Titolare del trattamento e Responsabile della Protezione dei Dati (RPD)
Il Titolare del trattamento è la Cassa di Sovvenzione e Risparmio fra il Personale della Banca d'Italia (di seguito anche “Banca” o “Titolare”) con sede legale in via Nazionale, 91 - 00184 Roma.
Il Responsabile della Protezione dei dati (RPD) designato da CSR, il quale rappresenterà il punto di contatto per gli Interessati, è raggiungibile attraverso il seguente indirizzo e-mail: csr.privacy@csrpbi.it
Categorie di dati trattati, finalità e basi giuridiche del trattamento
I dati personali sono trattati dal Titolare per consentire di fruire di tutte le funzionalità previste dalle suddette applicazioni e per assicurarne il corretto funzionamento.
Per il perseguimento delle finalità descritte, il Titolare tratta le seguenti categorie dei dati personali dell’interessato:
a) dati identificativi e di contatto (quali, a titolo esemplificativo e non esaustivo, nome, cognome, indirizzo e-mail, numero di telefono, username, etc.);
b) dati economico-patrimoniali (quali, ad esempio, quelli necessari per lo svolgimento delle operazioni di pagamento, tra cui bonifico, giroconto, bollettini, etc.);
c) dati di geolocalizzazione: l’App offre delle funzionalità che possono comportare l’attivazione dei sistemi di rilevazione (GPS, WiFI, rete GSM) dell’ubicazione del dispositivo in uso (dati di geolocalizzazione) per permettere all’utente, ad esempio, di utilizzare il servizio di individuazione delle Filiali e degli ATM e di calcolare il percorso per raggiungerli; i dati relativi alla posizione vengono utilizzati altresì per valutare il rischio delle transazioni e svolgere le relative analisi di sicurezza e prevenzione delle frodi; i gestore del servizio Mappe installato sul dispositivo (ad es. Apple o Google), tratterà i dati di geolocalizzazione nei termini descritti nelle proprie informative, cui si rimanda. In ogni momento i servizi di geolocalizzazione possono essere disattivati accedendo all’apposita sezione dei permessi alla localizzazione del sistema operativo del dispositivo dell’utente.
d) dati del dispositivo: l’interessato, installando l’App sul proprio dispositivo, autorizza la Banca ad accedere ad alcuni dati personali ed altre informazioni relative al dispositivo (es. modello del dispositivo, identificativi del dispositivo, quali Device IMEI Number, Phone Number, SIM ID, Device Name, IP, versione del sistema operativo, risoluzione dello schermo, tipo di connessione di rete, nome della rete Wi-Fi, lingua ecc.).
e) log relativi agli arresti anomali e altri dati diagnostici: tali informazioni sono indispensabili al fine di consentire l’installazione dell’applicazione, il suo corretto funzionamento, lo svolgimento di analisi di sicurezza e prevenzione delle frodi. La condivisione delle informazioni suddette è parte integrante del processo di installazione dell’App e l’interessato non può opporsi se non disinstallando l’applicazione stessa.
Una volta installata e in funzione di quale servizio viene attivato, l’App può richiedere all’utente l’accesso alle funzionalità di seguito indicate presenti sul dispositivo che potrebbero implicare il trattamento di dati personali. La condivisione (c. d. autorizzazione) di queste informazioni è del tutto facoltativa e volta solo a facilitare l’uso dei servizi dell’App. L’interessato può in qualsiasi momento controllare e/o disabilitare l'abilitazione alle seguenti funzionalità eventualmente rilasciata nel menu Impostazioni del dispositivo.
f) dati biometrici (rilevamento dell’impronta digitale e riconoscimento facciale): a seconda del modello del Suo device, l’App potrebbe richiedere facoltativamente, al fine di agevolare l’autenticazione, il permesso di utilizzare le impronte digitali o il riconoscimento facciale del Suo dispositivo. L’applicazione non salva nessuno dei Suoi fattori biometrici ma verifica solamente che l’impronta o il viso appartengano alla stessa persona abilitata ad utilizzare il dispositivo. In caso di attivazione di tali funzioni, l’utente deve verificare di non aver abilitato a terzi l’utilizzo del proprio dispositivo.
Tali categorie di dati personali saranno trattate per le seguenti finalità:
1. erogazione dei servizi di Home Banking. In questo caso, il trattamento dei dati personali identificativi, di contatto ed economico-patrimoniali è necessario all’esecuzione di un contratto di cui l’interessato è parte e per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento (art. 6, par. 1, lett. b) e c), GDPR). Diversamente, il trattamento dei dati biometrici è facoltativo e subordinato alla manifestazione del consenso da parte dell’interessato (art. 9, par. 1, lett. a), GDPR). Il consenso precedentemente manifestato può essere revocato in ogni momento, scrivendo all’indirizzo e-mail csr.privacy@csrpbi.it. La revoca del consenso non pregiudica la liceità del trattamento fino a quel momento svolto;
2. adempimento degli obblighi a cui è soggetto il Titolare del trattamento (es. normativa AML). In questo caso, il trattamento dei dati personali identificativi, di contatto ed economico-patrimoniali è necessario all’adempimento di un obbligo legale (art. 6, par. 1, lett. c), GDPR);
3. servizio di assistenza clienti. In questo caso, il trattamento dei dati personali identificativi, di contatto ed economico-patrimoniali è necessario all’esecuzione di un contratto di cui l’interessato è parte (art. 6, par. 1, lett. b, GDPR).
4. ricerca degli ATM. In questo caso, il trattamento dei dati personali di geolocalizzazione è facoltativo e subordinato alla manifestazione del consenso da parte dell’interessato (art. 6, par. 1, lett. a), GDPR). Il consenso precedentemente manifestato può essere revocato in ogni momento, scrivendo all’indirizzo e-mail csr.privacy@csrpbi.it. La revoca del consenso non pregiudica la liceità del trattamento fino a quel momento svolto;
5. monitoraggio delle attività in App degli utenti. In questo caso, il trattamento dei dati personali identificativi, di contatto, economico-patrimoniali e di geolocalizzazione è necessario al perseguimento di un legittimo interesse del Titolare (per i dati personali identificativi, di contatto ed economico-patrimoniali, art. 6, par. 1, lett. f), GDPR);
6. attività antifrode. In questo caso, il trattamento dei dati personali identificativi, di contatto, economico-patrimoniali, del dispositivo e di geolocalizzazione è necessario al perseguimento di un legittimo interesse del Titolare (per i dati personali identificativi, di contatto ed economico-patrimoniali, art. 6, par. 1, lett. f), GDPR);
7. se necessario, per accertare, esercitare e/o difendere i diritti della Banca in sede giudiziaria, amministrativa o nelle procedure di arbitrato e conciliazione. In questo caso, il trattamento è necessario al perseguimento di un legittimo interesse del Titolare (per i dati personali identificativi, di contatto ed economico-patrimoniali, art. 6, par. 1, lett. f); GDPR);
Si informa che l’utente può scegliere se ricevere notifiche push da parte dell’App sul dispositivo mobile ed essere in grado di autenticarsi e/o autorizzare disposizioni sul conto nonché ricevere informazioni di servizio come la presenza di un aggiornamento dell’App o l’esecuzione di un pagamento. Qualora in un secondo momento l’utente decidesse di non voler ricevere ulteriori notifiche push, potrà disattivarle utilizzando le funzionalità di impostazione del dispositivo.
Inoltre, l’App potrà richiedere le seguenti autorizzazioni:
- Fotocamera: ogniqualvolta si attivi il servizio di acquisizione e riconoscimento di un QR Code. L’autorizzazione all’utilizzo della fotocamera è facoltativa ma se non fornita non sarà possibile utilizzare la relativa funzionalità di acquisizione e riconoscimento del QR Code. L’autorizzazione all’accesso alla fotocamera non comporta un trattamento delle immagini salvate nella libreria/galleria del dispositivo diverse dal suddetto QR code.
- Telefono/contatti: l’applicazione potrebbe richiede l’autorizzazione ad accedere all’elenco dei contatti messi a disposizione dalla Banca nell’ambito dell’erogazione del servizio (ad es. il numero verde di assistenza). L’accesso non comporta il trattamento dei dati contenuti nella rubrica del dispositivo. Per l’accesso ai contatti è richiesta autorizzazione specifica alla prima installazione. In ogni momento è possibile modificare la scelta accedendo alle impostazioni del dispositivo revocando le autorizzazioni prestate.
- Archiviazione: questa tipologia di autorizzazione è richiesta per garantire il salvataggio in cache di alcune informazioni che consentono alla App di ricevere e memorizzare dati all’interno della memoria del dispositivo come ad esempio le contabili, gli estratti conto e i documenti ad integrazione di alcune pratiche con la Banca.
Destinatari dei dati personali
Limitatamente al perseguimento delle finalità sopra descritte, i Suoi dati personali potranno essere comunicati alle seguenti categorie di destinatari che opereranno in qualità di autonomi Titolari e/o responsabili esterni del trattamento:
· terze parti che forniscono servizi di supporto per la gestione di servizi e carte di pagamento (es. AMEX);
· terze parti che operano in qualità di prestatori di servizi di disposizione di ordini di pagamento o servizi di informazioni sui conti (es. pagoPA S.p.A.);
· terze parti (cd. “banche tramite”) che tratteranno i dati per finalità di tramitazione (es. Nexi Payments S.p.A., Bancomat S.p.A.);
· terze parti che forniscono attività di assistenza clienti e manutenzione della App (es. C-Global Cedacri Global S.p.A.);
· Autorità e organi di vigilanza e di controllo.
Per i soggetti illustrati ai punti precedenti viene indicata solo la categoria dei destinatari, in quanto oggetto di frequenti aggiornamenti e revisioni. Pertanto, gli Interessati potranno richiedere l’elenco aggiornato dei destinatari contattando il Titolare del trattamento attraverso i canali indicati all’art. 1 della presente informativa.
Trasferimento di dati personali verso Paesi extra-SEE
Il Titolare non intende trasferire i dati personali degli interessati verso un Paese Terzo e/o un’Organizzazione internazionale ubicati al di fuori dello Spazio Economico Europeo (SEE). Se necessario, per ragioni di natura tecnica od operativa, la Banca si riserva, nel rispetto delle disposizioni di legge applicabili, di trasferire i dati personali in Paesi extra-SEE per i quali esistano decisioni di “adeguatezza” della Commissione Europea, ovvero sulla base delle adeguate garanzie oppure delle specifiche deroghe previste dal Regolamento.
Periodo di conservazione dei dati personaliI Suoi dati personali verranno trattati per il tempo necessario al perseguimento delle finalità sopra indicate, nel rispetto della normativa vigente e, in ogni caso, per non oltre 10 anni a decorrere dalla chiusura del rapporto contrattuale. È fatta eccezione per il trattamento di dati personali per finalità antifrode (cfr. punto 7), i cui dati verranno conservati per non oltre un anno a decorrere dalla operazione di riferimento.
|
Diritti degli Interessati
L'utente potrà, in qualsiasi momento, esercitare i diritti privacy previsti dagli artt. 15-22 GDPR ossia:
· Accesso ai dati personali. Ottenere la conferma o meno che sia in corso un trattamento di dati che La riguardano e, in tal caso, ottenere l’accesso alle seguenti informazioni: finalità del trattamento, categorie di dati, personali trattati, destinatari a cui i dati personali sono stati o saranno comunicati, periodo di conservazione dei dati personali, diritto di proporre reclamo ad un’autorità di controllo, diritto di richiedere la rettifica o cancellazione o limitazione del trattamento od opposizione al trattamento stesso, nonché l’esistenza di un processo decisionale automatizzato;
· Rettifica e cancellazione dei dati personali. Ottenere la rettifica dei dati personali inesatti che La riguardano ovvero la cancellazione in presenza di uno dei motivi contemplati dall’art. 17, par. 1, GDPR;
· Limitazione dei trattamenti di dati personali che La riguardano. Ottenere il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro, ricorrendo una delle cause definite dall’art. 18, par. 1, GDPR;
· Portabilità dei dati. Ricevere, nel caso di trattamento automatizzato svolto sulla base del consenso o in esecuzione di un contratto, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati che La riguardano;
· Opposizione al trattamento. Opporsi, per motivi connessi alla Sua situazione particolare, al trattamento di dati per l’esecuzione di un compito di interesse pubblico o per il perseguimento di un legittimo interesse del Titolare;
· Non essere sottoposto a processi decisionali automatizzati. Non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona;
· Revoca del consenso al trattamento dei Suoi dati personali, laddove prestato, esercitabile in qualsiasi momento. Tuttavia, la revoca del consenso non pregiudica la liceità del trattamento, basato sul consenso, svolto prima della revoca.
I predetti diritti potranno essere esercitati inviando apposita richiesta mediante il seguente canale di contatto: csr.privacy@csrpbi.it. Le richieste saranno evase senza ingiustificato ritardo e, in ogni caso, entro un mese dal ricevimento dell’istanza. In casi di particolare complessità ovvero in considerazione di un elevato numero di richieste, il termine potrà essere prorogato di ulteriori 2 (due) mesi.
Inoltre, ha diritto di proporre reclamo all’Autorità di Controllo Italiana, ossia il Garante per la protezione dei Dati personali, con sede in Roma, Piazza Venezia n. 11 (sito web: www.garanteprivacy.it, e-mail: protocollo@gpdp.it, pec: protocollo@pec.gpdp.it).