Informativa Privacy - Riconoscimento da remoto

INTEGRAZIONE INFORMATIVA PRIVACY EX ART. 13 e 14 DEL REGOLAMENTO (UE) 2016/679 RICONOSCIMENTO DA REMOTO

Gentile Cliente,

CiviBank - BANCA DI CIVIDALE S.p.A. - Società Benefit (la “Banca”), appartenente al Gruppo Cassa di Risparmio di Bolzano, iscritto all’Albo dei gruppi Bancari, con sede in Cividale del Friuli (UD) - 33043, Via Sen. Guglielmo Pelizzo n. 8/1, soggetta all’attività di Direzione e Coordinamento della Capogruppo Cassa di Risparmio di Bolzano S.p.A. – Südtiroler Sparkasse AG, in qualità di Titolare del trattamento ai sensi della normativa europea Regolamento (UE) 2016/679 (GDPR), ai sensi degli artt. 13 e 14 della medesima normativa, sottopone alla Vs. attenzione la presente informativa generale relativa a quei dati personali raccolti con riferimento al servizio di sponsoring reso disponibile tramite apposita piattaforma web, attraverso la quale i richiedenti (associazioni/enti) possono accedervi per presentare la propria domanda alla Banca.

1. TITOLARE DEL TRATTAMENTO E RESPONSABILE DELLA PROTEZIONE DEI DATI

Il titolare del trattamento è la società CiviBank - BANCA DI CIVIDALE S.p.A. - Società Benefit iscritto all’Albo dei gruppi Bancari, con sede legale in Cividale del Friuli (UD), Via Sen. Guglielmo Pelizzo n. 8/1, soggetta all’attività di Direzione e Coordinamento della Capogruppo Cassa di Risparmio di Bolzano S.p.A. – Südtiroler Sparkasse AG. Per ogni necessità inerente alla presente informativa privacy e/o per l’esercizio dei diritti riservati agli interessati, come meglio rappresentati in seguito, potrete contattare il titolare e/o il Data Protection Officer (DPO) nominato dalla Banca, tramite posta cartacea e/o email ai seguenti indirizzi: -

• CiviBank - BANCA DI CIVIDALE S.p.A. - Società Benefit, Cividale del Friuli (UD), Via Sen. Guglielmo Pelizzo n. 8/1, alla c.a. del DPO

• Posta elettronica: dpo@civibank.it

• Posta elettronica certificata: DPO@cert.civibank.it

Il Titolare e il DPO, anche tramite le strutture designate, provvederanno a prendere in carico la Sua richiesta e a fornirle, senza ingiustificato ritardo e comunque, al più tardi entro un mese dal ricevimento della stessa, le informazioni relative alla richiesta o le ragioni di un eventuale ritardo o diniego.

La informiamo che, qualora il Titolare nutra dubbi circa l’identità della persona fisica che presenta la richiesta, potrà richiedere ulteriori informazioni necessarie a confermare l’identità dell’interessato.

2. TIPOLOGIA DI DATI TRATTATI

Per le finalità riportate nella presente informativa la Banca potrebbe trattare i dati da Lei direttamente forniti, o raccolti presso terzi (di seguito anche i “Dati”), quali:

• dati anagrafici, identificativi e di contatto, raccolti anche mediante strumento SPID (es: nome e cognome, data e luogo di nascita, codice fiscale, documento d’identità, indirizzo di residenza, indirizzo e-mail, numero di telefono, video selfie, fotografia/selfie, registrazione voce);

• dati biometrici (raccolti nell’attività di verifica sulla corrispondenza tra la documentazione caricata e il video live di riconoscimento, firma grafometrica);

• dati di localizzazione (es: indirizzo IP);

• dati tecnici (es: tipologia di telecamera e dispositivo);

• dati economici e bancari;

• dati lavorativi e di studio.

3. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

Il Titolare informa che i Dati vengono raccolti per le seguenti finalità:

• preventiva verifica dell’identità di un potenziale cliente (cd. cliente prospect) che desidera aprire un rapporto/servizio bancario a distanza (i.e., in autonomia tramite procedura online);

• preventiva verifica dell’identità di un cliente che richieda il reset delle credenziali per l’accesso al proprio account di online-banking;

• preventiva verifica dell’identità di un cliente che necessiti di effettuare la procedura di enrollment (processo attraverso cui un nuovo dispositivo viene registrato e configurato per l’utilizzo dei sistemi banca).

Quanto sopra con l’obiettivo in primis di adempiere alla normativa in tema antiriciclaggio, oltre a prevenire possibili frodi, che rappresentano una delle principali modalità illecite attraverso le quali terzi non autorizzati riescono ad accedere alle informazioni dei correntisti per predisporre operazioni finanziarie non autorizzate.

Le basi giuridiche ai sensi dell’art. 6 del GDPR vengono individuate come segue:

• con riferimento all’acquisizione del video-selfie e match biometrico e utilizzo della firma grafometrica ex art. art. 6 comma 1, lettera a) del GDPR;

• l’adempimento ad un obbligo di legale cui è sottoposto il titolare, (nello specifico il rispetto delle normative antiriciclaggio) ex art. 6, comma 1, lettera c) del GDPR;

• per la prevenzione di possibili frodi ex art. 6, comma 1, lettera f).

L’acquisizione del video-selfie adempie alle richieste delle linee guida EBA pubblicate in data 22.11.2022 in tema di remote on bording e nella Circolare Banca d’Italia sull’adeguata verifica della clientela come modificata in data 13 giugno 2023, secondo le quali è prevista l’acquisizione dei dati biometrici della clientela (Liveness) per confrontarli con quelli raccolti da altre fonti indipendenti e affidabili.

Qualora l’utente non abbia la possibilità di utilizzare SPID, CIE, registrazione video-selfie, potrà recarsi nelle filiali presenti sul territorio durante gli orari di apertura.

Il rifiuto a fornire i Dati comporta l’impossibilità per il Titolare di dar seguito alla richiesta avanzata dall’utente stesso. L’utente potrà in ogni caso recarsi nelle filiali presenti sul territorio durante gli orari di apertura per chiarimenti e/o supporto, così come è possibile recarsi in presenza presso le filiali presenti sul territorio per l’apertura di qualsiasi rapporto.

A completezza si rende noto che la preventiva verifica dell’identità per le finalità sopra esposte può avvenire tramite tre distinte procedure:

a) tramite autenticazione del cliente mediante identità digitale SPID offerta da un gestore dell’identità autorizzato e verifica dell’identità con acquisizione documenti d’identità, video-selfie e match biometrico;

b) tramite autenticazione del cliente al servizio CIE offerto dal Ministero dell’Interno e verifica dell’identità con acquisizione documenti d’identità, video-selfie e match biometrico;

c) con acquisizione documenti d’identità, video-selfie e match biometrico.

4. MODALITÀ DI TRATTAMENTO DEI DATI PERSONALI

Il trattamento dei dati personali avviene mediante strumenti informatici, telematici, software di terze parti oltre che mediante strumenti manuali, con logiche strettamente collegate alle finalità stesse e comunque in modo da garantire la sicurezza e la riservatezza dei dati stessi, secondo i principi di correttezza, liceità, lealtà e trasparenza previsti dalla normativa applicabile in materia di protezione dei Dati Personali e tutelando la riservatezza del soggetto cui i Dati si riferiscono tramite apposite misure di sicurezza tecniche e organizzative.

5. PERIODO DI CONSERVAZIONE DEI DATI PERSONALI

I Dati saranno conservati nel rispetto della normativa applicabile per la protezione dei Dati Personali per un periodo di tempo pari a dieci anni dalla cessazione del rapporto.

In caso di controversia, ove non ancora eliminati i Dati potranno essere conservati per tutto il periodo necessario a garantire la difesa in giudizio dei diritti e degli interessi del Titolare.

6. EVENTUALE TRASFERIMENTO ALL’ESTERO DEI DATI PERSONALI

La gestione e la conservazione dei Dati avvengono su archivi cartacei e su server del Titolare e/o di società terze nominate quali Responsabili del trattamento. I server sui quali sono archiviati i Dati di cui sopra sono ubicati all’interno dell’Unione Europea.

7. CATEGORIE DI SOGGETTI A CUI POSSONO ESSERE COMUNICATI I DATI

Per il perseguimento delle finalità sopra indicate, i Suoi dati potranno essere comunicati e /o trattati da soggetti terzi di nostra fiducia che svolgono per nostro conto compiti di natura tecnica, operativa o organizzativa, in qualità di Responsabili del Trattamento o di Sub Responsabili del Trattamento. I Dati potranno essere altresì condivisi e comunicati all’autorità di vigilanza a fronte di necessità e loro richiesta formale.

L’elenco completo di tali soggetti è reso disponibile all’interessato previa richiesta al Titolare del trattamento agli indirizzi di contatto di cui al precedente punto 1.

8. DIRITTI DELL'INTERESSATO

In relazione ai trattamenti descritti nella presente Informativa, in qualità di interessato Lei potrà, alle condizioni previste dal GDPR, esercitare i diritti sanciti dagli articoli da 15 a 21 del GDPR e, in particolare, i seguenti diritti:

• diritto di accesso – articolo 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, ottenere l'accesso ai Suoi dati personali, compresa una copia degli stessi;

• diritto di rettifica – articolo 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano e/o l’integrazione dei dati personali incompleti;

• diritto alla cancellazione (diritto all’oblio) – articolo 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che La riguardano;

• diritto di limitazione di trattamento – articolo 18 GDPR: diritto di ottenere la limitazione del trattamento, quando:

i. l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare per verificare l’esattezza di tali dati;

ii. il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

iii. i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

iv. l’interessato si è opposto al trattamento ai sensi dell’art. 21 GDPR, nel periodo di attesa della verifica in merito all’eventuale prevalenza di motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

• diritto alla portabilità dei dati – articolo 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente dalla Banca ad altro titolare qualora ciò sia tecnicamente fattibile;

• diritto di opposizione – articolo 21 GDPR: diritto di opporsi, in qualsiasi momento per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che La riguardano basati sulla condizione di liceità del legittimo interesse per l’esecuzione di un compito di interesse pubblico e/o per l’esercizio di pubblici poteri, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio e/o la difesa di un diritto in sede giudiziaria.

I diritti di cui sopra potranno essere esercitati, nei confronti del Titolare contattandolo agli indirizzi riportati al punto 1 della presente informativa.

L’esercizio dei Suoi diritti in qualità di interessato è gratuito ai sensi dell’articolo 12 GDPR. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitarle un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la Sua richiesta, o negare la soddisfazione della sua richiesta.