/Image_001.png)
/Image_002.png){kind=small}
Al SENSI DEL REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO DEL 27
APRILE 2016 (di seguito anche “Regolamento UE” o “GDPR”) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE
Cassa Lombarda Spa, in qualità di Titolare del trattamento dei dati personali, ai sensi degli articoli 4, n. 7) e 24 del Regolamento UE 2016/679 del 27 aprile 2016, le fornisce alcune informazioni circa l’utilizzo dei suoi dati personali, in relazione al download ed all’utilizzo dell’App Cassa Lombarda Mobile (di seguito la “App”). L’App è stata ideata e sviluppata da Cedacri S.p.A., con sede in Collecchio (PR) - Via del Conventino
n. 1- C.F./Partita Iva e Iscrizione al Registro delle Imprese di Parma n. 00432960342.
L’acquisizione dei dati tramite la App è effettuata per gestire i servizi bancari e di investimento offerti dalla Banca tramite la App nell’ambito della normale attività della Banca e per finalità connesse alla gestione del rapporto con la Clientela, che ha già fornito il proprio consenso al trattamento dei propri dati personali nell’ambito della sottoscrizione del contratto con la Banca per usufruire dei propri servizi bancari, finanziari e di investimento nonché, in via generale, per adempiere o esigere l’adempimento di obblighi di normativa e di vigilanza.
I dati personali in possesso della Banca sono trattati nel rispetto del GDPR, del D.Lgs. 196/2003, come successivamente modificato (da ultimo con D.Lgs. 101/2018) e dei Provvedimenti del Garante per la protezione dei dati personali e degli obblighi di riservatezza ai quali è tenuta la Banca; potranno essere trattati da soggetti terzi nominati “Responsabili del trattamento” ai sensi dell’art. 28 del GDPR, oltre che per adempiere a obblighi di legge, anche per finalità strettamente connesse al download e all’attivazione della App.
Il trattamento avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità suddette, e, comunque, in modo da garantire la sicurezza e riservatezza dei dati stessi.
Per consentire il download dell’App, ed esclusivamente per motivi connessi alle necessità di erogazione del servizio, l’utente dovrà accettare di rendere disponibili alcune risorse del dispositivo mobile all’App stessa. Nello specifico:
fotocamera;
posizione (sia approssimativa, basata sulla rete di telefonia, che precisa, basata sull’incrocio di dati tra rete e modulo GPS);
spazio di archiviazione (modifica o eliminazione dei contenuti della scheda SD; lettura contenuti della scheda SD);
altre risorse (accesso di rete completo; flash; informazioni sul dispositivo e sul sistema operativo installato).
Inoltre, per motivi connessi alla prevenzione da attività fraudolente, l’App potrebbe raccogliere, tramite il tool Rsa Mobile SDK e previo consenso espresso, alcuni identificativi del device in uso, come:
-numero IMEI;
-numero di telefono;
-SIM ID;
-nome del device;
-dati di geolocalizzazione.
Tali dati sono criptati in transito e non vengono comunicati e trattati da soggetti terzi per ulteriori finalità. Il conferimento dei dati personali per la finalità di prevenzione da attività fraudolente non è obbligatorio ma il rifiuto a fornirli può comportare per la Banca l’impossibilità di utilizzo dell’App.
In relazione alle finalità sopra descritte, la Banca tratta i suoi dati personali quali, a titolo esemplificativo e non esaustivo, dati anagrafici (quali, ad esempio, nome, cognome, indirizzo, numero di telefono, e-mail, data di nascita, carta d’identità, tessera sanitaria, codice fiscale, stato civile, nazionalità, codice cliente, nome device, codice IMEI, indirizzo IP, SIM ID), dati relativi a richieste/rapporti di credito, dati di tipo contabile. I dati personali trattati possono comprendere anche i dati di navigazione e di geolocalizzazione, come specificato di seguito.
I sistemi informatici e le procedure software preposte al funzionamento dell’applicazione mobile acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo a all’ambiente informatico dell’utente. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici illeciti informatici: salva questa eventualità, allo stato i dati sui contatti web non persistono per più di sette giorni.
L’applicazione mobile offre delle funzionalità che possono acquisire dati relativi alla posizione geografica dell’utente (GPS, Wi-fi, rete GSM).
La raccolta di questi dati permette di utilizzare il servizio di localizzazione delle Filiali e degli Sportelli automatici e di calcolare il percorso per raggiungerli. I dati possono essere raccolti quando l’App è attiva e il Cliente ha attivato l’utilizzo dei servizi di geolocalizzazione. In ogni momento i servizi di geolocalizzazione possono essere disattivati accedendo all’apposita sezione dei permessi alla localizzazione del sistema operativo del dispositivo del cliente.
L’App potrà utilizzare la fotocamera del dispositivo ogni qualvolta si attivi il servizio di acquisizione e riconoscimento di un QR Code. Tale permesso è necessario poiché, in difetto, sarà impossibile acquisire ed elaborare il QR Code. Inoltre, la banca potrà raccogliere informazioni anonime legate al download dell’App al solo scopo di raccogliere dati statistici sul numero di utenti che hanno effettuato il download dell’App o ne sono utilizzatori. Il conferimento dei dati personali per tali finalità, che non necessita del consenso, non è obbligatorio ma il rifiuto a fornirli comporta l’impossibilità di erogare il servizio stesso. I dati raccolti non sono utilizzati ai fini della profilatura della clientela, per l’offerta di prodotti e servizi o per più generali scopi commerciali. Non è previsto, pertanto, l’utilizzo di cookie, tecnici e non. I sistemi informatici e le procedure software preposte al funzionamento delle app (Apple Store, Google Play) acquisiscono, nel corso del loro normale esercizio, alcuni dati comunque riferibili all’utente la cui trasmissione è implicita nell’uso dei protocolli internet, degli smartphone e dei dispositivi utilizzati. La Banca non è coinvolta in tali trattamenti né può esserne considerata responsabile. Si consiglia, pertanto, di fare riferimento anche alle policy privacy pubblicate sulle suddette piattaforme.
Ai sensi degli articoli 13, comma 2, lettere (b) e (d), 15, 16,17, 18, 19, 20, e 21 del Regolamento UE, si informa l’interessato che:
egli ha il diritto di chiedere al Titolare del trattamento l'accesso ai propri dati personali, la rettifica, l’integrazione o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
egli ha il diritto di proporre un reclamo al Garante per la protezione dei dati personali, seguendo le procedure e le indicazioni pubblicate sul sito web ufficiale dell’Autorità su www.garanteprivacy.it;
le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate su richiesta dell’interessato - salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato – saranno comunicate dal Titolare del trattamento a ciascuno dei destinatari cui sono stati trasmessi i dati personali. Il Titolare del trattamento potrà comunicare all'interessato tali destinatari qualora l'interessato lo richieda.
In particolare, ai sensi dell’art.17 del Regolamento UE, l’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il Titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali se sussiste uno dei motivi seguenti:
i dati personali non sono più necessari rispetto alle finalità per cui sono stati raccolti o altrimenti trattati;
l’interessato revoca il consenso su cui si basa il trattamento, secondo i termini e le modalità previste dalla normativa, e non sussiste altro fondamento giuridico per il trattamento;
l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
i dati personali sono stati trattati illecitamente;
i dati personali devono essere cancellati per adempiere ad un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento.
Il diritto alla cancellazione dei dati personali, di cui al paragrafo che precede, non si applica nella misura in cui il trattamento sia necessario:
per l’esercizio del diritto alla libertà di espressione e di informazione;
per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto comunitario o italiano;
a fini di archiviazione nel pubblico interesse o a fini statistici;
per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Si informa che, ai sensi dell’art. 18 del Regolamento UE, l’interessato ha il diritto di ottenere dal Titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al Titolare del trattamento per verificare l’esattezza di tali dati personali;
il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
benché il Titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
l’interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Se il trattamento è limitato in base al paragrafo che precede, i dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante.
Ai sensi dell’art. 20 del Regolamento UE, Il Titolare è inoltre tenuto a fornire all’interessato i dati personali che lo riguardano, qualora l'interessato ne faccia richiesta per l'esercizio del diritto alla portabilità dei propri dati. Gli stessi devono essere forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Il Titolare deve essere in grado di trasferire i dati personali ad un altro Titolare, in caso di richiesta dell’interessato. L’esercizio del diritto alla portabilità dei dati non deve ledere i diritti e le libertà altrui.
Si fa presente che, ai sensi dell’art. 21 del Regolamento UE, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali finalizzato all’esecuzione di un compito di interesse pubblico ovvero al perseguimento di un legittimo interesse del Titolare del trattamento o di terzi. Il Titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
In ogni caso l’interessato è libero di revocare in qualsiasi momento il consenso fornito al trattamento dei propri dati.
L’esercizio dei diritti non è soggetto ad alcun vincolo di forma ed è gratuito.
Tutte le informazioni inerenti i propri diritti potranno essere esercitate da parte dell’interessato scrivendo alla seguente casella di posta elettronica: ict@cassalombarda.it.
Titolare del trattamento è Cassa Lombarda S.p.A., Via Alessandro Manzoni, 12/14, Milano, sito internet www.cassalombarda.it.
Il soggetto, appositamente Delegato dal Titolare, al quale l'interessato può rivolgersi per l'esercizio dei diritti indicati nella sezione IV è Andrea Rocchi (Responsabile della Direzione IT e Supporti), Via Alessandro Manzoni,14, Milano - e-mail ict@cassalombarda.it.
Il Responsabile della protezione dei dati è Maddalena Perego (Funzione Compliance), Via Alessandro Manzoni, 14, Milano - e-mail dpo@cassalombarda.it.
Nel rispetto dei principi di proporzionalità e necessità, i dati personali saranno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali gli stessi sono trattati, tenendo in considerazione la necessità di continuare a conservare i dati personali raccolti per offrire i servizi concordati con l’utente o per tutelare l’interesse legittimo del Titolare;
l’esistenza di specifici obblighi normativi o contrattuali che rendono necessario il trattamento e la conservazione dei dati per determinati periodi di tempo.