione ai sensi del d.lgs. 218/2017 che ha recepito la Direttiva PSD2, può essere effettuata ai sensi del Regolamento, in quanto la condivisione dei dati persegue un determinato interesse pubblico (maggiore concorrenza sul mercato dei pagamenti).
Inoltre, nell'ambito del processo di On-Boarding online, la Banca potrebbe trattare dati biometrici, ex art. 9, comma 1, lett. a) del GDPR. Tale trattamento sarà effettuato sulla base del consenso facoltativo e sarà funzionale alla verifica dell'identità del richiedente nonché agli accertamenti antifrode.
Ove previsto, durante il processo d'identificazione della clientela, la tecnica biometrica automatizzata metterà a confronto, attraverso una tecnica di riconoscimento facciale, l'immagine del documento caricato e il video del volto registrato in tempo reale. Si precisa che tale trattamento non determina un processo decisionale automatizzato con effetti giuridici sugli interessati, ma automatizza la semplice operazione di confronto dei dati rilevabili dal video e dai documenti di identità.
Il consenso che verrà richiesto nel processo online è facoltativo, ma necessario qualora si voglia usufruire della più rapida modalità di identificazione tramite il trattamento dei dati biometrici. In caso di mancato rilascio del consenso, è disponibile una soluzione alternativa di identificazione che non prevede il trattamento di dati biometrici, ma consiste nel riconoscimento attraverso il processo di "verifica tramite bonifico".
10) Come si svolge l'attività di profilazione per il marketing
La profilazione, finalizzata alla personalizzazione dei servizi e/o dei prodotti che offriamo, ha ad oggetto i dati personali forniti direttamente e/o indirettamente dal Soggetto Interessato, incluse le informazioni relative all'utilizzo di prodotti bancari, finanziari e assicurativi al fine di proporre prodotti e servizi offerti dalla Banca o da Società del gruppo Sella rispondenti alle esigenze del Cliente.
Informiamo, inoltre, che i dati personali sono oggetto di trattamento per l'attività di profilazione per il marketing diretto per un periodo non superiore a 24 mesi dalla loro registrazione.
Questo trattamento ha luogo a seguito del rilascio di consenso facoltativo. È possibile opporsi in qualsiasi momento alla profilazione per la personalizzazione dell'offerta commerciale. In caso di opposizione, i Suoi dati personali non saranno più oggetto di trattamento per questa finalità.
11) Trattamento dati di Minori
Restando valido quanto riportato agli articoli precedenti, nel caso di Prodotti/Servizi destinati ai soggetti Minori, il trattamento dei dati personali di questi ultimi avviene a seguito del rilascio di specifico consenso da parte di almeno uno dei genitori o del tutore legale che sottoscrive il contratto con la Banca.
La Banca tratta i dati del Minore per le seguenti condizioni, come già descritte al paragrafo 3:
- adempimento obblighi di legge;
- esecuzione del contratto stipulato con la Banca e attività precontrattuali;
- consenso per specifiche finalità;
- legittimo interesse della Banca.
Non è previsto il trattamento specifico dei dati dei Minori per finalità di marketing e profilazione.
12) Modifica ed aggiornamento
La presente informativa potrà essere oggetto di aggiornamento e/o modifiche in caso di integrazione e/o sviluppo delle nostre operazioni o alla luce di cambiamenti nelle legislazioni vigenti. È possibile prendere visione dell'Informativa aggiornata alla sezione Privacy del sito www.sella.it.
Documento aggiornato al 24/08/2022