INFORMATIVA PER TITOLARI DI CARTA MAGGIORENNI
YAP è una applicazione mobile (di seguito anche “App”) a cui è associata, previa registrazione dell’Utente, una carta di pagamento prepagata virtuale (di seguito anche “Carta”) e, eventualmente, anche fisica personale (che può essere richiesta dopo essere diventato Cliente YAP) che ti consente di disporre delle somme di denaro accreditate.
L’App è di proprietà di Nexi Payments S.p.A., (di seguito anche “Nexi”), che è anche emittente e gestore del servizio carta prepagata.
Ai sensi di quanto disposto dalla normativa vigente in materia di protezione dei dati personali (di seguito la “Normativa Privacy”), con particolare riferimento agli artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito anche “GDPR”), la società Nexi Payments S.p.A., in qualità di titolare del trattamento, ti fornisce le seguenti informazioni riguardo al trattamento dei dati personali.
1. Tipologia e fonte dei dati personali oggetto di trattamento
2. Finalità e basi giuridiche del trattamento
3. Trattamento di dati biometrici
4. Modalità di trattamento dei dati
5. Categorie di soggetti ai quali i dati possono essere trasmessi
6. Trasferimento dei dati all’estero
7. Conservazione dei dati
8. Diritti degli interessati
9. Il Titolare del trattamento e Data Protection Officer
Nexi si riserva di modificare la presente informativa privacy. A seconda della modifica il Cliente sarà informato in merito a tali cambiamenti mediante comunicazioni scritte o attraverso i siti web istituzionali www.nexi.it e www.yap-app.it.
1. TIPOLOGIA E FONTE DEI DATI PERSONALI OGGETTO DI TRATTAMENTO
1.1 I dati personali in possesso di Nexi sono quelli da te forniti in fase di registrazione all’App, nonché a seguito dell’utilizzo della Carta, presso le Banche e presso gli esercenti, sia italiani che esteri, dove potrai utilizzare e ricaricare la tua Carta. I dati personali potranno, inoltre, essere da te forniti a Nexi durante il corso del rapporto contrattuale, attraverso tecniche di comunicazione a distanza di cui la stessa Nexi si avvale (ad esempio sito internet, App, Call Center). Si tratta di dati identificativi, anagrafici, di contatto, di dati economico finanziari (dati relativi alle Operazioni di pagamento effettuate con la Carta), di dati multimediali (foto e video in relazione alla fase di identificazione), e di altri dati/informazioni riguardanti caratteristiche personali (ad esempio: professione, titolo di studio, stato civile, etc) volti ad una miglior gestione del rapporto contrattuale e/o a consentirci di rispondere agli obblighi normativi.
In fase di verifica della Tua identità Nexi potrà inoltre trattare categorie particolari di dati, e nello specifico dati biometrici. Con riferimento al trattamento di questi dati consulta il paragrafo 3.
Laddove si attivi il servizio volto ad ottenere l’indicazione dei punti in cui è possibile utilizzare/ricaricare la Carta localizzati nelle vicinanze del dispositivo in uso e/o laddove si presti il consenso alla ricezione di comunicazioni mirate in base al proprio profilo personale, l’App potrà inoltre accedere ai dati riguardanti la localizzazione in tempo reale del dispositivo in uso (smartphone, tablet, ecc.).
I dati raccolti e utilizzati da Nexi, potranno essere, altresì, dati tecnologici che le connessioni internet rendono disponibili (ad esempio indirizzo IP), protocolli di comunicazione dei dati, codici univoci associati agli utenti di telefonia mobile, nonché meccanismi di analisi su cookie per garantire alti standard di sicurezza.
1.2. Nexi, nel rispetto degli obblighi normativi cui è sottoposta, potrà, infine, trattare ulteriori informazioni che Ti riguardano compresi i dati relativi a condanne penali, reati e altre misure di sicurezza, consultando banche dati pubbliche e/o private autorizzate.
2. FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO
2 .1 I dati personali raccolti saranno trattati da Nexi per le seguenti finalità:
- adempiere agli obblighi precontrattuali e contrattuali assunti da Nexi (ad esempio: emissione della Carta, gestione delle operazioni di pagamento effettuate con la Carta, assistenza alla clientela, gestione del monte moneta elettronico etc.);
- adempiere agli obblighi previsti da leggi (ad esempio: normativa antiriciclaggio che impone anche obblighi di profilazione della clientela, la normativa UCAMP, la normativa sulle Segnalazioni alla Centrale Allarme Interbancaria, la Direttiva PSD2 sui Servizi di Pagamento, la normativa sulla trasparenza delle Operazioni e dei servizi bancari e finanziari, etc.), da regolamenti e dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di Vigilanza e Controllo;
- monitorare e prevenire il rischio frodi;
Il conferimento dei dati per tali finalità è obbligatorio ed il trattamento degli stessi da parte di Nexi non richiede un esplicito consenso, pena l’impossibilità per Nexi di instaurare e gestire il rapporto contrattuale. La base giuridica del trattamento è, quindi, individuata nell’adempimento degli obblighi di legge ai quali è sottoposta Nexi e nella necessità di dare esecuzione al rapporto contrattuale.
Laddove il trattamento abbia a oggetto taluni dati raccolti per il perseguimento delle finalità di prevenzione e monitoraggio delle frodi in base all'interesse legittimo di Nexi, esso potrà essere svolto a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato.
Nexi, inoltre, potrà trattare i Tuoi dati personali per consentire l’esercizio o la difesa dei diritti di Nexi in sede stragiudiziale e/o giudiziale.
La base giuridica del trattamento è rinvenibile nel perseguimento del legittimo interesse di Nexi.
2.2 Al fine di migliorare il proprio servizio nei confronti della clientela, Nexi potrà:
- promuovere prodotti e servizi di Nexi, oppure prodotti e servizi di terzi partner attraverso modalità tradizionali di contatto (ad esempio: contatto telefonico con operatore, posta cartacea), e modalità automatizzate (ad esempio: messaggi SMS, posta elettronica, notifiche push, etc); tali attività potranno essere svolte direttamente da Nexi o da altri soggetti dalla stessa designati quali responsabili del trattamento;
- promuovere prodotti e servizi di Nexi e di terzi partner attraverso comunicazioni mirate in base al tuo profilo personale; (ad esempio: abitudini e propensioni al consumo, elaborando profili individuali o di gruppo, o sulla base dei dati riguardanti la localizzazione in tempo reale del dispositivo in uso a seguito di accesso da parte dell’App, previa tua autorizzazione, a tali informazioni durante l’utilizzo), al fine di accrescere la rispondenza dei prodotti o servizi offerti alle esigenze del singolo Cliente e di inviare comunicazioni commerciali maggiormente rispondenti ai tuoi gusti, sia riguardo ad offerte promozionali di Nexi che dei suoi terzi partner; tali attività potranno essere svolte direttamente da Nexi o da altri soggetti dalla stessa designati quali responsabili di trattamento attraverso modalità tradizionali di contatto (ad esempio: contatto telefonico con operatore, posta cartacea), e modalità automatizzate (ad esempio: messaggi SMS, posta elettronica, notifiche push, etc);
- trattare i dati per svolgere ricerche di mercato o di rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi e sull’attività svolta da Nexi; tali indagini potranno essere svolte direttamente da Nexi, o da altri soggetti dalla stessa designati quali responsabili di trattamento attraverso modalità tradizionali di contatto (ad esempio: contatto telefonico con operatore, posta cartacea), e modalità automatizzate (ad esempio: messaggi SMS, posta elettronica, notifiche push, etc);
- comunicare i dati personali a società terze (a titolo esemplificativo ma non esaustivo, appartenenti alle seguenti categorie merceologiche: finanza, editoria, telecomunicazioni, settore energetico, assicurazioni, etc.) al fine di consentire l’offerta, direttamente da parte di queste ultime, di loro propri prodotti o servizi.
Ciascuna di queste attività e comunicazioni può essere svolta solo in presenza di uno specifico consenso che è possibile manifestare compilando gli appositi campi durante il processo di registrazione all’APP e presenti sul “Modulo di richiesta Carta”. Tali consensi sono facoltativi e sempre revocabili, scrivendo ai seguenti indirizzi di posta elettronica dpo@nexigroup.com, dpo@pec.nexi.it, oppure accedendo all’APP. Resta quindi inteso che l’eventuale diniego di uno o più di tali consensi non pregiudica in alcun modo l’instaurazione e la gestione del rapporto contrattuale.
2.3 Nexi, inoltre, potrà utilizzare, senza richiedere il consenso, le coordinate di posta elettronica da te fornite, per finalità di vendita di prodotti/servizi analoghi (soft spam). Nel caso in cui non desideri ricevere tali tipologie di comunicazioni potrai opporti in qualsiasi momento a tale trattamento inviando una comunicazione scritta al seguente indirizzo di posta elettronica: dpo@nexigroup.com
2.4 Nexi, infine, utilizzerà i dati della clientela al fine di effettuare analisi statistiche e di elaborare analisi quantitative e qualitative avanzate volte allo sviluppo continuo dei prodotti e servizi offerti da Nexi, nonché allo sviluppo di modelli predittivi sulla base del legittimo interesse di Nexi di adeguare la propria offerta al mercato di riferimento.
Gli output derivanti dalle analisi saranno di tipo aggregato, utilizzati da Nexi per esaminare ed identificare i trend andamentali dei prodotti e/o servizi erogati, studiare e sviluppare nuovi prodotti e/o servizi e per migliorare le attività promozionali allineate alle esigenze e alle aspettative della clientela (si specifica che nessuna attività di marketing diretto sarà svolta nei confronti di coloro che non hanno prestato il consenso secondo quanto previsto al Paragrafo 2.2). I dati utilizzati per tali finalità possono essere conservati per un periodo non superiore ventiquattro (24) mesi dalla loro registrazione nei sistemi di Nexi.
3. TRATTAMENTO DI DATI BIOMETRICI
3.1 Nexi tratta inoltre dati particolari. Nello specifico, nel rispetto di quanto previsto dalla Normativa antiriciclaggio con riferimento agli obblighi di adeguata verifica dell’identità della clientela ed alla luce di quanto previsto in tal senso da Banca d’Italia con provvedimento del 30 luglio 2019 in relazione alla operatività a distanza, Nexi procede alla verifica della tua identità tramite l’analisi biometrica dei tratti del tuo volto; la procedura adottata da Nexi prevede, in particolare, attraverso algoritmi biometrici, la misurazione dei tratti salienti del tuo volto e la trasformazione in un codice numerico (c.d. template biometrico), che non permette comunque di risalire all’immagine originariamente acquisita.
La procedura prevede dunque la verifica (i) della corrispondenza tra i template biometrici ricavati dal video da te inoltrato e dal documento da te trasmesso e (ii) la mancata corrispondenza del template biometrico ricavato dalla tua immagine con i template biometrici ricavati dalle immagini dei clienti di Yap Nexi.
In generale il dato biometrico sarà conservato per il solo tempo necessario allo svolgimento delle attività e alla realizzazione delle finalità di cui sopra. All’esito di tali trattamenti, i dati saranno definitivamente cancellati da ogni archivio cartaceo e/o elettronico di Nexi.
3.2 Il trattamento dei tuoi dati biometrici è effettuato, ai sensi dell’art. 9, par. 2, lett. g), del GDPR per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri in materia di prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo (v. Direttiva UE 2015/849, D.lgs. 231/2007 e– Provvedimento di Banca d’Italia del 30 luglio 2019 – “Disposizioni in materia di Adeguata Verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo). Il rilascio di tali dati risulta necessario per le predette finalità ed in loro assenza non sarà possibile accettare la richiesta di registrazione.
4. MODALITÀ DI TRATTAMENTO DEI DATI
4.1 In relazione a tutte le finalità sopra indicate, il trattamento dei dati avverrà in modo da garantire la sicurezza e la riservatezza dei dati personali, e potrà essere effettuato attraverso strumenti manuali, informatici e telematici al fine di registrare, organizzare, conservare, elaborare, modificare, selezionare, estrarre, raffrontare, utilizzare, interconnettere, bloccare, limitare, cancellare e comunicare i dati stessi.
4.2 Le misure tecniche e organizzative adottate saranno idonee a garantire un livello di sicurezza adeguato ai rischi, con particolare riferimento alla distruzione, perdita, modifica e divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, ai dati personali trattati da Nexi.
5. SOGGETTI CHE POSSONO VENIRE A CONOSCENZA DEI DATI
5.1 Per il perseguimento delle finalità descritte nel precedente paragrafo 2, i dati personali saranno trattati dai dipendenti di Nexi, i quali sono stati appositamente nominati e autorizzati.
5.2 Nexi, inoltre, per alcune attività ha la necessità di comunicare o condividere i dati personali con soggetti terzi appartenenti alle seguenti categorie:
- altre società del Gruppo di cui Nexi è parte. A titolo esemplificativo e non esaustivo, tale comunicazione infra - gruppo può avvenire con riferimento alle attività connesse alla disciplina antiriciclaggio e di prevenzione del finanziamento al terrorismo (di cui al decreto legislativo 21 novembre 2007, n. 231 e successive modifiche) o per finalità amministrativo-contabili;
- società che svolgono servizi per la raccolta dei Moduli di Richiesta Carta (ad esempio soggetti collocatori della carta di cui si avvale Nexi);
- società che svolgono servizi bancari, finanziari e assicurativi, anche per conto di Nexi;
- società che svolgono servizi di stampa, trasmissione, imbustamento, trasporto e smistamento delle comunicazioni alla clientela;
- società che svolgono attività di archiviazione della documentazione relativa ai rapporti intercorsi con la clientela;
- società che forniscono servizi per la gestione del sistema informatico di Nexi;
- società che svolgono attività di controllo, revisione e certificazione delle attività poste in essere da Nexi;
- società di factoring e che svolgono attività di recupero crediti;
- società di gestione di sistemi internazionali e nazionali per il controllo delle frodi ai danni delle Banche e degli intermediari finanziari;
- società issuer e acquirer aderenti al Circuito Internazionale VISA per la gestione di eventuali richieste di informazioni/contestazioni;
- società partner che erogano il Servizio di Mobile Payments (ad esempio: ApplePay, GooglePay, SamsungPay, etc.) Per maggiori informazioni sul trattamento dei dati e sull'esercizio dei diritti consultare i termini di servizio l'informativa privacy delle società partner interessate;
- società che offrono strategie di mercato per Aziende effettuando campagne di marketing;
- il Circuito Internazionale VISA che definisce le regole di pagamento/accettazione delle Carte di pagamento emesse con il proprio marchio e che garantisce il corretto funzionamento del Circuito;
- società che svolgono attività di assistenza alla clientela (es. Call center);
- autorità e organi di vigilanza e controllo (es. Banca d’Italia, UIF, CONSAP, in qualità di gestore del Sistema Centralizzato Informatico Prevenzione Amministrativa Furto di Identità, CD.SCIPAFI,, etc.);
- Autorità e organi giudiziari;
- Studi o società nell’ambito di rapporti di assistenza e consulenza.
5.3 I soggetti appartenenti alle categorie sopra riportate possono operare come Titolari del Trattamento, in totale autonomia rispetto a Nexi, oppure in qualità di Responsabili del trattamento specificatamente nominati da quest’ultima per iscritto.
5.4 L’elenco delle società esterne designate quali responsabili per particolari trattamenti, verrà mantenuto aggiornato presso gli uffici di Nexi e verrà inviato dietro specifica richiesta ai recapiti di seguito indicati.
.
6. TRASFERIMENTO DATI ALL’ESTERO
6.1 I dati personali trattati da Nexi sono conservati all’interno del territorio dello Spazio Economico Europeo e non sono oggetto di diffusione/pubblicazione.
6.2. Nexi si riserva la possibilità di comunicare alcuni dei dati acquisiti a destinatari che potrebbero essere stabiliti al di fuori dello Spazio Economico Europeo, per perseguire le finalità di trattamento sopra indicate, sempre nel rispetto dei diritti e delle garanzie previste dalla Normativa Privacy (vedi Capo V del Regolamento UE 679/2016). In particolare, i trasferimenti sono basati su una decisione di adeguatezza o su Clausole Contrattuali Standard approvate dalla Commissione Europea.
7. CONSERVAZIONE DEI DATI
7.1 In generale i dati personali saranno conservati per il solo tempo necessario allo svolgimento delle attività e alla realizzazione delle finalità di cui al precedente paragrafo 2. All’esito di tali trattamenti, i dati saranno definitivamente cancellati da ogni archivio cartaceo e/o elettronico di Nexi, tranne quando l’ulteriore conservazione sia esplicitamente consentita da norme di legge e/o richiesta ai fini dell’adempimento di obblighi posti a carico di Nexi.
7.2 In particolare, i dati personali raccolti al momento di richiesta di emissione della Carta e quelli relativi alle operazioni effettuate attraverso di essa devono essere conservati, per un periodo di dieci (10) anni, rispettivamente, dalla cessazione del rapporto contrattuale avente ad oggetto la Carta o dall’esecuzione dell’operazione, per espressa previsione di legge (ad esempio la normativa antiriciclaggio e finanziamento del terrorismo), oppure per ragioni di giustizia per consentire qualsiasi indagine da parte delle Autorità competenti.
I dati personali, invece, utilizzati per finalità di profilazione o di marketing, esclusivamente in presenza di idoneo consenso secondo quanto indicato al precedente paragrafo 2.2, possono essere conservati per un periodo non superiore, rispettivamente, a dodici (12) e a ventiquattro (24) mesi dalla loro registrazione nei sistemi di Nexi.
7.3 I dati riguardanti la localizzazione in tempo reale del dispositivo dell’Utente, saranno trattati per il tempo strettamente necessario all’esecuzione del servizio richiesto o per l’inoltro delle comunicazioni personalizzate per cui si è prestato il consenso, dopodiché saranno resi anonimi e trattati in forma aggregata per esclusive finalità statistiche.
8. DIRITTI DELL’INTERESSATO
8.1 L’interessato potrà in ogni momento esercitare nei confronti di Nexi i diritti che gli sono riconosciuti dalla Normativa Privacy, vale a dire:
- accedere ai propri dati personali, ottenendo evidenza delle finalità perseguite da parte di Nexi, delle categorie di dati coinvolti, dei destinatari a cui gli stessi possono essere trasmessi, del periodo di conservazione applicabile e dell’esistenza di processi decisionali automatizzati;
- ottenere senza ritardo la rettifica dei propri dati personali eventualmente inesatti;
- ottenere, nei casi previsti, la cancellazione dei propri dati;
- revocare il consenso o i consensi eventualmente prestati. Resta inteso che la revoca del consenso non pregiudicherà la liceità dei trattamenti effettuati fino a quel momento.
- ottenere la limitazione del trattamento, laddove possibile;
- non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente;
- opporsi al trattamento nelle ipotesi di legittimo interesse di Nexi.
8.2 L’interessato può in ogni momento richiedere la portabilità dei dati forniti a Nexi, ricevendoli in un formato strutturato, di uso comune e leggibile da dispositivo automatico, anche per trasmetterli o chiederne la trasmissione ad un altro Titolare del trattamento, senza alcun impedimento.
8.3 I diritti sopra precisati possono essere esercitati inviando una comunicazione scritta a Nexi Payments S.p.A., Corso Sempione 55, 20149 Milano, inviando una e-mail ai seguenti indirizzi di posta elettronica: dpo@nexigroup.com, dpo@pec.nexi.it oppure telefonando al Servizio Clienti YAP.
8.4. L’interessato può, infine, proporre reclamo all’Autorità Garante per la Protezione dei dati Personali.
9. TITOLARE DEL TRATTAMENTO E DATA PROTECTION OFFICER
9.1 Il Titolare del trattamento è Nexi Payments S.p.A. avente sede legale in Milano, Corso Sempione n. 55. Il Responsabile della protezione dei dati (Data Protection Officer) a cui rivolgersi per ogni richiesta in merito al trattamento dei propri dati personali è il Responsabile della Funzione Compliance, contattabile scrivendo ai seguenti indirizzi di posta elettronica: dpo@nexigroup.com, dpo@pec.nexi.it oppure inviando una richiesta scritta a Nexi Payments S.p.A., ufficio del Data Protection Officer, Corso Sempione 55, 20149 Milano.
LINK AL DOCUMENTO
privacy_YAP_minore_202405.pdf (ctfassets.net)