YAP è una applicazione mobile (di seguito anche “App”) a cui è associata, previa registrazione dell’Utente, una carta di pagamento prepagata virtuale (di seguito anche “Carta”) e, eventualmente, anche fisica personale (che può essere richiesta dopo essere diventato Cliente YAP) che ti consente di disporre delle somme di denaro accreditate.
L’App è di proprietà di Nexi Payments S.p.A., (di seguito anche “Nexi”), che è anche emittente e gestore del servizio carta prepagata.
Ai sensi di quanto disposto dalla normativa vigente in materia di protezione dei dati personali (di seguito la “Normativa Privacy”), con particolare riferimento agli artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito anche “GDPR”), la società Nexi Payments S.p.A., in qualità di titolare del trattamento, ti fornisce le seguenti informazioni riguardo al trattamento dei dati personali.
1. Tipologia e fonte dei dati personali oggetto di trattamento
2. Finalità e basi giuridiche del trattamento
3. Modalità di trattamento dei dati
4. Categorie di soggetti ai quali i dati possono essere trasmessi
5. Trasferimento dei dati all’estero
6. Conservazione dei dati
7. Diritti degli interessati
8. Il Titolare del trattamento e Data Protection Officer
Nexi si riserva di modificare la presente informativa privacy. A seconda della modifica il Cliente sarà informato in merito a tali cambiamenti mediante comunicazioni scritte o attraverso i siti web istituzionali www.nexi.it e www.yap-app.it.
1. TIPOLOGIA E FONTE DEI DATI PERSONALI OGGETTO DI TRATTAMENTO
1.1 I dati personali in possesso di Nexi sono quelli da te forniti in fase di registrazione all’App, nonché a seguito dell’utilizzo della Carta, presso le Banche e presso gli esercenti, sia italiani che esteri, dove potrai utilizzare e ricaricare la tua Carta. I dati personali potranno, inoltre, essere da te forniti a Nexi durante il corso del rapporto contrattuale, attraverso tecniche di comunicazione a distanza di cui la stessa Nexi si avvale (ad esempio sito internet, App, Call Center). Si tratta di dati identificativi, anagrafici, di contatto, di dati economico finanziari (dati relativi alle Operazioni di pagamento effettuate con la Carta), di dati multimediali (foto e video in relazione alla fase di identificazione), e di altri dati/informazioni riguardanti caratteristiche personali (ad esempio: professione, titolo di studio, stato civile, etc) volti ad una miglior gestione del rapporto contrattuale e/o a consentirci di rispondere agli obblighi normativi.
Laddove si attivi il servizio volto ad ottenere l’indicazione dei punti in cui è possibile utilizzare/ricaricare la Carta localizzati nelle vicinanze del dispositivo in uso, l’App potrà inoltre accedere ai dati riguardanti la localizzazione in tempo reale del dispositivo in uso (smartphone, tablet, ecc.).
I dati raccolti e utilizzati da Nexi potranno essere, altresì, dati tecnologici che le connessioni internet rendono disponibili (ad esempio indirizzo IP), protocolli di comunicazione dei dati, codici univoci associati agli utenti di telefonia mobile nonché meccanismi di analisi su cookie per garantire alti standard di sicurezza".
1.2. Nexi, infine, nel rispetto degli obblighi normativi cui è sottoposta, potrà acquisire ulteriori informazioni che Ti riguardano compresi i dati personali che ti riguardano, compreso i dati relativi a condanne penali, reati e altre misure di sicurezza, consultando banche dati pubbliche e/o private autorizzate.
2. FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO
2 .1 I dati personali raccolti saranno trattati da Nexi per le seguenti finalità:
- adempiere agli obblighi precontrattuali e contrattuali assunti da Nexi (ad esempio: emissione della Carta, gestione delle operazioni di pagamento effettuate con la Carta, assistenza alla clientela gestione del monte moneta elettronico etc.);
- adempiere agli obblighi previsti da leggi (ad esempio: normativa antiriciclaggio che impone anche obblighi di profilazione della clientela, la normativa UCAMP, la normativa sulle Segnalazioni alla Centrale Allarme Interbancaria, la Direttiva PSD2 sui Servizi di Pagamento, la normativa sulla trasparenza delle Operazioni e dei servizi bancari e finanziari, etc.), da regolamenti e dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di Vigilanza e Controllo;
- monitorare e prevenire il rischio frodi;
Il conferimento dei dati personali per tali finalità è obbligatorio ed il relativo trattamento da parte di Nexi non richiede un esplicito consenso, pena l’impossibilità per Nexi di instaurare e gestire il rapporto contrattuale. La base giuridica del trattamento è, quindi, individuata nell’adempimento degli obblighi di legge ai quali è sottoposta Nexi e nella necessità di dare esecuzione al rapporto contrattuale.
Laddove il trattamento abbia a oggetto taluni dati raccolti per il perseguimento delle finalità di prevenzione e monitoraggio delle frodi in base all'interesse legittimo di Nexi, esso potrà essere svolto a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato.
Nexi, inoltre, potrà trattare i Tuoi dati personali per consentire l’esercizio o la difesa dei diritti di Nexi in sede stragiudiziale e/o giudiziale. La base giuridica del trattamento è rinvenibile nel perseguimento del legittimo interesse di Nexi.
2.2 Al fine di migliorare il proprio servizio nei confronti della clientela, Nexi potrà:
- promuovere prodotti e servizi di Nexi, oppure prodotti e servizi di terzi partner attraverso modalità tradizionali di contatto (ad esempio: contatto telefonico con operatore, posta cartacea), e modalità automatizzate (ad esempio: messaggi SMS, posta elettronica, notifiche push, etc); tali attività potranno essere svolte direttamente da Nexi o da altri soggetti dalla stessa designati quali responsabili del trattamento;
- trattare i dati per svolgere ricerche di mercato o di rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi e sull’attività svolta da Nexi; tali indagini potranno essere svolte direttamente da Nexi, o da altri soggetti dalla stessa designati quali responsabili di trattamento attraverso modalità tradizionali di contatto (ad esempio: contatto telefonico con operatore, posta cartacea), e modalità automatizzate (ad esempio: messaggi SMS, posta elettronica, notifiche push, etc);
- comunicare i dati personali a società terze (a titolo esemplificativo ma non esaustivo, appartenenti alle seguenti categorie merceologiche: finanza, editoria, telecomunicazioni, settore energetico, assicurazioni, etc.) al fine di consentire l’offerta, direttamente da parte di queste ultime, di loro propri prodotti o servizi.
Ciascuna di queste attività e comunicazioni può essere svolta solo in presenza di uno specifico consenso che è possibile manifestare compilando gli appositi campi durante il processo di registrazione all’APP e presenti sul “Modulo di richiesta Carta”. Tali consensi sono facoltativi e sempre revocabili, scrivendo ai seguenti indirizzi di posta elettronica dpo@nexigroup.com, dpo@pec.nexi.it, oppure accedendo all’App. Resta quindi inteso che l’eventuale diniego di uno o più di tali consensi non pregiudica in alcun modo l’instaurazione e la gestione del rapporto contrattuale.
2.3 Nexi, infine, potrà svolgere per legittimo interesse, su base aggregata, attività di analisi dei dati della clientela per finalità statistiche e a supporto delle scelte strategiche aziendali.
3. MODALITÀ DI TRATTAMENTO DEI DATI
3.1 In relazione a tutte le finalità sopra indicate, il trattamento dei dati avverrà in modo da garantire la sicurezza e la riservatezza dei dati personali, e potrà essere effettuato attraverso strumenti manuali, informatici e telematici al fine di registrare, organizzare, conservare, elaborare, modificare, selezionare, estrarre, raffrontare, utilizzare, interconnettere, bloccare, limitare, cancellare e comunicare i dati stessi.
3.2 Le misure tecniche e organizzative adottate saranno idonee a garantire un livello di sicurezza adeguato ai rischi, con particolare riferimento alla distruzione, perdita, modifica e divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, ai dati personali trattati da Nexi.
4. SOGGETTI CHE POSSONO VENIRE A CONOSCENZA DEI DATI
4.1 Per il perseguimento delle finalità descritte nel precedente paragrafo 2, i dati personali saranno trattati dai dipendenti di Nexi, i quali sono stati appositamente nominati e autorizzati.
4.2 Nexi, inoltre, per alcune attività ha la necessità di comunicare o condividere i dati personali con soggetti terzi appartenenti alle seguenti categorie:
- altre società del Gruppo di cui Nexi è parte. A titolo esemplificativo e non esaustivo, tale comunicazione infra-gruppo può avvenire con riferimento alle attività connesse alla disciplina antiriciclaggio e di prevenzione del finanziamento al terrorismo (di cui al decreto legislativo 21 novembre 2007, n. 231 e successive modifiche) o per finalità amministrativo-contabili;
- società che svolgono servizi per la raccolta dei Moduli di Richiesta Carta (ad esempio soggetti collocatori della carta di cui si avvale Nexi);
- società che svolgono servizi bancari, finanziari e assicurativi, anche per conto di Nexi;
- società che svolgono servizi di stampa, trasmissione, imbustamento, trasporto e smistamento delle comunicazioni alla clientela;
- società che svolgono attività di archiviazione della documentazione relativa ai rapporti intercorsi con la clientela;
- società che forniscono servizi per la gestione del sistema informatico di Nexi;
- società che svolgono attività di controllo, revisione e certificazione delle attività poste in essere da Nexi;
- società di factoring e che svolgono attività di recupero crediti;
- società di gestione di sistemi internazionali e nazionali per il controllo delle frodi ai danni delle Banche e degli intermediari finanziari;
- società issuer e acquirer aderenti al Circuito Internazionale VISA per la gestione di eventuali richieste di informazioni/contestazioni;
- società partners che erogano il Servizio di Mobile Payments (ad esempio: ApplePay, GooglePay, SamsungPay, etc.). Per maggiori informazioni sul trattamento dei dati e sull'esercizio dei diritti consultare i termini di servizio e l'informativa privacy delle società partners interessate);
- società che offrono strategie di mercato per Aziende effettuando campagne di marketing;
- il Circuito Internazionale VISA che definisce le regole di pagamento/accettazione delle Carte di pagamento emesse con il proprio marchio e che garantisce il corretto funzionamento del Circuito;
- società che svolgono attività di assistenza alla clientela (es. Call center);
- autorità e organi di vigilanza e controllo (es. Banca d’Italia, UIF, CONSAP, in qualità di gestore del Sistema Centralizzato Informatico Prevenzione Amministrativa Furto di Identità, CD.SCIPAFI, etc.);
- Autorità e organi giudiziari;
- Studi o società nell’ambito di rapporti di assistenza e consulenza.
4.3 Nexi, infine, può comunicare i dati personali (dati relativi alle transazioni effettuate con la carta) al Genitore/Tutore/Curatore/Amministratore di sostegno, in quanto soggetto legalmente responsabile nei confronti di Nexi relativamente alla sottoscrizione del presente Contratto e dell’utilizzo della Carta.
4.4 I soggetti appartenenti alle categorie sopra riportate operano in totale autonomia come Titolari del trattamento, oppure operano in qualità di Responsabili del trattamento specificatamente nominati per iscritto da Nexi. Il relativo elenco è costantemente aggiornato e disponibile presso Nexi stessa.
4.5 L’elenco delle società esterne designate quali responsabili per particolari trattamenti, verrà mantenuto aggiornato presso gli uffici di Nexi e verrà inviato dietro specifica richiesta ai recapiti di seguito indicati.
5. TRASFERIMENTO DATI ALL’ESTERO
5.1 I dati personali trattati da Nexi sono conservati all’interno del territorio dello Spazio Economico Europeo e non sono oggetto di pubblicazione/diffusione.
5.2. Nexi si riserva la possibilità di comunicare alcuni dei dati acquisiti a destinatari che potrebbero essere stabiliti al di fuori dello Spazio Economico Europeo, per perseguire le finalità di trattamento sopra indicate, sempre nel rispetto dei diritti e delle garanzie previste dalla Normativa Privacy (vedi Capo V del Regolamento UE 679/2016). In particolare, i trasferimenti sono basati su una decisione di adeguatezza o su Clausole Contrattuali Standard approvate dalla Commissione Europea.
6. CONSERVAZIONE DEI DATI
In linea generale i dati personali saranno conservati per il solo tempo necessario allo svolgimento delle attività e alla realizzazione delle finalità di cui al precedente paragrafo 2. All’esito di tali trattamenti, i dati saranno definitivamente cancellati da ogni archivio cartaceo e/o elettronico di Nexi, tranne quando l’ulteriore conservazione sia esplicitamente consentita da norme di legge e/o richiesta ai fini dell’adempimento di obblighi posti a carico di Nexi.
In particolare, i dati personali raccolti al momento di richiesta di emissione della Carta e quelli relativi alle operazioni effettuate attraverso di essa devono essere conservati, per un periodo di dieci (10) anni, rispettivamente, dalla cessazione del rapporto contrattuale avente ad oggetto la Carta o dall’esecuzione dell’operazione, per espressa previsione di legge (ad esempio normativa antiriciclaggio e finanziamento del terrorismo), oppure per ragioni di giustizia per consentire qualsiasi indagine da parte delle Autorità competenti.
I dati personali, invece, utilizzati per finalità di marketing, in presenza di idoneo consenso, secondo quanto indicato al precedente paragrafo 2.2, possono essere conservati per un periodo non superiore a ventiquattro (24) mesi, dalla loro registrazione nei sistemi di Nexi
I dati riguardanti la localizzazione in tempo reale del dispositivo dell’Utente, saranno trattati per il tempo strettamente necessario all’esecuzione del servizio richiesto, dopodiché saranno resi anonimi e trattati in forma aggregata per esclusive finalità statistiche.
7. DIRITTI DELL’INTERESSATO
7.1 L’interessato potrà in ogni momento esercitare nei confronti di Nexi i diritti che sono riconosciuti dalla Normativa Privacy, vale a dire:
- accedere ai propri dati personali, ottenendo evidenza delle finalità perseguite da parte di Nexi, delle categorie di dati coinvolti, dei destinatari a cui gli stessi possono essere trasmessi, del periodo di conservazione applicabile e dell’esistenza di processi decisionali automatizzati;
- ottenere senza ritardo la rettifica dei propri dati personali eventualmente inesatti;
- ottenere, nei casi previsti, la cancellazione dei propri dati;
- revocare il consenso o i consensi eventualmente prestati. Resta inteso che la revoca del consenso non pregiudicherà la liceità dei trattamenti effettuati fino a quel momento.
- ottenere la limitazione del trattamento, laddove possibile;
- qualora previsto, non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che ti riguardano o che incida in modo analogo significativamente sulla tua persona;
- opporsi al trattamento nelle ipotesi di legittimo interesse di Nexi.
7.2 L’interessato può in ogni momento richiedere la portabilità dei dati forniti a Nexi, ricevendoli in un formato strutturato, di uso comune e leggibile da dispositivo automatico, anche per trasmetterli o chiederne la trasmissione ad un altro titolare del trattamento, senza alcun impedimento da parte di Nexi.
7.3 I diritti sopra precisati possono essere esercitati inviando una comunicazione scritta a Nexi Payments S.p.A., Corso Sempione 55, 20149 Milano, inviando una e-mail ai seguenti indirizzi di posta elettronica: dpo@nexigroup.com oppure telefonando al Servizio Clienti YAP.
7.4 Potrai, infine, proporre reclamo all’Autorità Garante per la Protezione dei dati Personali
8. TITOLARE DEL TRATTAMENTO E DATA PROTECTION OFFICER
8.1 Il Titolare del trattamento è Nexi Payments S.p.A. avente sede legale in Milano, Corso Sempione n. 55. Il Responsabile della protezione dei dati (Data Protection Officer) a cui rivolgersi per ogni richiesta in merito al trattamento dei propri dati personali è il Responsabile della Funzione Compliance & AML, contattabile scrivendo ai seguenti indirizzi di posta elettronica: dpo@nexigroup.com, dpo@pec.nexi.it, oppure inviando una richiesta scritta a Nexi Payments S.p.A., ufficio del Data Protection Officer, Corso Sempione 55, 20149 Milano.
LINK AL DOCUMENTO