Privacy - Trattamento dei dati personali servizio Check IBAN

 

Informativa ai sensi dell’art. 14 del Regolamento (UE) 679/2016 (“GDPR”)

Banca Monte dei Paschi di Siena S.p.A. (nel prosieguo, “la Banca”) in qualità di Titolare del trattamento, fornisce la presente informativa in merito al trattamento dei dati personali concernenti il servizio “Check Iban” (“il Servizio”).

Check IBAN è servizio tecnologico offerto da CBI S.C.p.A. al fine di permettere a un’azienda c.d. “Soggetto fruitore” la verifica dell’IBAN che le è stato comunicato da un proprio utente ovvero dal soggetto interessato al trattamento.
In generale il codice IBAN viene comunicato dal soggetto interessato al “Soggetto fruitore” nelle fasi che precedono la conclusione di un contratto per la fornitura di beni o servizi oppure nel corso dello stesso rapporto contrattuale (ad esempio, qualora l’utente comunichi all’azienda un nuovo codice IBAN da utilizzare per l’addebito o l’accredito di somme di denaro). Ne è un esempio il processo di rimborso di importi non dovuti da una utility al cliente finale.

  1. Fonte dei dati personali

I dati personali - consistenti nel codice fiscale/ partita iva e IBAN - sono acquisiti dalla Banca per il tramite dell’intermediario finanziario della Corporate. Tutti i soggetti che, a vario titolo, acquisiscono e trattano i dati dell’utente nell’ambito del Servizio, agiscono in qualità di titolari del trattamento.

  1. Finalità del trattamento dei dati

I suddetti dati personali sono utilizzati dalla Banca esclusivamente per finalità di prevenzione e individuazione delle frodi nei pagamenti, nel rispetto del principio di minimizzazione sancito dall’art. 5, comma 1 lettera c del GDPR. Per tale finalità la base giuridica che ne legittima il trattamento è il legittimo interesse della Banca, avverso il quale è esercitabile il diritto di opposizione nei limiti di quanto previsto dall’art 21 del GDPR. Si precisa, tuttavia, che l’esercizio di tale diritto può determinare l’impossibilità di riscontrare la richiesta, proveniente dall’intermediario finanziario del Soggetto fruitore, di verificare l’esistenza e la correttezza dei dati (IBAN e CF/P.IVA) riferiti all’intestatario del rapporto a cui è destinata la somma.

  1. Modalità di trattamento dei dati

I dati sono trattati con strumenti manuali, informatici e telematici, con logiche strettamente correlate alle suddette finalità, in modo da garantirne la sicurezza e riservatezza.

  1. Categorie di soggetti a cui i dati possono essere comunicati

I dati personali acquisiti non sono comunicati o diffusi a terzi. La Banca, che nell’ambito dell’erogazione del Servizio può avvalersi di soggetti terzi nominati responsabili del trattamento ai sensi dell’art. 28 del GDPR, invierà al Soggetto fruitore (per il tramite del suo intermediario finanziario) unicamente l’esito di tale verifica di congruità.

Possono venire a conoscenza dei dati in qualità di persone autorizzate al trattamento sotto l’autorità diretta del Titolare, i dipendenti della Banca che, relativamente allo svolgimento delle mansioni loro attribuite, hanno necessità di accedere e trattare i dati.

  1. Tempo di conservazione dei dati

I dati vengono conservati per un periodo massimo di 18 mesi dalla loro raccolta, trascorso il quale vengono cancellati, salvo un diverso termine eventualmente stabilito dalla legge per la relativa conservazione o qualora sia necessario conservarli per esigenze di tutela dei diritti del Titolare. 

  1. Trasferimento di dati all’estero

La Banca non effettua trasferimenti di dati all’esterno dell’Unione Europea. Qualora ciò si rendesse necessario, il trasferimento dei dati avviene sulla base delle ipotesi previste dalla vigente normativa (capo V del GDPR - Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali), tra cui l'applicazione di clausole contrattuali standard definite dalla Commissione Europea per i trasferimenti verso società terze o la verifica della presenza di un giudizio di adeguatezza del sistema di protezione dei dati personali del paese importatore.

  1. Diritti dell’interessato

In relazione alle finalità del trattamento, all’interessato è riconosciuto l’esercizio dei diritti previsti dagli artt. 15 e seguenti del GDPR, in particolare il diritto di:

  • accesso, ovvero di ottenere la conferma dell'esistenza o meno di dati personali che riguardano l’interessato, di conoscerne l'origine, nonché la logica e le finalità su cui si basa il trattamento, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati, la determinazione del periodo di conservazione qualora sia possibile definirlo;
  • rettifica dei dati inesatti;
  • cancellazione (c.d. diritto all’oblio), nel caso in cui i dati non siano più necessari rispetto alle finalità della raccolta e successivo trattamento, ovvero nel caso in cui l’interessato abbia revocato il consenso al trattamento (laddove detto consenso sia previsto come facoltativo ovvero non sussista altro fondamento giuridico per il trattamento);
  • limitazione, il diritto di ottenere da parte della Banca la limitazione dell'accesso ai dati personali da parte di tutti i soggetti che hanno un contratto di servizio ovvero un contratto di lavoro con la Banca. In alcuni casi la Banca si riserva di consentire l'accesso ad un ristretto numero di persone allo scopo di garantire comunque la sicurezza, l'integrità e la correttezza dei suddetti dati;
  • portabilità, il diritto di ricevere in un formato strutturato e di uso comune e leggibile da dispositivo automatico i dati personali che riguardano l’interessato, con possibilità di trasmetterli ad un altro Titolare. Tale diritto non si applica ai trattamenti non automatizzati (ad esempio, archivi o registri cartacei); inoltre, sono oggetto di portabilità solo i dati trattati con il consenso dell’interessato e solo se i dati sono stati forniti dall’interessato medesimo;
  • opposizione, cioè il diritto di opporsi al trattamento per motivi connessi alla situazione particolare dell’interessato;
  • reclamo da inviare al Garante per la Protezione dei dati personali, piazza Venezia n. 11 – 00187 Roma (garante@gpdp.it; telefono + 39 06 69677.1; fax + 39 06 69677.3785). 

Per l’esercizio dei diritti di cui sopra l’interessato potrà rivolgersi direttamente alla filiale presso la quale sono intrattenuti i rapporti e/o viene richiesta l'esecuzione di operazioni o la prestazione di servizi, ovvero allo Staff DPO e Advisory Privacy, Via A. Moro 11/13 - 53100 Siena (fax + 39 0577 296520; email: privacy@mps.it). 

  1. Titolare e Responsabile del trattamento dei dati

Titolare del trattamento è la Banca Monte dei Paschi di Siena S.p.A. con sede a Siena in Piazza Salimbeni n. 3.

Il Responsabile della Protezione dei Dati (o, Data Protection Officer-DPO) è il Responsabile pro tempore dello Staff DPO e Advisory Privacy, contattabile ai suddetti recapiti, a cui l’interessato può rivolgersi per tutte le questioni relative al trattamento dei propri dati personali e per l’esercizio dei diritti previsti dal GDPR: responsabileprotezionedeidati@postacert.gruppo.mps.it (posta certificata) o responsabileprotezionedati@mps.it (posta ordinaria).
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Banca Monte dei Paschi di Siena S.p.A. (nel prosieguo anche la Banca) in qualità di Titolare del trattamento, fornisce la presente informativa in merito al trattamento dei dati personali connessi all’utilizzo della APP relativa al Digital Banking (in seguito, il Servizio).
 

Tipologia dei dati trattati
La Banca, sempre attenta agli aspetti di sicurezza e protezione dei dati della propria clientela, ha implementato la propria App tramite la quale accedere al Digital Banking con un software fornito dalla società Cleafy in grado di proteggere i servizi online dagli attacchi come il dirottamento delle credenziali, la manomissione delle transazioni e le frodi nei pagamenti.

Per garantire che il Servizio sia erogato in assoluta sicurezza, la Banca ha necessità di acquisire alcune informazioni, di seguito dettagliate, le quali possono identificare in modo univoco il suo smartphone (serial number, device UUID, IMSI, IMEI, WiFi interface MAC address, posizione del dispositivo) o la sua SIM (ICCID):

  • posizione del dispositivo: la geolocalizzazione non avviene con la funzionalità GPS dell’apparato, bensì tramite la geolocalizzazione dell’indirizzo IP a cui è collegato il dispositivo; ciò allo scopo di verificare eventuali collegamenti provenienti da paesi diversi (e potenzialmente “sospetti”) rispetto a quelli dai quali l’utente svolge la propria consueta operatività;
  • informazioni sul dispositivo: vengono acquisite informazioni sul device utilizzato dall’utente (quali, ad esempio, modello, versione del sistema operativo, versione bluetooth, IMEI, serial number della SIM card) al fine di verificare eventuali accessi al servizio effettuati con strumenti difformi da quelli usualmente utilizzati dal cliente;
  • informazioni sulle applicazioni in esecuzione: il sistema di sicurezza adottato permette di verificare se altre applicazioni in esecuzione sul dispositivo dell’utente, al momento dell’utilizzo dell’App Banca MPS, sono riconosciute come malevole e potenzialmente pericolose. Questo avviene senza tuttavia poter accedere ad eventuali dati personali in esse specificatamente utilizzati o a dati memorizzati sul dispositivo;
  • informazioni sulla connessione Wi-Fi: si precisa che non viene raccolto il nome della rete a cui l’apparato è connesso, bensì il MAC address della scheda di rete dell’apparato per verificarne l’integrità e per controllare che non sia utilizzato da applicazioni malevole di cui al punto precedente.
     

I suddetti dati che possono identificare puntualmente il soggetto fruitore del Servizio, sono considerati dati personali ai sensi dell’art. 4, comma 1 del GDPR (per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, anche indirettamente, mediante l’associazione con altre informazioni in possesso del titolare del trattamento).
Ciò potrebbe accadere sia nel caso in cui Lei sia già cliente della Banca (in quanto i dati acquisiti con il Servizio potrebbero essere associati ad altri già in possesso della Banca), o anche nel caso in cui non lo fosse, poiché i dati in questione potrebbero essere condivisi con il suo gestore di rete.
Qualora Lei fosse già cliente della Banca, Le precisiamo che la presente informativa, specifica per il Servizio, integra le informazioni sul trattamento dei dati personali già fornite ai sensi degli artt. 13 e 14 del GDPR in occasione del rapporto con lei instaurato.


Finalità del trattamento dei dati 

I dati sopra indicati sono utilizzati dalla Banca esclusivamente per finalità di sicurezza nella fruizione del Servizio erogato e specificatamente per proteggere i) l’operatività che l’utente stesso può effettuare tramite le reti informatiche, ii) i sistemi e i data base della Banca ove sono custoditi i dati personali, da potenziali attacchi come il dirottamento delle credenziali, la manomissione delle transazioni e le frodi nei pagamenti. La Banca non utilizzerà le informazioni così acquisite per ulteriori scopi. Le precisiamo che non è necessaria l'acquisizione del Suo consenso al trattamento dei dati raccolti, dal momento che la base giuridica che ne legittima il trattamento, da parte della Banca è l’esecuzione del contratto con Lei instaurato. Qualora, invece, Lei non sia cliente e volesse comunque scaricare e tentare l’accesso all’App - sebbene la stessa non sia fruibile in mancanza di rapporti accesi con la Banca - la base di liceità è la manifestazione del consenso, da intendersi rilasciata mediante il tasto “autorizzo l’accesso alle informazioni”.

Modalità di trattamento dei dati

I Suoi dati sono trattati con strumenti manuali, informatici e telematici, con logiche strettamente correlate alle suddette finalità, in modo da garantirne la sicurezza e riservatezza. Le suddette informazioni, acquisite esclusivamente per ragioni di sicurezza e conservate in ambiente segregato e distinto rispetto ad altri repository nei quali sono detenuti differenti  tipologie di dati personali afferenti all’interessato (ad esempio, dati concernenti la situazione economica del cliente, le operazioni bancarie  effettuate, i dati anagrafici e di contatto) sono trattate in conformità all’art. 32 del GDPR atteso che la Banca, in qualità di titolare del trattamento – anche ai sensi dell’art. 5, comma 1, lettera f del GDPR – è tenuta a garantire un livello di sicurezza adeguato al rischio, tenuto conto del contesto riferito all’App “Banca MPS” del servizio Digital Banking tramite la quale l’utente può impartire o effettuare operazioni anche di natura economica sui propri rapporti. 

Categorie di soggetti a cui i dati possono essere comunicati

La Banca può comunicare i Suoi dati ad altre aziende del Gruppo Montepaschi o comunque ad esse collegate, ovvero ad eventuali società terze di cui la Banca si può avvalere per trattamenti correlati a quelli effettuati dalla medesima con riferimento alla gestione ed erogazione del Servizio. Dette società possono utilizzare i dati ricevuti in qualità di Titolari o come Responsabili del trattamento ai sensi dell’art. 28 del GDPR. In particolare, Le precisiamo che l’App in questione è integrata con un software dalla società Cleafy, la quale può accedere ai Suoi dati personali; parimenti, può accedere ai Suoi dati anche il Consorzio Operativo, società appartenente al Gruppo Montepaschi a cui è stata affidata la gestione del sistema informatico della Banca. Entrambe dette società sono state nominate Responsabili del trattamento ai sensi dell’art. 28 del GDPR.
Inoltre, possono venire a conoscenza dei dati, in qualità di persone autorizzate al trattamento sotto l’autorità diretta del Titolare, i dipendenti della Banca o di altre aziende, anche terze al Gruppo Montepaschi che, relativamente allo svolgimento delle mansioni loro attribuite, hanno necessità di accedere e trattare i dati.
Si precisa che i dati utilizzati o le società ingaggiate possono subire delle variazioni tali da rendere mutevole il quadro delle misure di sicurezza adottate o adottande poiché, come è facilmente desumibile, lo scenario delle minacce informatiche è in costante evoluzione, stante gli attacchi sempre più aggressivi, articolati e ampi potenzialmente in grado di causare danni di natura reputazionale ed economica, invalidando l’attività della Banca o causando la perdita di dati personali. 
 

Tempo di conservazione dei dati
I Suoi dati vengono conservati per il tempo strettamente necessario all’adempimento delle finalità per cui sono stati raccolti, nel rispetto dei termini prescrizionali o dei diversi termini eventualmente stabiliti dalla legge per la relativa conservazione o, per un tempo maggiore, nel caso in cui sia necessario conservarli per esigenze di tutela dei diritti del Titolare. Le precisiamo che per il servizio di sicurezza integrato all’interno della App i dati sopra indicati sono conservati per 30 giorni, trascorsi i quali gli stessi sono cancellati.

Diritti dell'interessato

In relazione alle finalità del trattamento, Le è riconosciuto l’esercizio dei diritti previsti dagli artt. 15 e seguenti del GDPR, in particolare il diritto di:

  • accesso, ovvero di ottenere la conferma dell'esistenza o meno di dati personali che La riguardano, di conoscerne l'origine, nonché la logica e le finalità su cui si basa il trattamento, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati, la determinazione del periodo di conservazione qualora sia possibile definirlo;
  • rettificare i dati inesatti;
  • cancellazione (c.d. diritto all’oblio), nel caso in cui i dati non siano più necessari rispetto alle finalità della raccolta e successivo trattamento, ovvero nel caso in cui l’interessato abbia revocato il consenso al trattamento (laddove detto consenso sia previsto come facoltativo ovvero non sussista altro fondamento giuridico per il trattamento);
  • limitazione, il diritto di ottenere da parte della Banca la limitazione dell'accesso ai dati personali da parte di tutti i soggetti che hanno un contratto di servizio ovvero un contratto di lavoro con la Banca. In alcuni casi la Banca si riserva di consentire l'accesso ad un ristretto numero di persone allo scopo di garantire comunque la sicurezza, l'integrità e la correttezza dei suddetti dati;
  • portabilità, il diritto di ricevere in un formato strutturato e di uso comune e leggibile da dispositivo automatico i dati personali che riguardano l’interessato, con possibilità di trasmetterli ad un altro Titolare. Tale diritto non si applica ai trattamenti non automatizzati (ad esempio, archivi o registri cartacei); inoltre, sono oggetto di portabilità solo i dati trattati con il consenso dell’interessato e solo se i dati sono stati forniti dall’interessato medesimo;
  • opposizione, cioè il diritto di opporsi al trattamento per motivi connessi alla Sua situazione particolare;
  • reclamo da inviare al Garante per la Protezione dei dati personali, piazza Venezia n. 11 – 00187 Roma (garante@gpdp.it; telefono + 39 06 69677.1; fax + 39 06 69677.3785). 

Per l’esercizio dei diritti di cui sopra potrà rivolgersi direttamente alla filiale presso la quale sono intrattenuti i rapporti e/o qualsiasi altra filiale a Lei più vicina, ovvero allo Staff DPO e Advisory Privacy, Via A. Moro 11/13 - 53100 Siena (fax + 39 0577 296520; email: privacy@mps.it).
Presso tale Funzione è disponibile l'elenco completo ed aggiornato dei Responsabili, interni ed esterni alla Banca. 

Titolare del trattamento e Responsabile della Protezione dei Dati 
Titolare del trattamento è la Banca Monte dei Paschi di Siena S.p.A. con sede a Siena in Piazza Salimbeni n. 3.
Il Responsabile della Protezione dei Dati (o Data Protection Officer-DPO) è il Responsabile pro tempore dello Staff DPO e Advisory Privacy, contattabile ai seguenti recapiti di posta certificata responsabileprotezionedeidati@postacert.gruppo.mps.it e di posta ordinaria responsabileprotezionedeidati@mps.it, a cui l’interessato può rivolgersi per tutte le questioni relative al trattamento dei propri dati personali e per l’esercizio dei diritti previsti dal GDPR.