L'informativa Privacy ai Titolari di Carte | BANCOMAT®

L'informativa privacy ai Titolari di Carte

 

Testo aggiornato al 15 gennaio 2025
Versione precedente

INFORMAZIONI AGLI UTENTI DEI SERVIZI A MARCHIO BANCOMAT® AI SENSI DEGLI ARTT. 13 E 14 DEL REGOLAMENTO 2016/679/UE

L’utilizzo dei servizi a marchio BANCOMAT®, inclusivi dei servizi di prelievo e pagamento tramite carta fisica o dematerializzata e del servizio BANCOMAT Pay® per i pagamenti e trasferimenti di denaro tramite smartphone (congiuntamente “Servizi”), è riservato alle persone fisiche (“Utenti”) che abbiano sottoscritto l’apposito contratto con la propria banca aderente ai circuiti di titolarità di BANCOMAT S.p.A. (“Aderenti”), BANCOMAT®, PagoBANCOMAT® e BANCOMAT Pay® (congiuntamente “Circuiti”). Nell’ambito dei Servizi appena indicati, BANCOMAT S.p.A. gestisce e governa l’infrastruttura tecnologica volta a elaborare e processare le transazioni effettuate dagli Utenti all’interno dei propri Circuiti.

Con la presente, ai sensi degli artt. 13 e 14 del Regolamento generale sulla protezione dei dati 2016/679/UE (“GDPR”) – e in ossequio alla normativa nazionale pro tempore vigente (collettivamente con il GDPR, “Normativa Privacy”) – desideriamo informare circa i trattamenti dei dati personali degli Utenti abilitati all’utilizzo dei Servizi svolti da parte di BANCOMAT S.p.A. in qualità di titolare (“Titolare” o “BANCOMAT”).

1. DATI E MODALITA’ DI TRATTAMENTO CORRELATI ALLE ATTIVITA’ DI PAGAMENTO E PRELIEVO

TIPOLOGIA DI DATI TRATTATI

I dati personali (“Dati”) trattati nell’ambito dei Servizi consistono, a titolo esemplificativo, nei codici identificativi univoci delle carte fisiche (PAN – e TOKEN in caso di dematerializzazione delle stesse) e dei conti (numero di conto corrente) assegnate/i agli stessi; nel nome, cognome, IBAN e numero di telefono associati all’utenza del Servizio BANCOMAT PAY®; nonché nel codice fiscale degli Utenti e nei dati contenuti nelle transazioni di riferimento (es. PAN, importo e ora della transazione). Nell’ambito del Servizio BANCOMAT Pay® nei casi di trasferimento denaro (Pagamenti P2P, P2B) è trattato anche l’IBAN del beneficiario per consentire alla banca di quest’ultimo la corretta esecuzione dell’accredito. Per le informazioni in merito al trattamento dei dati personali effettuato nell’ambito della funzionalità “Riscuoti denaro” (rientrante nella categoria dei Pagamenti P2P) si rimanda all’informativa privacy dedicata [https://bancomat.it/it/privacy/riscuoti-denaro].

Si precisa che i suddetti Dati sono forniti al Titolare – in virtù del proprio ruolo di gestore dei Circuiti cui sono correlati i Servizi stessi – dagli Aderenti anche per il tramite delle strutture tecniche dagli stessi incaricate.

FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO

I Dati sono trattati per le seguenti finalità e sulla base delle condizioni di liceità (“basi giuridiche”) rispettivamente indicate:

  1. per garantire la corretta erogazione dei Servizi – ivi incluso il processamento delle transazioni/pagamenti effettuate/i sui Circuiti, il monitoraggio del corretto andamento dei Servizi, la gestione di eventuali contestazioni o disconoscimenti come, ad esempio, mancati accrediti, doppi addebiti, importi errati, transazioni con esito non conforme – dando esecuzione al contratto con l’Aderente di cui l’Utente è parte interessata (ex art. 6, paragr. 1, lett. b del GDPR);
  2. per l’assolvimento degli obblighi di legge cui è tenuto il Titolare – anche a livello amministrativo – quali: la fatturazione dei Servizi, l’esecuzione di ordini o le richieste da parte delle pubbliche autorità (ex art. 6, paragr. 1, lett. c del GDPR);
  3. per il perseguimento del legittimo interesse del Titolare a (1) esercitare i propri diritti nelle eventuali sedi giudiziarie, (2) effettuare il presidio e il monitoraggio di eventuali eventi fraudolenti che possono verificarsi sugli stessi e (3) procedere all’anonimizzazione dei Dati per finalità statistiche (ex art. 6, paragr. 1, lett. f del GDPR).

Il conferimento dei Dati per le finalità sopra indicate (con particolare riferimento ai punti 1 e 2), oltre ad essere necessario per consentire il corretto funzionamento dei Servizi, è reso obbligatorio dal funzionamento tecnico dei Circuiti stessi. Dunque, la successiva richiesta di cancellazione degli stessi, comporta l’impossibilità per gli Utenti di continuare ad usufruire dei Servizi e di operare all’interno dei Circuiti tramite le carte fisiche o dematerializzate.

Gli stessi Dati, aggregati e trasformati irreversibilmente in forma anonima, potranno essere utilizzati per finalità statistiche. In particolare, tali dati anonimizzati potranno essere utilizzati per la creazione di report relativi all’andamento dei Servizi all’interno del mercato di riferimento; per analisi interne e/o condivisione con soggetti terzi (ad esempio, gli Aderenti) che ne abbiano interesse, restando comunque esclusa ogni finalità di marketing.

MODALITA’ DEL TRATTAMENTO

I Dati sono trattati dal Titolare, mediante personale appositamente autorizzato e specificatamente formato, e – all’esterno – da soggetti che, nominati responsabili del trattamento (“Responsabili”), forniscano attività strumentali al funzionamento dei Servizi. I Dati sono trattati attraverso l’utilizzo di strumenti automatizzati e non automatizzati, garantendo l’adozione di misure tecniche e organizzative volte a prevenire eventuali violazioni di sicurezza che possano comportare la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso illecito degli stessi.

Clicca qui per ulteriori informazioni sulle modalità di trattamento

Tra i Responsabili, a titolo esemplificativo e non esaustivo, si segnalano: il fornitore della piattaforma tecnologica necessaria per consentire l’erogazione dei Servizi e il processamento delle transazioni; il fornitore della piattaforma tecnologica di Tokenizzazione; i fornitori di servizi di gestione e manutenzione tecnologica dei sistemi del Titolare. La lista aggiornata di tutti i Responsabili potrà essere richiesta al Titolare del trattamento ai recapiti indicati nel prosieguo.

Oltre a quanto eventualmente obbligatorio per legge, i Dati potranno, inoltre, essere comunicati a soggetti terzi autonomi titolari del trattamento (a titolo esemplificativo, eventuali professionisti esterni e consulenti legali e la società di revisione esterna), nonché a pubbliche Autorità a vario titolo investite di compiti di sorveglianza e controllo nei confronti di BANCOMAT e/o all’autorità giudiziaria e a forze di polizia, ove necessario per la tutela dei diritti di BANCOMAT o di terzi.

In ogni caso i Dati non saranno soggetti a diffusione, intendendosi per tale la messa a disposizione a soggetti indeterminati.

Non è previsto il trattamento dei Dati al di fuori dallo Spazio Economico Europeo, se non nella misura in cui i Responsabili precedentemente menzionati abbiano necessità, ai fini dello svolgimento dei Servizi, di trasferire i Dati – o accedere agli stessi – verso/da paesi extra UE. Nel caso, ciò avverrà nel pieno rispetto dei principi contenuti negli artt. 44 e ss. del GDPR. 

PERIODO DI CONSERVAZIONE DEI DATI

Salvi il rispetto di obblighi di legge e/o l’instaurarsi di eventuali contenziosi, i Dati collegati all’utilizzo dei Servizi saranno conservati per dieci anni dalla cessazione del rapporto su cui si basa l’uso della carta di pagamento (PagoBANCOMAT® e BANCOMAT®) ovvero dalla cessazione dell’utenza BANCOMAT Pay®; i Dati relativi alle singole transazioni saranno conservati per dieci anni a far data dalla loro effettuazione.

Cessato il periodo di conservazione previsto i Dati non più necessari potranno essere anonimizzati irreversibilmente ovvero cancellati in modo sicuro.

2. DATI E MODALITA’ DI TRATTAMENTO RELATIVI ALL’UTILIZZO DELL’APP BANCOMAT Pay®

Come detto, il Servizio BANCOMAT Pay® prevede la possibilità di effettuare pagamenti presso gli esercenti convenzionati e/o trasferire denaro tra privati tramite apposita App che, ove non integrata nell’app della Banca Aderente, viene messa a disposizione da BANCOMAT S.p.A. (“App di Circuito” o semplicemente “App”) e scaricabile tramite gli appositi store online accessibili mediante device mobili (a titolo esemplificativo: App Store IOS, Google Play Android).

Oltre a quanto già sopra esposto, l’App prevede alcune funzionalità facoltative correlate alle operazioni di pagamento per il cui utilizzo è necessario interagire con il dispositivo dell’Utente richiedendo allo stesso il rilascio di specifiche autorizzazioni. All’interno dell’App è possibile anche usufruire di funzionalità aggiuntive non correlate alle operazioni di pagamento (es. memorizzazione carte fedeltà).

L’App inoltre effettua automaticamente la registrazione di alcuni eventi (es. processo di attivazione dell’App stessa e l’autorizzazione pagamenti e trasferimenti di denaro) necessari per monitorare da un punto di vista esclusivamente tecnico il corretto completamento delle operazioni effettuate dall’Utente.

Clicca qui per maggiori informazioni sui trattamenti in App

Nello specifico l’App prevede la richiesta di autorizzazione ad:
i.    accedere alla fotocamera, al solo fine di consentire l’inquadramento del QR Code nell’ambito delle operazioni di pagamento presso l’esercente convenzionato e senza che ciò comporti l’accesso alla “galleria fotografica” del dispositivo;
ii.    accedere alla rubrica, al solo fine di selezionare il beneficiario delle operazioni di trasferimento denaro e senza che ciò comporti la memorizzazione dei dati ivi contenuti.

Laddove tali utilizzi non siano autorizzati dall’Utente, i Servizi in questione non potranno essere resi.

Assolutamente facoltative per l’Utente, sono invece le funzionalità (ex art. 6, comma 1, lett. a, GDPR):
iii.    di geolocalizzazione del dispositivo sul quale l’App è installata per consentire all’Utente stesso, qualora lo desideri, di individuare gli esercenti convenzionati BANCOMAT più vicini alla sua posizione. Fatto salvo quanto previsto nel paragrafo a seguire, l’attivazione del GPS e il rilascio del consenso alla geolocalizzazione non comporta la registrazione e memorizzazione nei sistemi di BANCOMAT dei dati relativi alla posizione;
iv.    di ricezione di notifiche collegate alle operazioni di pagamento BANCOMAT Pay®.

Il consenso ad usufruire di tali ultime funzionalità è facoltativo e non incide sul funzionamento dell’App. Entrambe possono essere disattivate o riattivate a scelta dell’Utente, tramite la apposita funzione presente, rispettivamente, sul dispositivo nel quale l’App è installata ovvero all’interno dell’App stessa.

Allo stesso modo, il conferimento facoltativo e volontario da parte dell’Utente di dati ulteriori rispetto a quelli strettamente funzionali alla fruizione del Servizio e delle funzionalità sopra descritte – come ad esempio la memorizzazione delle carte fedeltà e/o dei documenti – non incide in alcun modo sull’utilizzo dell’App e delle relative funzionalità correlate alle operazioni di pagamento ma è rimesso alla libera volontà dell’Utente stesso. Tali ulteriori dati saranno conservati fino alla cancellazione degli stessi da parte dell’Utente o a seguito della disattivazione dell’App.

Si segnala poi che l’App effettua automaticamente il necessario monitoraggio degli eventi (quali, il processo di attivazione dell’Utente e cadute di autenticazione, fallimenti nel processo di SCA – “strong customer authentication” – dell’Utente nell’ambito delle singole operazioni di pagamento che la prevedono, monitoraggio del login con PIN/Fingerprint, se attivato dall’Utente) che determinano anomalie rispetto all’andamento ordinario e fisiologico del completamento del processo di attivazione della App con la propria banca e della transazione/trasferimento denaro, al solo fine di consentire agli Aderenti il rispetto degli obblighi di gestione dei rischi connessi alle operazioni di pagamento e trasferimento sulla base di quanto previsto dalla normativa vigente in materia (a titolo esemplificativo, Direttiva n. 2366/2015 – c.d. “PSD2” - e Regolamento Delegato n. 389/2018). Tali informazioni vengono conservate da BANCOMAT per la durata di 10 anni come specificato nel precedente paragrafo relativo al periodo di conservazione dei dati.

MARKETING E PROFILAZIONE

A seguito di specifico ed espresso consenso da parte dell’Utente, i Dati potranno essere utilizzati per finalità di marketing e/o profilazione di BANCOMAT. In particolare, per finalità di marketing si intende il trattamento dei Dati dell’Utente per l’inoltro – tramite modalità automatizzate di contatto (SMS, instant messaging e altri eventuali ulteriori canali di volta in volta consentiti) – di comunicazioni promozionali relative a prodotti, servizi e offerte di BANCOMAT S.p.A. e di altri partner commerciali di BANCOMAT S.p.A. (senza trasferimento dei dati a questi soggetti) ovvero per l’effettuazione di rilevazioni del grado di soddisfazione dell’Utente rispetto all’uso dei servizi di BANCOMAT S.p.A. e/o ricerche di mercato in ordine all’offerta dei prodotti e/o servizi di BANCOMAT S.p.A., tramite, SMS, instant messaging e altri eventuali ulteriori canali di volta in volta consentiti (MARKETING DIRETTO). Per finalità di profilazione si intende il trattamento dei Dati dell’Utente per l’inoltro – tramite modalità automatizzate di contatto (SMS, instant messaging e altri eventuali ulteriori canali di volta in volta consentiti) – di comunicazioni promozionali personalizzate relative a prodotti, servizi e offerte di BANCOMAT S.p.A. e di altri partner commerciali di BANCOMAT S.p.A. (senza trasferimento dei dati a questi soggetti) e consentire all’Utente di usufruire di servizi personalizzati in base alle sue abitudini, propensioni e interessi (PROFILAZIONE CON FINALITA’ DI MARKETING).

Ogni consenso potrà essere concesso o revocato in qualsiasi momento accedendo alla sezione “Consensi e privacy” presente all’interno dell’App stessa. La revoca di uno o più consensi precedentemente rilasciati non pregiudica la liceità del trattamento effettuato sulla base consenso rilasciato prima della revoca.

Fatto salvo l’eventuale rinnovo del consenso espresso, i dati trattati per finalità di marketing e profilazione saranno conservati, rispettivamente, per 24 (ventiquattro) e 12 (dodici) mesi dalla data di rilascio del consenso ovvero fino alla revoca dello stesso qualora avvenga antecedentemente.

Clicca qui per ulteriori informazioni sulle attività di marketing e profilazione 

A seguito di ulteriore, specifico ed espresso consenso da parte dell’Utente, i Dati potranno essere trasferiti a terzi (Aderenti al Servizio) che – in qualità di titolari autonomi – li tratteranno per loro finalità di marketing diretto al fine di suggerire all’Utente beni e servizi in linea con le abitudini e le preferenze espresse. In tal caso, gli Aderenti destinatari dei dati trasferiti potranno effettuare nei confronti degli interessati attività promozionali senza dover acquisire un nuovo consenso, premurandosi, tuttavia, di fornire agli interessati le informazioni di cui all’art. 14 del GDPR e precisando di aver acquisito i dati da BANCOMAT S.p.A. (CESSIONE A TERZI PER MARKETING DIRETTO).

Nello specifico, a seguito del rilascio da parte dell’Utente del consenso alla profilazione, nell’App vengono attivati degli strumenti di tracciamento degli Utenti stessi volti a conoscere interessi e abitudini dell’Utente al fine di offrire servizi e prodotti, anche di terzi, in linea con le preferenze di ognuno. Il tracciamento, laddove consentito dall’Utente, viene effettuato tramite appositi “tag”, ovvero specifici indicatori in grado di rilevare, nel corso della navigazione in App e dell’esecuzione delle operazioni ivi effettuate, eventi specifici e pre-individuati. Tra i tag sono altresì ricompresi metodi di tracciamento riferibili alla posizione dell’Utente acquisiti sempre previa raccolta del consenso facoltativo dello stesso. In particolare, laddove l’Utente consenta alla App l’accesso alla propria posizione (geolocalizzazione) e fornisca anche il suo consenso alla profilazione, verranno acquisiti, nel corso di qualsivoglia sua interazione con l’App, i dati relativi alla posizione del dispositivo dell’Utente sul quale è installata la App.

Inoltre, l’App è dotata di un codice dedicato – consistente in una tecnologia esterna e totalmente autonoma da BANCOMAT, integrata in App al fine di implementarne le relative funzionalità (per maggiori informazioni: www. https://support.appsflyer.com) – che, solo previa raccolta del consenso facoltativo alla profilazione, consente di poter attribuire ad ogni Utente un identificativo univoco (“ID”) utile a rilevare da quale fonte (contenente un annuncio pubblicitario relativo al Servizio BANCOMAT Pay)® provenga l’Utente stesso, ciò al fine di consentire a BANCOMAT di verificare l’efficacia delle campagne pubblicitarie di volta in volta effettuate. Oltre alla registrazione dell’evento “download e attivazione” come conseguenza dell’efficacia di un annuncio pubblicato sulla fonte di provenienza dell’Utente, tale meccanismo non comporta ulteriori scambi con terzi di dati personali riferibili agli Utenti. 
Come detto, la base giuridica dei suddetti trattamenti è da rinvenirsi nel libero e facoltativo consenso dell’Utente (ex art. 6, paragr. 1, lett. a, GDPR) e la decisione di conferire tali consensi non limita o compromette l’utilizzo dell’App da parte dell’Utente.

COOKIE TECNICI

Si segnala che l’App di Circuito contiene cookie tecnici, gestiti da soggetti terzi, per raccogliere in forma anonima alcuni dati statistici sull’utilizzo dell'App. La raccolta dei dati statistici serve a monitorare il corretto funzionamento dell’App e facilitarne l’uso da parte degli Utenti, nell’ottica di migliorarne la fruizione e i contenuti.

Clicca qui per ulteriori informazioni

In particolare, l’App utilizza il servizio di analisi “Firebase” di Google, che includono strumenti come “CrashAnalytics”, necessario per il monitoraggio degli arresti anomali dell’App. Con Google Firebase vengono rilevati e trasmessi i dati di utilizzo base dell’App in caso di crash come, ad esempio, il tipo di apparecchio ove l’App è installata, la versione del sistema operativo, la versione dell’App e la data dell’evento. Tutti gli eventi registrati sono raccolti in forma anonima rendendosi così impossibile l’identificazione del singolo Utente. Con riferimento all’utilizzo di queste tecnologie, BANCOMAT ha adottato ogni accorgimento utile a mascherare gli IP di coloro i quali accedono all’App di Circuito in modo da rendere impossibile l'identificazione dell'Utente tramite i dati raccolti e non consente alla terza-parte Google Inc. di incrociare le informazioni con altre di cui già dispone.

È possibile trovare maggiori informazioni sulle modalità di funzionamento di tali strumenti al seguente indirizzo: https://firebase.google.com/support/privacy.

3. TITOLARE DEL TRATTAMENTO E RESPONSABILE PROTEZIONE DATI

Titolare del trattamento è BANCOMAT S.p.A., in persona dell’Amministratore Delegato pro tempore, con sede unica in Roma, Via Vittorio Veneto n. 54B, CAP 00187.

Ai sensi degli art. 37 e ss. GDPR, BANCOMAT ha provveduto a nominare un Responsabile Protezione Dati (“DPO”) domiciliato per la funzione presso la propria sede e sempre raggiungibile all’indirizzo e-mail privacy@bancomat.it.

Per le informazioni relative al trattamento dei dati personali effettuato dalle banche Aderenti si rimanda al contratto in essere tra l’Aderente e l’Utente.

Ulteriori trattamenti di dati potranno essere effettuati a fronte di particolari iniziative e ulteriori funzionalità e servizi a valore aggiunto tempo per tempo messi a disposizione dal Titolare e che l’Aderente scelga di mettere a disposizione dell’Utente, con conseguente aggiornamento delle presenti Informazioni.

4. DIRITTI DEGLI INTERESSATI

I soggetti cui si riferiscono i Dati (“Interessati”) possono esercitare in qualsiasi momento, gratuitamente e senza formalità, i diritti di cui agli artt. da 15 a 22 del GDPR, tra i quali, in particolare, il diritto di chiedere l’accesso ai dati personali, la rettifica o la cancellazione degli stessi, la limitazione del trattamento, nonché il diritto alla portabilità dei dati stessi – nei casi previsti dal GDPR – ovvero il diritto di opporsi al trattamento nei casi di cui all’art. 21 GDPR.

Gli interessati hanno, inoltre, il diritto di revocare in qualsiasi momento ogni consenso eventualmente espresso senza che questo comprometta la fruizione dei Servizi o pregiudichi la liceità del trattamento basata sul consenso acquisito prima della revoca.

Le richieste inerenti all’esercizio dei diritti sopra descritti possono essere rivolte a BANCOMAT presso l’indirizzo della sede, sita in Via Vittorio Veneto n. 54b, 00187, Roma, ovvero al seguente indirizzo e-mail: privacy@bancomat.it.

Con particolare riferimento al Servizio BANCOMAT Pay® si fa presente che lo stesso è un Servizio che viene reso da BANCOMAT ai clienti delle Banche che aderiscono al relativo Circuito. Sul punto è bene precisare che l’eventuale disattivazione del Servizio può essere richiesta ed effettuata solo dalla Banca di riferimento dell’Interessato e che, pertanto, solo a valle di tale disattivazione, BANCOMAT potrà procedere alle attività conseguenti alla stessa, ivi compresa la cancellazione dei dati dell’Interessato medesimo, che non siano necessari agli adempimenti di legge connessi al Servizio.

Infine, qualora gli interessati ritengono che il trattamento dei dati personali a loro riferiti effettuato in relazione ai Servizi sopra citati venga effettuato in violazione di quanto disposto dal GDPR hanno il diritto di proporre reclamo al Garante, come previsto dall'art. 77 del GDPR stesso o di adire le opportune sedi giudiziarie (art. 79 GDPR).

Il testo delle presenti informazioni è soggetto a modifiche periodiche. Si consiglia di verificare sul sito istituzionale di BANCOMAT la versione sempre aggiornata dello stesso.