Informativa Privacy – Servizi generali bancari

INFORMATIVA - ai sensi dell'art.13 e dell’art. 14 del Regolamento UE 2016/679

Gentile Cliente,

con l’entrata in vigore del "Regolamento generale sulla protezione dei dati" (GDPR), la Banca di Cividale S.p.A., con sede in Cividale del Friuli (Ud), Via Sen. Guglielmo Pelizzo n. 8/1, in qualità di “Titolare” del trattamento, è tenuta a fornire alcune informazioni riguardanti l’utilizzo dei dati personali.

La presente Informativa potrà venir integrata dal Titolare qualora eventuali servizi aggiuntivi da Lei richiesti dovessero comportare ulteriori trattamenti

Titolare del trattamento e Responsabile della protezione dei dati

Titolare del trattamento è la Banca di Cividale S.p.A., con sede in Cividale del Friuli (Ud), Via Sen. Guglielmo Pelizzo n. 8/1. Il Titolare ha nominato un Responsabile alla protezione dei dati ("Data Protection Officer" - DPO), che Lei potrà contattare per ogni informazione relativa al trattamento dei Suoi dati personali e per l'esercizio dei Suoi diritti, ai seguenti recapiti di posta cartacea o e-mail:

-  Data Protection Officer (DPO) - Banca di Cividale S.p.A. - Via Sen. Guglielmo Pelizzo n. 8/1 - 33043 Cividale del Friuli (Ud)

-  Email: dpo@civibank.it

-  Posta elettronica: dpo@civibank.it

Il Titolare e il DPO, anche tramite le strutture designate, provvederanno a prendere in carico la Sua richiesta e a fornirle, senza ingiustificato ritardo e comunque, al più tardi entro un mese dal ricevimento della stessa, le informazioni relative alla richiesta o le ragioni di un eventuale ritardo o diniego.

Qualora si nutrano dubbi circa l'identità della persona che presenta la richiesta, potranno venir richieste ulteriori informazioni a conferma dell'identità stessa.

Fonte dei dati personali e categorie di dati

I dati personali in possesso della banca sono raccolti direttamente presso la clientela ovvero presso terzi come, ad esempio, in occasione di operazioni disposte a credito o a debito dei clienti da altri soggetti oppure nell’ipotesi in cui la banca acquisisca dati da fonti pubbliche o da società esterne a fini di informazioni commerciali, ricerche di mercato, offerte dirette di prodotti o servizi. Per quest’ultima tipologia di acquisizione dati, sarà fornita un’informativa quanto prima, al più tardi entro un mese e comunque non oltre la prima eventuale comunicazione.

I dati personali trattati appartengono a diverse categorie, per esempio: dati anagrafici (nome, cognome, indirizzo, numero di telefono, e- mail ed altri recapiti, numeri di identificazione identificativi on-line) o dati economico-patrimoniali.

Può accadere, inoltre, che in relazione a specifiche operazioni o prodotti richiesti dal cliente (es. erogazione di mutui assistiti da assicurazione, accensione di polizze vita ovvero pagamento in via continuativa di quote associative a movimenti sindacali, partiti politici ed associazioni varie, attraverso ordini di bonifico o trattenute sullo stipendio) la banca venga in possesso di dati che la legge definisce come “particolari categorie di dati”, perché da essi possono desumersi l’eventuale appartenenza del cliente a dette associazioni, e indirettamente opinioni politiche, convinzioni religiose, origine razziale o etnica, appartenenza sindacale, orientamento sessuale, nonché informazioni sullo stato di salute.

In questo caso la banca tratta i Suoi dati limitatamente alla esecuzione di dette operazioni ovvero per la gestione dei relativi rapporti, con il Suo consenso.

Finalità del trattamento cui sono destinati i dati e base giuridica dello stesso

I dati personali sono trattati nell’ambito della normale attività della banca e secondo le seguenti finalità:

- finalità connesse agli obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria nonché da disposizioni impartite da autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo (es. centrale rischi, legge sull’usura, etc.). In tal caso il conferimento dei dati è obbligatorio e non è necessario alcun consenso;

- finalità connesse ad un interesse pubblico, quali i trattamenti svolti in ambito antiriciclaggio ai sensi dell’art. 2 comma 6 bis del D.l.vo n. 231/2007. Sempre in materia di contrasto al riciclaggio il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è svolto in base alle previsioni di cui all’art. 10 GDPR e all’art. 2 octies, 3° comma, lett. m) del D.l.vo n. 196/2003.

-  finalità contrattuali strettamente connesse e strumentali alla gestione dei rapporti con la clientela e per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato (es. acquisizione di informazioni preliminari alla conclusione di un contratto, esecuzione di operazioni sulla base degli obblighi derivanti dal contratto concluso con la clientela, controllo sia del rischio creditizio e finanziario che delle frodi, etc.). Il consenso per tale finalità viene richiesto unicamente in relazione al trattamento di "particolari categorie di dati" che la banca può dover svolgere nell'esecuzione dei propri obblighi contrattuali. Il mancato consenso al trattamento delle particolari categorie di dati può comportare l'impossibilità per la banca di svolgere le relative valutazioni e, pertanto, di dar seguito alle Sue richieste contrattuali.

- finalità di informativa commerciale funzionali all’attività della banca per le quali l’interessato ha facoltà di manifestare o meno il proprio consenso. Tale attività viene svolta anche tramite strumenti di intelligenza artificiale che supportano la Banca nella gestione delle relazioni con la clientela offrendo riepiloghi e sunti di conversazioni svolte, sui vari canali di contatto, aggiornamenti sui prodotti attivi sul cliente, analisi dei prodotti più idonei sulla base del profilo personale del cliente o potenziale tale. Rientrano in questa categoria le seguenti attività:

1.  attività di marketing: indagini di mercato, rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi, promozione e vendita di prodotti e servizi della Banca o di società terze effettuate direttamente ovvero attraverso l’opera di società specializzate attraverso lettere, telefono, materiale pubblicitario, sistemi automatizzati di comunicazione, analisi delle conversazioni, anche telefoniche, mediante sistemi di intelligenza artificiale, etc.

2.  attività di profilazione per ottimizzazione delle offerte commerciali e dei rapporti con la clientela: trattamento automatizzato per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, gli interessi, l'affidabilità, etc. In tale attività gli strumenti di intelligenza artificiale possono essere utilizzati per definire più accuratamente la profilazione del cliente o del potenziale tale, fornire risposte più rapide e contestualizzate ed in generale migliorare complessivamente la customer experience.

3.  comunicazione dei suoi dati personali a terzi, che tratteranno i Suoi dati personali in qualità di autonomi titolari, per loro autonomi trattamenti per finalità di marketing.

L’utilizzo dell’Intelligenza Artificiale non comporta l’adozione di decisioni automatizzate venendo utilizzata quale strumento di supporto all’operatore il quale resta unico responsabile delle azioni intraprese durante l’assistenza fornita al cliente o potenziale cliente.

La banca, ai sensi dell’art. 130, co. 4, D.Lgs. 196/03, potrà inviare comunicazioni promozionali su servizi o prodotti analoghi a quelli da Lei fruiti e/o acquistati alle Sue coordinate di posta elettronica fornite nel contesto del rapporto contrattuale. Al momento della raccolta dei dati e in occasione dell’invio di ogni comunicazione effettuata per tali finalità, sarà fornita un’informazione circa la possibilità di opporsi al trattamento, in maniera agevole e gratuitamente, mediante le procedure indicate nelle comunicazioni ricevute o secondo le modalità meglio descritte nel seguito della presente informativa al paragrafo “Diritti dell’interessato”.

Modalità di trattamento dei dati e periodo di conservazione

In relazione alle indicate finalità, il trattamento dei dati personali avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.

La Banca non fa ricorso a processi decisionali basati unicamente su un trattamento automatizzato. Sono invece utilizzati strumenti di intelligenza artificiale per le finalità descritte al precedente paragrafo, nel rispetto delle determinazioni dell’interessato in merito all’utilizzo degli stessi.

I dati personali vengono conservati per il periodo di durata del contratto e, successivamente in relazione alle prescrizioni di legge in materia di conservazione delle scritture contabili (art. 2220 del Codice Civile) e delle norme bancarie vigenti (10 anni dalla chiusura del rapporto). In caso di rapporti entrati in sofferenza, i dati personali necessari al recupero del credito sono mantenuti fino a che tali sofferenze non sono sanate.

Le attività di profilazione e di marketing prenderanno in considerazione esclusivamente i dati raccolti rispettivamente negli ultimi 12 o 24 mesi.

Categorie di soggetti ai quali i dati possono essere comunicati

Per il perseguimento delle suddette finalità la banca può comunicare i suoi dati a soggetti, anche esteri, appartenenti ad alcune delle sottoelencate categorie, oltre a quelle individuate per legge, fra cui Istituzioni pubbliche (MEF, Agenzia delle Entrate e Agenzia del Territorio) ed Organi di Vigilanza (CONSOB, Banca d'Italia), affinché svolgano i correlati trattamenti e comunicazioni:

-  società che svolgono servizi bancari, finanziari e assicurativi;

-  società appartenenti al Gruppo bancario Cassa di Risparmio di Bolzano o comunque controllate o collegate;

-  fornitori di servizi informatici e telematici;

- società che gestiscono sistemi di pagamento e di collegamento telematico tra le banche;

-  società che svolgono attività di trasmissione, imbustamento, trasporto e smistamento delle comunicazioni alla clientela;

-  società che svolgono servizi di archiviazione della documentazione o conservazione sostitutiva;

-  soggetti che rilevano i rischi finanziari a scopo di prevenzione del rischio di insolvenza e in particolare: Banca d’Italia, CRIF S.p.A., ASSILEA Associazione Italiana Leasing (prevista specifica informativa per la concessione di finanziamenti - Codice di Condotta G.U.n. 258 del 04/11/2022),

-  società di gestione di sistemi nazionali ed internazionali per il controllo delle frodi ai danni delle banche e degli intermediari finanziari e in particolare il Sistema pubblico di prevenzione (SCIPAFI), con titolare il Ministero dell’Economia e delle Finanze (MEF) e Consap S.p.A. quale ente gestore;

-  società e professionisti che svolgono attività di recupero crediti;

-  soggetti che svolgono attività di controllo, revisione e certificazione delle attività poste in essere dalla banca anche nell’interesse della Clientela.

Nel caso Lei abbia espresso il relativo consenso al trattamento, i Suoi dati potranno altresì essere comunicati a:

-  società specializzate in attività di marketing e promozione commerciale;

-  società specializzate nelle attività di segmentazione e profilazione clientela;

-  partner commerciali.

I soggetti appartenenti a tali categorie utilizzeranno i dati ricevuti in qualità di autonomi “titolari”, salvo il caso in cui siano stati designati dalla banca quali “contitolari” o “responsabili” dei trattamenti di loro specifica competenza.

I dati verranno altresì a conoscenza, secondo le finalità dichiarate, delle persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare che operano nelle diverse strutture della banca o dei responsabili delle società cui vengono comunicati i dati personali.

Trasferimento di dati verso paesi extra-UE

In alcuni casi per dar corso a specifici trattamenti è necessario trasferire dati personali in Paesi esterni all'Unione Europea. Ciò può accadere nei casi di utilizzo di piattaforme finanziarie e sistemi di pagamento i cui gestori sono stabiliti fuori della UE nonché di fornitori di servizi stabiliti anch’essi fuori della UE. Tali trasferimenti sono consentiti nel caso di decisioni di adeguatezza emanate dalla Commissione UE ed anche in presenza di accordi internazionali ovvero con l’adozione di adeguate garanzie di protezione come clausole contrattuali tipo emanate dalla Commissione UE.

In particolare, si segnala che per dar corso ad alcune specifiche operazioni (es. bonifico transfrontaliero) è necessario utilizzare un servizio di messaggistica internazionale gestito dalla società SWIFT avente sede legale in Belgio (web site: www.swift.com).

La banca comunica a SWIFT (titolare del sistema SWIFTNet Fin) i dati necessari per eseguire le transazioni. Per motivi di sicurezza operativa copia di tali dati viene conservata temporaneamente in un sito negli Stati Uniti d’America. Competenti autorità statunitensi possono avervi accesso in base alla locale normativa in materia di contrasto al terrorismo.

Ulteriori informazioni possono essere richieste ai riferimenti riportati sopra.

Diritti dell'interessato

In relazione ai trattamenti descritti nella presente Informativa, in qualità di interessato Lei potrà, alle condizioni previste dal GDPR, esercitare i diritti sanciti dagli articoli da 15 a 21 del GDPR e, in particolare, i seguenti diritti:

-  diritto di accesso – articolo 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, ottenere l'accesso ai Suoi dati personali, compresa una copia degli stessi.

-  diritto di rettifica – articolo 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano e/o l’integrazione dei dati personali incompleti;

-  diritto alla cancellazione (diritto all’oblio) – articolo 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che La riguardano.

-  diritto di limitazione di trattamento – articolo 18 GDPR: diritto di ottenere la limitazione del trattamento, quando:

a)  l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare per verificare l’esattezza di tali dati;

b)  il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c)  i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d)  l’interessato si è opposto al trattamento ai sensi dell’art. 21 GDPR, nel periodo di attesa della verifica in merito all’eventuale prevalenza di motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

- diritto alla portabilità dei dati – articolo 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente dalla Banca ad altro titolare qualora ciò sia tecnicamente fattibile;

-  diritto di opposizione – articolo 21 GDPR: diritto di opporsi, in qualsiasi momento per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che La riguardano basati sulla condizione di liceità del legittimo interesse o dell’esecuzione di un compito di interesse pubblico o dell’esercizio di pubblici poteri, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Inoltre, il diritto di opporsi in qualsiasi momento al trattamento qualora i dati personali siano trattati per finalità di marketing diretto, compresa la profilazione, nella misura in cui sia connessa a tale marketing diretto.

-  diritto di revoca del consenso – diritto di revocare il consenso al trattamento dei Suoi dati in qualsiasi momento, restando ferma la liceità del trattamento basata sul consenso prima della revoca;

-  diritto di proporre reclamo ad un’autorità di controllo competente in materia, Autorità Garante per la protezione dei dati personali. Per l'esercizio di tali diritti La preghiamo di rivolgersi ai riferimenti del DPO (Data Protection Officer) sopra riportati.

L’esercizio dei Suoi diritti in qualità di interessato è gratuito ai sensi dell’articolo 12 GDPR. Tuttavia, nel caso di richieste manifestamente

infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitarle un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la Sua richiesta, o negare la soddisfazione della sua richiesta.