Trattamento dei dati personali della clientela - Informativa generale

Informativa al trattamento dei dati personali ai sensi del Regolamento (UE) 679/2016 in materia di protezione dei dati personali (in inglese “General Data Protection Regulation”, in breve GDPR)


TITOLARE DEL TRATTAMENTO DEI DATI
Unione di Banche Italiane S.p.A.
(d’ora innanzi per brevità la “Banca”), i cui dati di contatto sono riportati nell’intestazione del presente documento, Titolare del trattamento dei suoi dati personali, le fornisce le seguenti informazioni nella sua qualità di Interessato:
RESPONSABILE DELLA PROTEZIONE DEI DATI
La Banca ha nominato il Responsabile della protezione dei dati (in inglese Data Protection Officer, in breve DPO), che può essere contattato ai seguenti recapiti:

  • indirizzo postale: UBI Banca S.p.A.- Data Protection Officer: Via Don Angelo Battistoni, 4 -  60035 Jesi (An)
  • posta elettronica: DPO@ubibanca.it
  • posta elettronica certificata (PEC): DPO.pec@pecgruppoubi.it

FINALITÀ, BASE GIURIDICA DEL TRATTAMENTO E PERIODO DI CONSERVAZIONE DEI DATI
La Banca può trattare i suoi dati personali (1) per le seguenti finalità:

1. Finalità pre-contrattuali e contrattuali
Finalità necessarie alla gestione dei prodotti e/o dei servizi di UBI Banca contrattualizzati e/o in corso di contrattualizzazione e/o da lei richiesti, cioè per eseguire obblighi, compresi quelli amministrativi e contabili, derivanti dai contratti dei quali lei è parte o per adempiere, prima della conclusione del contratto, a sue specifiche richieste, anche mediante tecniche di comunicazione a distanza o, ove necessario, di profilazione (come descritto nel paragrafo “modalità del trattamento”).
La base giuridica del trattamento è il contratto o la necessità di riscontrare la richiesta da lei formulata prima della stipula del contratto; pertanto, ai sensi della normativa, non è necessario acquisire il suo consenso per il trattamento dei dati.
Il periodo di conservazione dei dati corrisponde alla durata del rapporto o della singola operazione, ferme restando le esigenze di conservazione per altre finalità elencate nella presente informativa.

2. Finalità legate ad obblighi di legge
Finalità legate all’assolvimento di obblighi previsti dalla legge, da regolamenti, dalla normativa comunitaria nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge o da competenti Autorità di vigilanza o di controllo, nonché di evasione di richieste avanzate dalle Autorità Giudiziarie.
Nell’ambito di tale finalità, i trattamenti potranno includere anche la profilazione e il confronto dei dati (come descritto nel paragrafo “modalità del trattamento”).
La base giuridica del trattamento è l’adempimento di un obbligo legale; pertanto, ai sensi della normativa, anche in questo caso il suo consenso non è necessario.
Il periodo di conservazione dei dati è differenziato a seconda della normativa di riferimento (ad esempio, il periodo obbligatorio di conservazione degli atti e della corrispondenza è di 10 anni, così come l’obbligo di produzione di copia di documentazione delle singole operazioni poste in essere; per la firma elettronica avanzata, il periodo di conservazione è di 20 anni), ferme restando le esigenze di conservazione per altre finalità elencate nella presente informativa.

3. Finalità di recupero del credito e di gestione di eventuali reclami e/o controversie
Finalità legate al recupero del credito ed alla gestione di eventuali reclami e/o controversie di qualsiasi natura e in qualsiasi sede e grado, sia giudiziale che stragiudiziale. Nell’ambito di tali finalità i trattamenti potranno includere anche la profilazione e il confronto dei dati (come descritto nel paragrafo “modalità del trattamento”).
Le basi giuridiche del trattamento sono, in funzione della tipologia del trattamento e della controversia, il contratto, gli obblighi di legge e l’interesse legittimo di accertamento, esercizio o difesa di un diritto in sede giudiziaria del titolare; pertanto, anche in questo caso, ai sensi della normativa, il suo consenso non è necessario.
Il periodo di conservazione dei dati è differenziato a seconda della normativa di riferimento, ferme restando le esigenze di conservazione per altre finalità elencate nella presente informativa.

4. Finalità di rendicontazione e controllo interno
Finalità legate alla verifica di funzionalità ed adeguatezza dell’organizzazione interna, al fine di assicurare la conformità dei processi alle disposizioni di legge e garantire il corretto funzionamento della Banca. Nell’ambito di tale finalità, i trattamenti potranno includere anche la profilazione e il confronto dei dati (come descritto nel paragrafo “modalità del trattamento”).
Le basi giuridiche del trattamento sono, in funzione della tipologia dei controlli e delle analisi condotte, gli obblighi di legge e l’interesse legittimo del titolare; pertanto, anche in questo caso, ai sensi della normativa, il suo consenso non è necessario.
Il periodo di conservazione dei dati è differenziato a seconda della normativa di riferimento, ferme restando le esigenze di conservazione per altre finalità elencate nella presente informativa.

5. Finalità Commerciali:
a) della Banca, in relazione a prodotti e servizi propri o delle società appartenenti al Gruppo o comunque da essa controllate o ad essa collegate;
b) della Banca, in relazione a prodotti e servizi di soggetti terzi, non appartenenti al Gruppo né controllati o collegati;
c) di soggetti terzi, comprese le società del Gruppo o comunque controllate dalla Banca o collegate alla stessa, in relazione alla comunicazione di dati personali da parte della Banca, affinché questi perseguano proprie ed autonome finalità commerciali.
Nell’ambito di tali finalità, che potranno essere perseguite anche mediante profilazione e confronto dei dati (come descritto nel paragrafo “modalità del trattamento”), rientra, ad esempio, il trattamento dei suoi dati per:

  • fornirle informazioni e inviarle materiale pubblicitario, anche mediante tecniche di comunicazione a distanza (ad es. web e mobile), relativi a prodotti,  servizi o iniziative della Banca o di terzi o per promuovere gli stessi;
  • effettuare azioni di vendita diretta;
  • realizzare ricerche di mercato;
  • realizzare analisi e ricerche statistiche;
  • verificare la qualità dei prodotti o servizi a lei offerti, anche tramite telefonate o l'invio di questionari;
  • ottimizzare l'offerta stessa di prodotti o servizi a Lei offerti, anche mediante analisi focalizzate e selezionate;
  • effettuare comunicazioni commerciali;
  • assegnarle uno o più profili allo scopo di indirizzare le proposte commerciali o per analizzare o prevedere, sempre per finalità commerciali, le sue preferenze personali  e i suoi comportamenti;
  • approfondire, successivamente alla chiusura dei rapporti con la Banca, le motivazioni del recesso.

La base giuridica del trattamento è il suo consenso, che può essere revocato in qualsiasi momento senza pregiudicare il trattamento effettuato fino alla data della revoca.
Il periodo di conservazione dei dati per questa finalità si estende per 24 mesi dopo la chiusura di tutti i rapporti con la Banca, fatto salvo il venir meno del consenso e ferme restando le esigenze di conservazione per altre finalità elencate nella presente informativa.

CONSEGUENZE DEL RIFIUTO A FORNIRE I DATI
Se il trattamento dei suoi dati personali rappresenta un obbligo legale o contrattuale oppure costituisce un requisito necessario per la conclusione di un contratto, il suo eventuale rifiuto a fornire le informazioni necessarie può comportare l’impossibilità per la Banca di evadere le richieste formulate.

CATEGORIE DEI DATI PERSONALI
I dati personali che possono essere trattati per le finalità sopra indicate sono dati anagrafici relativi ai clienti, anche potenziali, ai loro recapiti e collegamenti con altre persone o soggetti, al loro stato patrimoniale e di famiglia, al grado di istruzione, dati relativi a rapporti bancari, al comportamento debitorio, all’affidabilità o puntualità nei pagamenti, allo svolgimento di attività economiche e ad altre informazioni commerciali o comunque attinenti al rapporto con la Banca o alle offerte di servizi/prodotti, a comportamenti illeciti o fraudolenti, nonché dati idonei a rivelare gusti, preferenze, abitudini di vita o di consumo.
Per la fruizione di specifici servizi, se da lei attivati, potranno inoltre essere trattati dati che indicano la sua posizione geografica (cosiddetta "geolocalizzazione") in quanto intrinsecamente connessi alla tecnologia del servizio prestato.
La normativa in materia di trattamento dei dati personali prevede che la Banca possa trattare categorie particolari (2) di suoi dati personali solo con il suo consenso, salvo ricorrano esimenti di legge (per esempio, il trattamento di dati personali resi manifestamente pubblici dall’interessato o necessari per accertare, esercitare o difendere un diritto in sede giudiziaria). In tali casi i suoi dati particolari verranno trattati esclusivamente nell’ambito dell’esecuzione del contratto o del servizio.

FONTE DEI DATI PERSONALI
La Banca tratterà i dati personali che lei fornirà direttamente nonché quelli provenienti da fonti pubbliche o forniti da terzi, come ad esempio in occasione di operazioni disposte da altri soggetti a valere su rapporti a lei intestati (es.: i bonifici) ovvero, in caso di richieste di prodotti e/o servizi da lei avanzate, anche per il tramite di soggetti di cui la Banca si avvale (ad esempio, Mediatori Creditizi e/o Società del Gruppo UBI).
Lei potrà fornire ulteriori dati personali attraverso la rete internet con l’utilizzo di applicazioni (Application Software, c.d. “App”) o programmi informatici da lei utilizzati per fruire dei servizi/prodotti offerti dalla Banca stessa.

MODALITA’ DEL TRATTAMENTO
Il trattamento dei suoi dati avviene mediante strumenti manuali e/o automatizzati, con modalità strettamente correlate alle finalità sopra indicate e, comunque, in modo da garantire la sicurezza, la protezione e la riservatezza dei suoi dati. Per le finalità sopra indicate, i suoi dati potrebbero essere trattati con modalità di profilazione, cioè trattamenti automatizzati utilizzati per analizzare e valutare determinati aspetti personali quali, ad esempio, la situazione economica e patrimoniale, l’operatività bancaria, l’affidabilità, gli interessi commerciali, per adempiere a particolari obblighi di legge (ad esempio, antiriciclaggio, Markets in Financial Instruments Directive, c.d. ”MIFID”, etc.).

SOGGETTI O CATEGORIE DI SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI
Per il perseguimento delle suddette finalità la Banca può comunicare, mediante trasmissione, i suoi dati a determinati soggetti, anche esteri, appartenenti alle categorie di cui alla nota n.(3).
I soggetti appartenenti a tali categorie utilizzeranno i dati ricevuti in qualità di autonomi "titolari", salvo il caso in cui siano stati designati dalla Banca "responsabili" dei trattamenti di loro specifica competenza. L'elenco aggiornato di questi ultimi è disponibile presso tutte le filiali e sul sito della Banca.
I dati personali forniti potranno essere trasferiti fuori dal territorio nazionale a Paesi situati nell’Unione europea. L'eventuale trasferimento dei dati personali in Paesi situati al di fuori dell’Unione europea avverrà, in ogni caso, nel rispetto delle garanzie adottate in conformità a quanto previsto dalla normativa vigente. Inoltre, la Banca la informa che i dati personali contenuti nelle registrazioni di alcune operazioni finanziarie (per esempio, nel caso di un bonifico, i dati relativi all'ordinante e/o beneficiario della transazione, compreso il nome, il numero di conto, l'indirizzo e il numero d'identificazione nazionale nonché, se presenti, eventuali dati sensibili) possono essere trasferiti, per esclusivi fini legati alla lotta al terrorismo e al suo finanziamento, anche alle autorità pubbliche degli Stati membri dell'Unione Europea nonché di paesi terzi, tra cui gli Stati Uniti d'America (4).
La Banca non diffonde (5) i suoi dati personali.

DIRITTI DELL’INTERESSATO
La Banca la informa che il GDPR garantisce l’esercizio di specifici diritti a sua tutela. In particolare prevede un Diritto di accesso, che le consente di avere la conferma se sia o meno in corso un trattamento di dati personali che la riguardano (art. 15 GDPR) e, in caso affermativo, di ottenere le informazioni previste dalla normativa nonché riceverne copia, alle condizioni di legge.
Potrà inoltre esercitare i seguenti diritti:

  • Rettifica di dati personali inesatti o integrazione dei dati incompleti (art. 16 GDPR);
  • Cancellazione (c.d. Diritto all’oblio) dei propri dati personali qualora sussistano particolari condizioni e motivi, come ad esempio per i dati personali non più necessari rispetto alle finalità per cui erano stati raccolti o qualora il trattamento dei dati sia illegittimo (art. 17 GDPR);
  • Limitazione al trattamento dei propri dati, ad esempio in attesa della loro rettifica o correzione (art. 18 GDPR);
  • Portabilità dei dati personali verso un altro titolare qualora il trattamento sia automatizzato e basato su un consenso o su un contratto (art. 20 GDPR);
  • Opposizione al trattamento per specifiche finalità quali quelle di marketing diretto (art. 21 GDPR). L'opposizione è sempre possibile e gratuita in caso di finalità pubblicitarie, di comunicazione commerciale o di ricerche di mercato. L’Interessato può, inoltre, opporsi ad essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o comunque significativi sulla sua persona (art. 22 del GDPR), salvo che il trattamento sia necessario per la conclusione o l’esecuzione di un contratto oppure basato sul consenso oppure autorizzato per legge.

In ogni caso, qualora il trattamento dei dati personali sia basato sul rilascio del consenso, l’Interessato ha il diritto di revocare tale consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca stessa.
Per l’esercizio dei suoi diritti può inviare una specifica richiesta al DPO utilizzando i dati di contatto riportati nella presente informativa e avendo cura di allegare alla richiesta copia di un suo documento di identità e del codice fiscale.
Lei ha inoltre diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

MODIFICA E AGGIORNAMENTO
La presente informativa è aggiornata alla data indicata a piè di pagina. La Banca, infine, le precisa, che potrebbe apportare modifiche alla presente informativa e che, in ogni caso, la versione costantemente aggiornata è disponibile sul sito www.ubibanca.com.

 

 

NOTE
(1) 
Per trattamento s’intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione (articolo 4 del GDPR).
(2) Per “categorie particolari” di dati personali s’intendono i dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (articolo 9 del GDPR).
(3) A. Categorie di soggetti ai quali possono essere comunicati i dati personali per il perseguimento di finalità di legge o contrattuali o commerciali proprie della Banca:

  • soggetti individuati per legge (per esempio, per finalità connesse all'esercizio delle funzioni relative alla gestione, all'accertamento, al contenzioso e alla riscossione dei tributi nonché allo scambio automatico di informazioni tra Autorità fiscali in forza di accordi internazionali bilaterali o multilaterali nonché per finalità legate all'iscrizione e/o alla cancellazione dell'ipoteca sugli immobili: Agenzia delle Entrate; per finalità connesse all'amministrazione della giustizia: Autorità Giudiziaria; per finalità connesse all'esercizio delle funzioni di vigilanza, di controllo e delle altre funzioni specificamente previste dalla normativa: Banca Centrale Europea, Banca d'Italia, Consob e IVASS); per la raccolta, l'analisi e il monitoraggio dei dati tecnici e statistici sulla falsificazione dell'euro: Ufficio centrale antifrode dei mezzi di pagamento (UCAMP) - istituito presso il Ministero dell'economia e delle finanze - e Centro Nazionale di Analisi (CNA) della Banca d'Italia);
  • Centrale di Allarme Interbancaria (CAI) - archivio informatizzato istituito presso la Banca d'Italia, per finalità connesse al regolare funzionamento dei sistemi di pagamento;
  • Centrale dei Rischi - sistema informativo gestito dalla Banca d'Italia, per finalità connesse alla valutazione del merito di credito della clientela e, in generale, per l'analisi e la gestione del rischio di credito;
  • soggetti che forniscono servizi per la gestione del sistema informativo e dei programmi informatici della Banca;
  • soggetti che svolgono servizi per l'acquisizione e il trattamento di dati rivenienti da documenti o supporti (per esempio, assegni, effetti);
  • soggetti che svolgono attività di lavorazione e trasmissione delle comunicazioni alla/dalla clientela (per es. imbustamento, gestione della posta elettronica);
  • soggetti che svolgono attività di archiviazione della documentazione;
  • soggetti che prestano attività di assistenza alla clientela (per esempio, per telefono);
  • soggetti che intervengono nella gestione dei servizi di pagamento e delle reti telematiche, esattorie e tesorerie;
  • soggetti che gestiscono sistemi nazionali e internazionali o che forniscono servizi per il controllo e la prevenzione delle frodi (ad esempio su carte di debito/credito o su altri strumenti di pagamento; nel settore del credito al consumo e dei pagamenti dilazionati o differiti, ecc.);
  • soggetti che svolgono attività di indagine e di contrasto al terrorismo internazionale;
  • soggetti che svolgono attività finalizzate al recupero del credito;
  • consulenti;
  • liberi professionisti, pubblici funzionari, ecc. (come quando, per esempio, il cliente intende stipulare con la Banca un mutuo o un atto pubblico o, comunque, un atto la cui sottoscrizione deve essere autenticata da un notaio o da un altro pubblico ufficiale);
  • soggetti che svolgono attività di marketing o indagini di mercato o concorrono alla promozione di prodotti della Banca o di terzi;
  • soggetti che effettuano visure - per esempio, incarichi per l'accertamento dell'esistenza di formalità pregiudizievoli (ipoteche, vendite, ecc.) a carico del cliente presso le Conservatorie dei RR.II. o presso le Cancellerie dei Tribunali (al fine di accertare la pendenza di procedure concorsuali);
  • soggetti che svolgono attività di controllo, revisione e certificazione delle attività poste in essere dalla Banca anche nell'interesse della clientela;
  • soggetti che gestiscono le attività legate all'emissione ed all'utilizzo di carte di credito, di debito e prepagate;
  • soggetti che intervengono nell'iter di concessione di pubbliche incentivazioni (ad es. contributi in conto interessi e capitale, fondi rotatori, copertura del rischio cambio, ecc.) sui finanziamenti alla clientela;
  • soggetti pubblici e/o privati sottoscrittori di convenzioni per la concessione di finanziamenti "agevolati" (ad es. ai propri dipendenti).

B.Categorie di soggetti ai quali possono essere comunicati i dati personali, oltre che per il perseguimento di finalità di legge o contrattuali o commerciali proprie della Banca, anche per il perseguimento - da parte di tali soggetti - di proprie autonome finalità commerciali:

  • soggetti che svolgono servizi bancari, finanziari o assicurativi, ivi compresi i consorzi di garanzia collettiva fidi (confidi); rientrano in questa categoria anche i c.d. "benefondi", prassi interbancaria che prevede, nell'ambito della negoziazione di assegni, la comunicazione, tra Banca trassata e Banca trattaria, circa l'esistenza o meno di una adeguata provvista per il pagamento degli assegni presentati per l'incasso;
  • società appartenenti al gruppo bancario Unione di Banche Italiane o comunque controllate o collegate, anche in relazione agli obblighi antiriciclaggio/antiterrorismo di cui agli artt. 41 e 42 del D. Lgs. 21 novembre 2007, n. 231 e successive modifiche e/o integrazioni (la comunicazione verso intermediari appartenenti al gruppo bancario Unione di Banche Italiane anche se situati in Paesi terzi è consentita a condizione che questi applichino misure equivalenti a quelle previste dalla Direttiva 2005/60/CE in materia di antiriciclaggio), nonché ai regolamenti europei con impatto in materia di antiriciclaggio e antiterrorismo (es: Regolamento Europeo 847/2015);
  • soggetti di cui la Banca offre prodotti e servizi;
  • soggetti con i quali la Banca stipula accordi di collaborazione (ad esempio, nell'ambito del cosiddetto Terzo Settore, ecc.);
  • soggetti cessionari d'azienda, di un ramo d'azienda, di rapporti giuridici individuabili in blocco o di singoli rapporti giuridici (per esempio, la cessione di crediti);
  • soggetti risultanti da operazioni di trasformazione, fusione e scissione della Banca.

(4) In particolare, i dati possono essere trasferiti al dipartimento del Tesoro degli Stati Uniti d'America secondo quanto stabilito nell'Accordo internazionale fra l'Unione Europea e gli Stati Uniti «sul trattamento e il trasferimento di dati di messaggistica finanziaria dall'Unione Europea agli Stati Uniti ai fini del programma di controllo delle transazioni finanziarie dei terroristi» pubblicato sulla Gazzetta dell'Unione Europea L 195 del 27 luglio 2010. In particolare, in relazione a talune operazioni finanziarie (per esempio, bonifici esteri), escludendosi in ogni caso i dati relativi a transazioni avvenute nell'ambito dello spazio unico dei pagamenti in euro (SEPA), il dipartimento del Tesoro statunitense può effettuare una richiesta individualizzata (non massiva) rivolgendosi non alla banca, bensì a uno o più fornitori di servizi di messaggistica finanziaria internazionale, appositamente accreditati, di cui la Banca si avvale per l'effettuazione di transazioni finanziarie (al momento: SWIFT - Società per le telecomunicazioni finanziarie interbancarie mondiali - sito Internet: www.swift.com). A tali trattamenti si applicano le rigorose garanzie previste nell'Accordo medesimo (per esempio, preventivo esame della conformità della richiesta da parte di Europol, elevati standard di sicurezza, integrità e proporzionalità dei dati, finalità del trattamento, tempi massimi di conservazione dei dati e loro limitato successivo trasferimento ad altri soggetti, ecc.). Maggiori informazioni sono disponibili sul sito Internet del dipartimento del Tesoro statunitense (www.treasury.gov) nonché su quello dell'Unione Europea (http://europa.eu). I diritti di accesso, di rettifica, di cancellazione o di blocco dei dati relativi a questo specifico trattamento vanno esercitati, secondo quanto stabilito dagli articoli 15 e 16 dell'Accordo, rivolgendosi non alla banca, bensì direttamente all'Autorità Garante per la protezione dei dati personali (sito Internet: www.garanteprivacy.it).
(5) Per diffusione s'intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione".