WEB PRIVACY POLICY

Informativa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (il “Regolamento” o il “GDPR”) sul trattamento dei dati personali raccolti sui Siti di SisalPay Group S.p.A., SisalPay S.p.A. o SisalPay Servizi S.p.A.

Definizioni

  • Dati Personali: qualsiasi informazione riguardante gli Interessati, quali ad esempio i dati anagrafici, l’ubicazione, il codice fiscale, l’IBAN, così come definiti all’art. 4 co.1 del Regolamento
  • Gruppo: SisalPay Group S.p.A., SisalPay S.p.A. o SisalPay Servizi S.p.A.
  • Interessato/i: le persone fisiche i cui dati personali sono raccolti e trattati dal Titolare, mediante i Siti (di seguito anche “Utente/i”).
  • Sito/i: gli URL registrati dal Titolare, a cui accedono gli Interessati e che rappresentano, informano e/o promuovono i Prodotti dei Titolari.
  • Prodotti: i prodotti ed i servizi offerti al pubblico dal Titolare.

Titolare del trattamento

In relazione agli specifici Siti, il Titolare del trattamento è una o più d’una delle seguenti società:

  • SisalPay Group S.p.A. – società soggetta all’attività di direzione e coordinamento di Sisal Group S.p.A., con sede legale in 20154 Milano, Via A. di Tocqueville 13, n.ro di iscrizione nel Registro delle Imprese di Milano, Codice Fiscale e Partita IVA 10387140964
  • SisalPay S.p.A. – Istituto di Moneta Elettronica (IMEL), iscritta nell’Albo degli Istituti di Moneta Elettronica ex art. 114 quater D.Lgs. 385/93 con il n. 32532, con sede legale in 20154 Milano, Via A. di Tocqueville 13, n.ro di iscrizione nel Registro delle Imprese di Milano, Codice Fiscale e Partita IVA 06529501006
  • SisalPay Servizi S.p.A. – società soggetta all’attività di direzione e coordinamento di Sisal Group S.p.A., con sede legale in 20154 Milano, Via A. di Tocqueville 13, n.ro di iscrizione nel Registro delle Imprese di Milano, Codice Fiscale e Partita IVA 10387150963

Responsabile della protezione dei dati

Il Titolare si avvale di un Responsabile della Protezione dei Dati, noto anche come “Data Protection Officer” o “DPO”. Il DPO può essere contattato al seguente indirizzo email: dpo@sisal.it.

Fonte dei dati personali

I dati personali oggetto di trattamento da parte del Titolare sono acquisiti direttamente dal Titolare e/o tramite soggetti terzi a ciò appositamente incaricati. Tali dati sono liberamente forniti dall’Interessato (es. tramite le richieste inviate al Titolare utilizzando i form di contatto preposti) o sono acquisiti dai sistemi informatici preposti al funzionamento dei Siti nel corso del loro normale utilizzo.

Finalità e base giuridica del trattamento

  1. Risposta alle richieste dell’Interessato
    Sulla base del contratto in essere con l’Interessato o per l’esecuzione di misure precontrattuali adottate su richiesta dell’Interessato, i dati personali sono trattati dal Titolare per rispondere alle richieste dello stesso, pervenute ad esempio tramite i form predisposti o mediante l’invio di comunicazioni ai contatti (ivi compresi gli indirizzi email) riportati sul Sito.
  2. Identificazione e registrazione dell’Utente al Sito e creazione dell’account/del profilo (ove prevista un’area riservata)
    Sulla base del contratto in essere con l’Interessato o per l’esecuzione di misure precontrattuali adottate su richiesta dell’Interessato, i dati personali sono trattati dal Titolare per identificare l’Utente e consentire allo stesso di completare la procedura di registrazione all’Interno del Sito e creare/ modificare un account/profilo personale.
  3. Accesso al Sito e gestione dell’account/del profilo (ove prevista un’area riservata)
    Sulla base della registrazione effettuata, ovvero sulla base del contratto in essere con l’Interessato o per l’esecuzione di misure precontrattuali adottate su richiesta dell’Interessato, i dati personali sono trattati dal Titolare per consentire all’Interessato di accedere al Sito e modificare/gestire il proprio account personale.
  4. Invio di comunicazioni informative (newsletter)
    Per l’esecuzione di misure precontrattuali adottate su richiesta dell’Interessato, i dati personali sono trattati dal Titolare per l’invio di comunicazioni informative (newsletter).
  5. Adempimento di obblighi di legge, nonché di ordini/disposizioni di Pubbliche Autorità e/o Organismi di Vigilanza
    Al fine di adempiere un obbligo legale al quale è soggetto il Titolare del trattamento, i dati personali sono trattati dal Titolare per adempiere a obblighi normativi, sia nazionali che sovranazionali (es. obblighi imposti dalla normativa finalizzata al contrasto del riciclaggio, della corruzione, del terrorismo, della commercializzazione di materiale pedopornografico e dell’evasione fiscale, ecc.), e a eventuali ordini/disposizioni di Pubbliche Autorità e/o Organismi di Vigilanza (es. UIF, Banca d’Italia, Agenzia delle Entrate, autorità giudiziaria, Agenzia delle Dogane e dei Monopoli, autorità di pubblica sicurezza, Ministero delle Attività Produttive, ecc.).
  6. Tutela del patrimonio aziendale
    Sulla base del legittimo interesse del Titolare del trattamento, i dati personali dell’Interessato potrebbero essere trattati dal Titolare per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni dei Siti.
  7. Comunicazioni promozionali e di marketing
    Previo specifico consenso da parte dell’Interessato, i Dati Personali verranno trattati anche per l’invio di comunicazioni commerciali e di marketing strategico (es. ricerche di mercato) e operativo, anche diretto, ma comunque correlato a categorie di servizi offerti dal Titolare e dal Gruppo di appartenenza del Titolare, nonché per la partecipazione a manifestazioni a premi e programmi di loyalty e fidelizzazione.
  8. Profilazione
    Previo specifico consenso da parte dell’Interessato, i Dati Personali potranno essere trattati per effettuare la profilazione degli Interessati connessa a marketing diretto correlato a categorie di servizi offerti dal Titolare e dal Gruppo di appartenenza del Titolare, ovvero al fine di elaborare, inviare comunicazioni e consentire agli Interessati di usufruire di servizi studiati in base alle loro abitudini e propensioni al consumo. I dati degli Interessati potranno anche essere utilizzati per creare dei “cluster” (gruppi omogenei costituiti da profili che presentino un grado di correlazione) a seconda delle abitudini e delle propensioni di consumo in modo da sviluppare campagne digitali mirate ed in linea con le preferenze dei singoli Interessati, anche tramite soggetti terzi.
  9. Comunicazione a terzi per l’invio di informazioni commerciali e di marketing e la partecipazione a programmi di loyalty e/o di incentivazione commerciale, (ivi comprese le operazioni a premio), relative a prodotti e/o servizi di tali terzi, nonché per l’esecuzione di attività di profilazione in proprio per lo sviluppo di campagne digitali mirate ed in linea con le preferenze degli Interessati
    Previo specifico consenso da parte dell’Interessato, i Dati Personali potranno altresì essere comunicati ai seguenti terzi:
    1. società terze per l’invio di informazioni commerciali e di marketing (es. ricerche di mercato) e la partecipazione a programmi di loyalty e/o di incentivazione commerciale (ivi comprese operazioni a premio), relative a prodotti e/o servizi di terzi;
    2. società terze per l’esecuzione di attività di profilazione in proprio, secondo le logiche descritte sopra.

Categorie dei trattati

I dati personali che possono essere trattati dal Titolare per le finalità indicate al precedente paragrafo appartengono alle seguenti categorie: dati identificativi e di contatto (es. nome, cognome, luogo e data di nascita, indirizzo e-mail, codice fiscale, nome utente e password utilizzati per l’accesso ai sistemi che il Titolare mette a disposizione dell’Interessato); dati relativi alle transazioni (es. l’importo e le date delle operazioni, gli estremi identificativi di altri rapporti bancari, l’IBAN del conto corrente); dati finanziari (es. lo storico dei pagamenti); dati idonei a rivelare gusti, preferenze, abitudini di vita o di consumo (es. preferenze di navigazione, informazioni relative allo stile di vita dell’Utente o a suoi hobby e interessi oltre alle sue preferenze di acquisto online); dati di connessione (es. l’indirizzo IP del dispositivo usato, ora e durata della connessione); dati di geolocalizzazione del dispositivo utilizzato; fotografie dell’Interessato, qualora fornite dall’Interessato stesso; dati di geolocalizzazione del dispositivo utilizzato; qualunque altro dato volontariamente comunicato ai Titolari dagli Interessati nell’ambito della comunicazione con gli stessi (es. utilizzando il form di contatto). Il Titolare non richiede e non tratta di sua iniziativa dati particolari degli Interessati (es. dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, ecc.). Tuttavia, è possibile che il Titolare, per dare esecuzione a specifiche richieste da parte dell’Interessato di servizi e/o operazioni inerenti al rapporto con l’Interessato, debba trattare tali dati. Poiché il Titolare non può intercettare o rifiutare queste richieste e, quindi, richiedere il consenso previsto dalla normativa all’Interessato, il trattamento di tali dati si ritiene autorizzato dall’Interessato per fatti concludenti. I dati in questione saranno trattati esclusivamente per dare esecuzione alla richiesta dell’Interessato.

Modalità di trattamento

Il trattamento dei dati avviene mediante strumenti informatici, telematici e, in via residuale, manuali, con logiche strettamente correlate alle finalità sopra evidenziate e, in ogni caso, nel rispetto delle cautele, delle garanzie e delle misure necessarie prescritte dalla normativa di riferimento, volte ad assicurare la riservatezza, l’integrità e la disponibilità dei dati, nonché ad evitare danni, siano essi materiali o immateriali (es. perdita del controllo dei dati personali o limitazione dei diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo).

Comunicazione e diffuzione

Per il perseguimento delle finalità suindicate, il Titolare si riserva la facoltà di comunicare i dati personali ai destinatari appartenenti alle seguenti categorie:

  • Pubbliche Autorità e/o Organismi di Vigilanza (es. autorità giudiziaria, Banca d’Italia, autorità di pubblica sicurezza, Ufficio Indagini Finanziarie, ecc.);
  • altre società del gruppo di cui è parte il Titolare, o comunque società controllanti, controllate o collegate, ai sensi dell’art. 2359 c.c., situate anche all’estero;
  • soggetti terzi aventi il compito di collocare e/o gestire i prodotti e i servizi del Titolare (es. i Punti Vendita SisalPay);
  • soggetti che effettuano servizi di acquisizione, lavorazione ed elaborazione dati;
  • soggetti che forniscono servizi per la gestione del sistema informativo del Titolare e delle reti di telecomunicazioni (ivi compresi i servizi di mailing);
  • soggetti che svolgono attività di archiviazione della documentazione e data-entry;
  • soggetti che svolgono attività di assistenza all’Interessato;
  • studi professionali o società nell’ambito di rapporti di assistenza e consulenza;
  • soggetti che effettuano attività di assistenza e consulenza di comunicazione (es. ricerche di mercato volte a rilevare il grado di soddisfazione degli Interessati sulla qualità dei servizi e sull’attività svolta dal Titolare, marketing, ecc.);
  • soggetti che svolgono analisi delle attività di chi visita il sito e delle prestazioni delle campagne online volte a migliorare contenuti e servizi, anche tramite cookie (per maggiori informazioni sui cookie consultare la pagina specifica);
  • soggetti che svolgono adempimenti di controllo, revisione e certificazione delle attività poste in essere dal Titolare;
  • soggetti che a vario titolo succedono alla Società nella titolarità dei rapporti giuridici (es. cessionari o potenziali cessionari di beni, crediti e/o contratti).

I soggetti appartenenti alle categorie sopra annoverate operano in autonomia come distinti Titolari del trattamento, o come Responsabili all’uopo nominati dal Titolare. I dati potranno inoltre essere conosciuti, in relazione allo svolgimento delle mansioni assegnate, dal personale stesso del Titolare, ivi compresi gli stagisti, i lavoratori interinali, i consulenti, appositamente autorizzati dal Titolare al trattamento. I dati personali, in ogni caso, non saranno oggetto di diffusione e, pertanto, non saranno portati a conoscenza di soggetti indeterminati, in qualunque forma, ad esempio mediante la loro messa a disposizione o consultazione. L’elenco aggiornato dei Responsabili del trattamento è disponibile inoltrando richiesta a privacy_sisal@legalmail.it.

Trasferimento dei dati extra-UE

Il Titolare dà atto che, per il completamento di alcune fasi dell’esecuzione dei Contratti, i dati personali degli Interessati potrebbero essere comunicati a soggetti situati in paesi al di fuori dell’Unione Europea, che cooperano con il Titolare nella realizzazione delle finalità di cui sopra. In ogni caso tale trasferimento avverrà unicamente a fronte dell’esistenza di accordi internazionali o decisioni di adeguatezza da parte della Commissione (ex art. 45 del Regolamento) o a fronte della stipula di norme vincolanti d’impresa (“Binding Corporate Rules” o “BCR” ex art. 47 del Regolamento) o comunque sulla base di altre garanzie appropriate che garantiscano ai dati personali comunicati o traferiti un grado di protezione adeguato. Una copia dei dati personali eventualmente trasferiti all’estero, nonché l’elenco dei paesi terzi/organizzazioni internazionali verso i quali i dati personali sono stati trasferiti, potranno essere richiesti al Titolare all’indirizzo email privacy_sisal@legalmail.it.

Tempi di conservazione

I dati personali degli Utenti saranno conservati dal Titolare per i seguenti periodi di tempo, sulla base dei diversi trattamenti indicati nel paragrafo Finalità e base giuridica del trattamento:

  • per le finalità di cui al punto 1), il Titolare conserverà i dati personali degli Utenti per 24 mesi dall’acquisizione;
  • per le finalità di cui al punto 1), il Titolare conserverà i dati personali degli Utenti per 24 mesi dall’acquisizione;
  • per la finalità di cui ai punti 2) e 3), il Titolare conserverà i dati personali degli Utenti fino alla richiesta di disattivazione dell’account da parte degli stessi o, se l’account è collegato a un contratto in essere tra il Titolare e l’Interessato, per ulteriori 10 anni dal momento della disattivazione dell’account;
  • per la finalità di cui al punto 4), il Titolare conserverà i dati personali degli Utenti fino alla richiesta di annullamento dell’iscrizione alla newsletter da parte degli stessi;
  • per la finalità di cui al punto 5), il Titolare conserverà i dati personali degli Utenti fino all’esaurimento dell’obbligo normativo o dell’ordine/disposizione dell’Autorità e/o Organismo di Vigilanza;
  • per la finalità di cui al punto 6), il Titolare conserverà i Dati Personali degli Interessati fino all’esaurimento del legittimo interesse del Titolare o, in assenza di questo, per un massimo di 24 mesi dalla raccolta;
  • per la finalità di cui ai punti da 7) a 9), il Titolare conserverà i dati personali degli Utenti per 24 mesi dall’acquisizione o fino alla revoca del consenso da parte dell’Interessato.

Decorsi tali termini, il Titolare provvederà alla cancellazione automatica dei dati personali dell’Utente, ovvero alla loro trasformazione in forma anonima in maniera irreversibile.

Diritti dell’interessato

Ai sensi degli articoli da 15 a 22, il Regolamento conferisce agli Interessati la possibilità di esercitare specifici diritti. In particolare, l’Interessato può ottenere: a) la conferma dell’esistenza di trattamenti di dati personali che lo riguardano e, in tal caso, l’acceso a tali dati; b) la rettifica dei dati personali inesatti e l’integrazione dei dati personali incompleti; c) la cancellazione dei dati personali che lo riguardano, nei casi in cui ciò sia consentito dal Regolamento; d) la limitazione del trattamento, nelle ipotesi previste dal Regolamento; e) la comunicazione, ai destinatari cui siano stati trasmessi i dati personali, delle richieste di rettifica/cancellazione dei dati personali e di limitazione del trattamento pervenute dall’Interessato, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato; f) la ricezione, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, dei dati personali forniti al Titolare, nonché la trasmissione degli stessi a un altro titolare del trattamento, e ciò in qualsiasi momento, anche alla cessazione dei rapporti eventualmente intrattenuti col Titolare. L’Interessato ha altresì il diritto di opporsi in qualsiasi momento ai trattamenti di dati personali che lo riguardano: in tali casi, il Titolare è tenuto ad astenersi da ogni ulteriore trattamento, fatte salve le ipotesi consentite dal Regolamento. L’interessato ha inoltre il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo che tale decisione: a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’Interessato e il Titolare; b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare; c) si basi sul consenso esplicito dell’Interessato. Nelle ipotesi di cui alle predette lettere a) e c), l’Interessato ha il diritto di ottenere l’intervento umano da parte del Titolare, di esprimere la propria opinione e di contestare la decisione. Le richieste possono essere presentate all’unità organizzativa preposta al riscontro dell’Interessato, mediante posta ordinaria inviata alla sede del Titolare o mediante posta elettronica inviata all’indirizzo privacy_sisal@legalmail.it.
L’Interessato ha, inoltre, il diritto di proporre reclamo al Garante Privacy, come previsto dall’art. 77 del Regolamento, nonché di adire le opportune sedi giudiziarie ai sensi degli artt. 78 e 79 del Regolamento.

Natura e obbligatorietà del conferimento

Il conferimento dei dati è obbligatorio per le finalità di cui ai punti da 1) a 6) del paragrafo “Finalità e base giuridica del trattamento”. L’eventuale rifiuto da parte dell’Interessato a fornire le informazioni necessarie comporta l’impossibilità per il Titolare di dare seguito all’interazione con il Sito da parte dell’Interessato e di rispondere alle richieste dell’Interessato. Il conferimento dei dati per la finalità descritta ai punti da 7) a 9) del paragrafo “Finalità e base giuridica del trattamento” è invece facoltativo. L’unica conseguenza derivante dal rifiuto di conferire i dati sarà l’impossibilità per l’Interessato di fruire dei relativi servizi, senza che questo comporti qualsivoglia conseguenza pregiudizievole.

Consenso

Ai sensi dell’art. 6, lett. b), c) e f) del Regolamento, il consenso non è richiesto quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso, per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento o per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi, come previsto per le finalità di cui ai punti da 1) a 6) del paragrafo “Finalità e base giuridica del trattamento”. Per contro, il consenso è specificamente richiesto laddove il conferimento dei dati personali non sia necessario agli adempimenti di cui sopra.