Cardholder Information

INFORMATION FOR USERS OF BANCOMAT-BRANDED SERVICES^® PURSUANT TO ARTICLES 13 AND 14 OF REGULATION 2016/679/EU

The use of BANCOMAT brand services^®, including physical or dematerialized card withdrawal and payment services and the BANCOMAT digital instrument^® Pay for smartphone payments and money transfers (jointly”services”), is reserved for individuals (”Users”) who have signed the appropriate contract with their member bank (”Adherents”) to the ATM circuit^® (”Circuit”). As part of the Services indicated above, BANCOMAT S.p.A. manages and governs the technological infrastructure aimed at processing and processing the transactions carried out by Users within its Circuit.

‍

Hereby, pursuant to articles 13 and 14 of the General Data Protection Regulation 2016/679/EU (”GDPR”) — and in accordance with national legislation Pro Tempore in force (collectively with the GDPR,”Privacy Policy”) — we would like to inform about the processing of personal data of Users authorized to use the Services carried out by BANCOMAT S.p.A. as data controller (”titular” or”ATM”).

‍

DATA AND METHODS OF PROCESSING RELATED TO PAYMENT AND WITHDRAWAL ACTIVITIES

TYPE OF DATA PROCESSED

Personal data (”Data”) processed as part of the Services consist, by way of example, of the unique identification codes of physical cards (PAN - and TOKEN in case of dematerialization of the same) and of the accounts (current account number) assigned to them; in the name, surname, IBAN and telephone number associated with the user of the ATM Service^® Pay; as well as in the Users' tax code and in the data contained in the reference transactions (e.g. PAN, amount and time of the transaction). As part of the BANCOMAT Pay Service^® in cases of money transfer (P2P, P2B payments) the beneficiary's IBAN is also processed to allow the latter's bank to carry out the credit correctly. For information regarding the processing of personal data carried out as part of the “Collect Money” functionality (falling within the P2P Payments category), please refer to the dedicated privacy policy [https://bancomat.it/it/privacy/riscuoti-denaro].

‍

It should be noted that the above-mentioned Data are provided to the Data Controller - by virtue of its role as manager of the Circuit to which the Services themselves are related - by the Members also through the technical structures appointed by them.

‍

PURPOSE AND LEGAL BASIS OF THE TREATMENT

The Data is processed for the following purposes and on the basis of the conditions of lawfulness (”legal bases”) indicated respectively:

1. to ensure the correct provision of the Services - including the processing of the transactions/payments made on the Circuit, the monitoring of the correct performance of the Services, the management of any disputes or disclaimers such as, for example, lack of accreditation, double charges, incorrect amounts, transactions with a non-compliant outcome - executing the contract with the Member of which the User is an interested party (ex art. 6, paragraph 1, letter b of the GDPR);
2. for the fulfillment of the legal obligations to which the Data Controller is required - including at the administrative level - such as: the invoicing of the Services, the execution of orders or requests by public authorities (ex art. 6, paragraph 1, letter c of the GDPR);
3. for the pursuit of the legitimate interest of the Data Controller in (i) exercise their rights in any judicial offices, (ii) monitor and monitor any fraudulent events that may occur on them and (iii) anonymize the Data for statistical purposes (ex art. 6, paragraph 1, letter f of the GDPR).

The provision of Data for the purposes indicated above (with particular reference to points i. and ii.), in addition to being necessary to allow the proper functioning of the Services, is made mandatory by the technical functioning of the Circuit itself. Therefore, the subsequent request to cancel them, makes it impossible for Users to continue to use the Services and to operate within the Circuit through physical or dematerialized cards.

‍

The same Data, aggregated and irreversibly transformed into anonymous form, may be used for statistical purposes. In particular, these anonymized data may be used for the creation of reports relating to the performance of the Services within the reference market; for internal analysis and/or sharing with third parties (for example, Members) who are interested in them, however, any marketing purpose is excluded.

‍

METHODS OF TREATMENT

The Data are processed by the Data Controller, through specially authorized and specifically trained personnel, and - outside - by subjects who, appointed as data processors (”Managers”), provide activities that are instrumental to the operation of the Services. The Data is processed through the use of automated and non-automated tools, ensuring the adoption of technical and organizational measures aimed at preventing any security breaches that may result in their destruction, loss, modification, unauthorized disclosure or illegal access.

Clicca qui per ulteriori informazioni sulle modalità di trattamento

Tra i Responsabili, a titolo esemplificativo e non esaustivo, si segnalano: il fornitore della piattaforma tecnologica necessaria per consentire l’erogazione dei Servizi e il processamento delle transazioni; il fornitore della piattaforma tecnologica di Tokenizzazione; i fornitori di servizi di gestione e manutenzione tecnologica dei sistemi del Titolare. La lista aggiornata di tutti i Responsabili potrà essere richiesta al Titolare del trattamento ai recapiti indicati nel prosieguo. Oltre a quanto eventualmente obbligatorio per legge, i Dati potranno, inoltre, essere comunicati a soggetti terzi autonomi titolari del trattamento (a titolo esemplificativo, eventuali professionisti esterni e consulenti legali e la società di revisione esterna), nonché a pubbliche Autorità a vario titolo investite di compiti di sorveglianza e controllo nei confronti di BANCOMAT e/o all’autorità giudiziaria e a forze di polizia, ove necessario per la tutela dei diritti di BANCOMAT o di terzi. In ogni caso i Dati non saranno soggetti a diffusione, intendendosi per tale la messa a disposizione a soggetti indeterminati. Non è previsto il trattamento dei Dati al di fuori dallo Spazio Economico Europeo, se non nella misura in cui i Responsabili precedentemente menzionati abbiano necessità, ai fini dello svolgimento dei Servizi, di trasferire i Dati – o accedere agli stessi – verso/da paesi extra UE. Nel caso, ciò avverrà nel pieno rispetto dei principi contenuti negli artt. 44 e ss. del GDPR.

‍

DATA RETENTION PERIOD

Without prejudice to compliance with legal obligations and/or the establishment of any litigation, the Data linked to the use of the Services will be kept for ten years from the termination of the relationship on which the use of the payment and withdrawal card is based or from the termination of the ATM user^® Pay; the Data relating to individual transactions will be kept for ten years from the date they were carried out.

Once the expected storage period has expired, Data that is no longer necessary may be irreversibly anonymized or securely deleted.

‍

DATA AND METHODS OF PROCESSING RELATED TO THE USE OF THE ATM APP^® ABOUT THE ATM SERVICE^® Pay

As mentioned, the ATM Service^® Pay provides the possibility of making payments at affiliated merchants and/or transferring money between individuals through a special App which, if not integrated into the Participating Bank's app, is made available by ATM (”Circuit app” or simply”app”) and downloadable through the appropriate Store accessible online through Device mobile (for example: iOS App Store, Google Play Android).

In addition to what has already been stated above, the App provides some optional features related to payment transactions for which use it is necessary to interact with the User's device, requiring the same to issue specific authorizations. Within the App, it is also possible to take advantage of additional features not related to payment transactions (e.g. loyalty card storage).

The App also automatically records certain events (e.g. the process of activating the App itself and the authorization of payments and money transfers) necessary to monitor from an exclusively technical point of view the correct completion of the operations carried out by the User.

Clicca qui per maggiori informazioni

Nello specifico l’App prevede la richiesta di autorizzazione ad: - accedere alla fotocamera, al solo fine di consentire l’inquadramento del QR Code nell’ambito delle operazioni di pagamento presso l’esercente convenzionato e senza che ciò comporti l’accesso alla “galleria fotografica” del dispositivo; - accedere alla rubrica, al solo fine di selezionare il beneficiario delle operazioni di trasferimento denaro e senza che ciò comporti la memorizzazione dei dati ivi contenuti. Laddove tali utilizzi non siano autorizzati dall’Utente, i Servizi in questione non potranno essere resi. Assolutamente facoltative per l’Utente, sono invece le funzionalità (ex art. 6, comma 1, lett. a, GDPR): - di geolocalizzazione del dispositivo sul quale l’App è installata per consentire all’Utente stesso, qualora lo desideri, di individuare gli esercenti convenzionati BANCOMAT più vicini alla sua posizione. Fatto salvo quanto previsto nel paragrafo a seguire, l’attivazione del GPS e il rilascio del consenso alla geolocalizzazione non comporta la registrazione e memorizzazione nei sistemi di BANCOMAT dei dati relativi alla posizione; - di ricezione di notifiche collegate alle operazioni di pagamento BANCOMAT® Pay. Il consenso ad usufruire di tali ultime funzionalità è facoltativo e non incide sul funzionamento dell’App. Entrambe possono essere disattivate o riattivate a scelta dell’Utente, tramite la apposita funzione presente, rispettivamente, sul dispositivo nel quale l’App è installata ovvero all’interno dell’App stessa. Allo stesso modo, il conferimento facoltativo e volontario da parte dell’Utente di dati ulteriori rispetto a quelli strettamente funzionali alla fruizione del Servizio e delle funzionalità sopra descritte – come ad esempio la memorizzazione delle carte fedeltà e/o dei documenti – non incide in alcun modo sull’utilizzo dell’App e delle relative funzionalità correlate alle operazioni di pagamento ma è rimesso alla libera volontà dell’Utente stesso. Tali ulteriori dati saranno conservati fino alla cancellazione degli stessi da parte dell’Utente o a seguito della disattivazione dell’App. Si segnala poi che l’App effettua automaticamente il necessario monitoraggio degli eventi (quali, il processo di attivazione dell’Utente e cadute di autenticazione, fallimenti nel processo di SCA – “strong customer authentication” – dell’Utente nell’ambito delle singole operazioni di pagamento che la prevedono, monitoraggio del login con PIN/Fingerprint, se attivato dall’Utente) che determinano anomalie rispetto all’andamento ordinario e fisiologico del completamento del processo di attivazione della App con la propria banca e della transazione/trasferimento denaro, al solo fine di consentire agli Aderenti il rispetto degli obblighi di gestione dei rischi connessi alle operazioni di pagamento e trasferimento sulla base di quanto previsto dalla normativa vigente in materia (a titolo esemplificativo, Direttiva n. 2366/2015 – c.d. “PSD2” - e Regolamento Delegato n. 389/2018). Tali informazioni vengono conservate da BANCOMAT per la durata di 10 anni come specificato nel precedente paragrafo relativo al periodo di conservazione dei dati.

‍

MARKETING AND PROFILING

Following specific and express consent from the User, the Data may be used for BANCOMAT marketing and/or profiling purposes. In particular, marketing purposes mean the processing of User Data for the forwarding - through automated contact methods (SMS, instant messaging and any other additional channels allowed from time to time) - of promotional communications relating to products and services of BANCOMAT and other business partners of BANCOMAT itself (without transferring data to these subjects) or for carrying out surveys of the User's degree of satisfaction with the use of the Services and/or market research regarding the offer of ATM products and/or services, through, SMS, instant messaging and any other additional channels allowed from time to time (DIRECT MARKETING). Profiling purposes mean the processing of User Data for the forwarding - through automated contact methods (SMS, instant messaging and any other additional channels allowed from time to time) - of personalized promotional communications relating to products and services of BANCOMAT and other business partners of BANCOMAT itself (without transferring data to these subjects) and allowing the User to take advantage of personalized services based on his habits, inclinations and interests (PROFILING FOR MARKETING PURPOSES).

Following further, specific and express consent from the User, the Data may be transferred to third parties (Members of the Circuit) who - as independent owners - will process them for their direct marketing purposes in order to suggest their goods and services to the User. In this case, the Members receiving the transferred data may carry out promotional activities against the interested parties without having to acquire a new consent, taking care, however, to provide the interested parties with the information referred to in art. 14 of the GDPR and specifying that they have acquired the data from BANCOMAT (TRANSFER TO THIRD PARTIES FOR DIRECT MARKETING)

Any consent may be granted or revoked at any time by accessing the section”Consent and privacy” present within the App itself. The revocation of one or more previously issued consents does not affect the lawfulness of the processing carried out on the basis of consent issued before the revocation.

Without prejudice to the possible renewal of express consent, the data processed for marketing and profiling purposes will be kept, respectively, for 24 (twenty-four) and 12 (twelve) months from the date of issue of consent or until the revocation of the same if it occurs earlier.

Clicca qui per ulteriori informazioni

Nello specifico, a seguito del rilascio da parte dell’Utente del consenso alla profilazione, nell’App vengono attivati degli strumenti di tracciamento degli Utenti stessi volti a conoscere interessi e abitudini dell’Utente al fine di offrire servizi e prodotti, anche di terzi, in linea con le preferenze di ognuno. Il tracciamento, laddove consentito dall’Utente, viene effettuato tramite appositi “tag”, ovvero specifici indicatori in grado di rilevare, nel corso della navigazione in App e dell’esecuzione delle operazioni ivi effettuate, eventi specifici e pre-individuati. Tra i tag sono altresì ricompresi metodi di tracciamento riferibili alla posizione dell’Utente acquisiti sempre previa raccolta del consenso facoltativo dello stesso. In particolare, laddove l’Utente consenta alla App l’accesso alla propria posizione (geolocalizzazione) e fornisca anche il suo consenso alla profilazione, verranno acquisiti, nel corso di qualsivoglia sua interazione con l’App, i dati relativi alla posizione del dispositivo dell’Utente sul quale è installata la App. Inoltre, l’App è dotata di un codice dedicato – consistente in una tecnologia esterna e totalmente autonoma da BANCOMAT, integrata in App al fine di implementarne le relative funzionalità (per maggiori informazioni: www. https://support.appsflyer.com) – che, solo previa raccolta del consenso facoltativo alla profilazione, consente di poter attribuire ad ogni Utente un identificativo univoco (“ID”) utile a rilevare da quale fonte (contenente un annuncio pubblicitario relativo al Servizio BANCOMAT Pay®) provenga l’Utente stesso, ciò al fine di consentire a BANCOMAT di verificare l’efficacia delle campagne pubblicitarie di volta in volta effettuate. Oltre alla registrazione dell’evento “download e attivazione” come conseguenza dell’efficacia di un annuncio pubblicato sulla fonte di provenienza dell’Utente, tale meccanismo non comporta ulteriori scambi con terzi di dati personali riferibili agli Utenti. Come detto, la base giuridica dei suddetti trattamenti è da rinvenirsi nel libero e facoltativo consenso dell’Utente (ex art. 6, paragr. 1, lett. a, GDPR) e la decisione di conferire tali consensi non limita o compromette l’utilizzo dell’App da parte dell’Utente.

‍

TECHNICAL COOKIES

Please note that the Circuit App contains technical cookies, managed by third parties, to anonymously collect some statistical data on the use of the App. The collection of statistical data is used to monitor the proper functioning of the App and facilitate its use by Users, with a view to improving its use and contents.

Clicca qui per ulteriori informazioni

In particolare, l’App utilizza il servizio di analisi “Firebase” di Google, che includono strumenti come “CrashAnalytics”, necessario per il monitoraggio degli arresti anomali dell’App. Con Google Firebase vengono rilevati e trasmessi i dati di utilizzo base dell’App in caso di crash come, ad esempio, il tipo di apparecchio ove l’App è installata, la versione del sistema operativo, la versione dell’App e la data dell’evento. Tutti gli eventi registrati sono raccolti in forma anonima rendendosi così impossibile l’identificazione del singolo Utente. Con riferimento all’utilizzo di queste tecnologie, BANCOMAT ha adottato ogni accorgimento utile a mascherare gli IP di coloro i quali accedono all’App di Circuito in modo da rendere impossibile l'identificazione dell'Utente tramite i dati raccolti e non consente alla terza-parte Google Inc. di incrociare le informazioni con altre di cui già dispone. È possibile trovare maggiori informazioni sulle modalità di funzionamento di tali strumenti al seguente indirizzo: https://firebase.google.com/support/privacy .

‍

DATA CONTROLLER AND DATA PROTECTION OFFICER

The data controller is BANCOMAT S.p.A., in the person of the pro tempore Chief Executive Officer, with registered office in Piazzale Luigi Sturzo 15, 00144, Rome.

Pursuant to art. 37 et seq. of the GDPR, BANCOMAT has appointed a Data Protection Officer (”DPO”) domiciled for the function at their headquarters and always reachable at the e-mail address privacy@bancomat.it.

For information relating to the processing of personal data carried out by Member Banks, please refer to the existing contract between the Member and the User.

Further data processing may be carried out in the face of special initiatives and additional functionalities and value-added services made available from time to time by the Data Controller and that the Member chooses to make available to the User, with the consequent updating of this Information.

‍

RIGHTS OF INTERESTED PARTIES

The subjects to whom the Data refer (”Interested”) can exercise at any time, free of charge and without formalities, the rights referred to in articles 15 to 22 of the GDPR, including, in particular, the right to request access to personal data, the correction or cancellation of the same, the limitation of processing, as well as the right to data portability - in the cases provided for by the GDPR - or the right to object to processing in the cases referred to in art. 21 GDPR.

Furthermore, interested parties have the right to revoke at any time any consent that may be expressed without compromising the use of the Services or affecting the lawfulness of the processing based on the consent obtained before the revocation.

Requests relating to the exercise of the rights described above can be addressed to BANCOMAT at the address of the registered office, located in Piazzale Luigi Sturzo 15, 00144, Rome, or to the following e-mail address: privacy@bancomat.it.

With particular reference to the ATM Service^® Pay would like to point out that the same is a Service that is provided by BANCOMAT to the customers of the Banks that join the relevant Circuit. On this point, it should be noted that any deactivation of the Service can be requested and carried out only by the interested party's reference bank and that, therefore, only after this deactivation, BANCOMAT will be able to proceed with the activities resulting from the same, including the cancellation of the data of the interested party, that are not necessary for the legal obligations related to the Service.

Finally, if interested parties believe that the processing of their personal data carried out in relation to the above-mentioned Services is carried out in violation of the provisions of the GDPR, they have the right to lodge a complaint with the Guarantor, as required by art. 77 of the GDPR itself or to take appropriate legal action (art. 79 GDPR).

The text of this information is subject to periodic changes. It is advisable to check the BANCOMAT institutional website for the always updated version of the same.

‍

‍