Informativa sulla protezione dei dati personali App Mobile Mi@ ai sensi dell'artt. 13 e 14 del Regolamento UE n. 679/2016

Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (di seguito “GDPR”), BdM Banca SpA, (di seguito la “Banca” o il “Titolare”) con sede legale a Bari – Corso Cavour 19, Società facente parte del Gruppo Bancario Mediocredito Centrale, nella qualità di Titolare del trattamento dei dati personali, con il presente documento (di seguito “Informativa”),fornisce le informazioniin ordine alle finalità e alle modalità del trattamento deidati personali raccolti per la fruizione dei servizi di Internet e Mobile Banking  resi tramite l’App Mi@.

Tramite questa informativa il Titolare integra le informative privacy disponibili sul proprio sito web (https://www.bdmbanca.it/content/bpb/it/servizi/privacy.html) a cui l’interessato può fare riferimento per ogni informazione ulteriore relativa ai trattamenti non censiti nella presente informativa.

1.     Identità e dati di contatto del Titolare e del Responsabile della protezione dei dati personali 

Il Titolare dei Suoi dati è BdM Banca SpA, con sede legale in Bari – Corso Cavour 19 contattabile all’indirizzo e-mail: segreteriageneralebpb@postacert.cedacri.it

Il Titolare ha nominato un Data Protection Officer (Responsabile per la protezione dei dati personali) al quale l’interessato potrà rivolgersi per esercitare i propri diritti o per avere informazioni relative agli stessi e/o alla presente Informativa, contattabileall’indirizzo di posta elettronica bdmccodataprotectionofficer@mcc.itovvero al seguente indirizzo PEC: privacy.bpb@postacert.cedacri.it

2.     Categorie di dati

Il Titolare eroga servizi che utilizzano applicazioni mobili disponibili per il download sui Marketplace Google Play Store e App Store di Apple. Nello specifico tali applicazioni sono denominate “Mi@” e sono sviluppate, aggiornate e manutenute da soggetti terzi (Cedacri Spa) con cui la Banca ha stipulato specifici contratti di fornitura. I dati personali sono trattati dal Titolare per consentire di fruire di tutte le funzionalità previste dalle suddette applicazioni e per assicurarne il corretto funzionamento.

Per il perseguimento delle finalità descritte nel paragrafo di cui al successivo punto 4, il Titolare tratta le seguenti categorie dei dati personali dell’interessato ottenute anche presso terzi.

·          Dati anagrafici, identificativi e di contatto: quali a titolo esemplificativo nome, cognome, indirizzo e-mail, numero di telefono.

·          Dati del Dispositivo: l’interessato, installando l’App sul proprio Dispositivo, autorizza la Banca ad accedere ad alcuni dati personali ed altre informazioni relative al Dispositivo (es. modello del dispositivo, identificativi del dispositivo, quali Device IMEI Number, Phone Number, SIM ID, Device Name,indirizzo IP, versione del sistema operativo, risoluzione dello schermo, tipo di connessione di rete, nome della rete Wi-Fi, lingua ecc.).

·          Log relativi agli arresti anomali e altri dati diagnostici

Tali informazioni sono indispensabili al fine di consentire l’installazione dell’applicazione, il suo corretto funzionamento, lo svolgimento di analisi di sicurezza e prevenzione delle frodi. La condivisione delle informazioni suddette è parte integrante del processo di installazione dell’App e l’interessato non può opporsi se non disinstallando l’applicazione stessa.

Una volta installata e in funzione di quale servizio viene attivato,l’App richiede all’utente l’accesso alle funzionalità di seguito indicate presenti sul Dispositivo che potrebbero implicare il trattamento di dati personali. La condivisione (c. d. autorizzazione) di queste informazioni è del tutto facoltativa e volta solo a facilitare l’uso dei servizi dell’App. L’interessato può in qualsiasi momento controllare e/o disabilitare l'abilitazione alle seguenti funzionalitàeventualmente rilasciata nel menu Impostazioni del Dispositivo.

·          Dati digeolocalizzazione: l’App offre delle funzionalità che possono comportare l’attivazione dei sistemi di rilevazione (GPS, WiFI, rete GSM) dell’ubicazione del Dispositivo in uso (dati di geolocalizzazione) per permettere all’utente, ad esempio, di utilizzare il servizio di individuazione delle Filiali e degli ATM e di calcolare il percorso per raggiungerli.

I dati relativi alla posizione vengono utilizzati altresì per valutare il rischio delle transazioni e svolgere le relative analisi di sicurezza e prevenzione delle frodi.

Il gestore del servizio Mappe installato sul Dispositivo (ad es. Apple o Google), tratterà i dati di geolocalizzazione nei termini descritti nelle proprie informative, cui si rimanda. In ogni momento i servizi di geolocalizzazione possono essere disattivati accedendo all’apposita sezione dei permessi alla localizzazione del sistema operativo del Dispositivo dell’utente.

·          Fotocamera: l’App potrà utilizzare la fotocamera del Dispositivo ogniqualvolta si attivi il servizio di acquisizione e riconoscimento di un QR Code. L’autorizzazione all’utilizzo della fotocamera è facoltativa ma se non fornita non sarà possibile utilizzare la relativa funzionalità di acquisizione e riconoscimento del QR Code.  L’autorizzazione all’accesso alla fotocamera non comporta un trattamento delle immagini salvate nella libreria/galleria del Dispositivo diverse dal suddetto QR code.

·          Telefono/contatti: l’applicazione potrebbe richiede l’autorizzazione ad accedere all’elenco dei contatti messi a disposizione dalla Banca nell’ambito dell’erogazione del servizio (ad es. il numero verde di assistenza). L’accesso non comporta il trattamento dei dati contenuti nella rubrica del Dispositivo. Per l’accesso ai contatti è richiesta autorizzazione specifica alla prima installazione. In ogni momento è possibile modificare la scelta accedendo alle impostazioni del Dispositivo revocando le autorizzazioni prestate.

·          Notifiche push:l’utente può scegliere se ricevere notifiche pushda parte dell’Appsul Dispositivo mobile ed essere in grado di autenticarsi e/o autorizzare disposizioni sul conto nonché ricevere informazioni di servizio come la presenza di un aggiornamento dell’App o l’esecuzione di un pagamento. Qualora in un secondo momento l’utente decidesse di non voler ricevere ulteriori notifiche push, potrà disattivarle utilizzando le funzionalità di impostazione del Dispositivo.

·          Archiviazione: questa tipologia di autorizzazione è richiesta per garantire il salvataggio in cache di alcune informazioni tecniche non collegate all’utente ed èfunzionale per consentire all’App di ricevere e memorizzare dati all’interno della memoria del Dispositivo come ad esempio le contabili, gli estratti conto e i documenti ad integrazione di alcune pratiche con la Banca.

·          Dati di autenticazione:A seconda del modello del Suo device, l’App potrebbe richieder richiedere facoltativamente, al fine di agevolare l’autenticazione, il permesso di utilizzare le impronte digitali o il riconoscimento facciale del Suo dispositivo. L’applicazione non salva nessuno dei Suoi fattori biometrici ma verifica solamente che l’impronta o il viso appartengano alla stessa persona abilitata ad utilizzare il Dispositivo. In caso di attivazione di tali funzioni, l’utente deve verificare di non aver abilitato a terzi l’utilizzo del proprio dispositivo.

·          Informazioni sulle applicazioni in esecuzione: le informazioni fornite dal sistema operativo relative alle altre applicazioni in esecuzione sul Dispositivo permettono di identificare eventuali codici potenzialmente in grado di intercettare ed interferire con le operazioni effettuate.

L’App utilizza, inoltre, SDK (Software Development Kit) e tecnologie affini. Solitamente, queste tecnologie permettono di analizzare l’uso di un’applicazione, in modo da evitare malfunzionamenti e migliorare l’esperienza utente.La Banca utilizza SDK e tecnologie affini anonimizzate che potrebbero essere fornite da terze parti che agiscono, in tal caso, in qualità di responsabili del trattamento.

La tecnologia SDK attualmente verrà utilizzata esclusivamente per consentire il funzionamento di Geolocalizzazione, Archiviazione, Fotocamera e Telefonoper offrire una funzionalità all’utente o ai fini di prevenzione di attività fraudolente.

3.     Fonti dei dati personali

I dati personali di cui al precedente paragrafo possono essere raccolti presso terzi quali piattaforme di distribuzione digitale (ad esempio: Google Play, App Store ecc.) ed erogatori di servizi di geolocalizzazione e ubicazione.

4.     Basi giuridiche, finalità di trattamentoe conservazione dei dati

La Banca tratta i dati personali dell’interessato per le finalità di seguito illustrate.

4.1.   Esecuzione di un contratto o esecuzione di misure precontrattuali

La Banca tratta i dati personali dell’interessato perl’acquisizione di informazioni preliminari alla conclusione e la stipula del contratto di servizio, nonchéper gestire ilsuccessivorapporto contrattuale,monitorare i serviziattivati e utilizzati ed offrire assistenza tecnica.

I dati saranno conservati dalla Banca per 10 anni e sei mesi dalla conclusione del rapporto contrattuale.I termini di conservazione potrebbero protrarsi ai fini di accertamento, esercizio o difesa di un diritto della Banca in sede giudiziaria.

4.2.   Adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento

La Banca tratta i dati personali per adempiere ad obblighi legali (quali, ad esempio verifiche antifrode) derivanti da regolamenti e/o norme comunitarie nonché da norme emanate da Autorità di vigilanza e controllo o da altre Autorità a ciò legittimate.

I dati saranno conservati per il periodo prescritto dalle diverse normative applicabili, limitatamente alle finalità perseguite dalle stesse.Si evidenzia come i termini di conservazione potrebbero protrarsi ai fini di accertamento, esercizio o difesa di un diritto della Banca in sede giudiziaria.

4.3.   Perseguimento del legittimo interesse del titolare del trattamento o di terzi

La Banca effettua altresì trattamenti di dati personali per legittimo interesse e in particolare quelli relativi alla:

·          attività relativa alla gestione dei sistemi informatici della Banca, inclusa la gestione dell’infrastruttura, la business continuity e la sicurezza ICT;

·          comunicazione infragruppo per finalità amministrative;

I dati saranno conservati per il periodo utile al perseguimento delle singole finalità.Il periodo di conservazione potrebbe protrarsi ai fini di accertamento, esercizio o difesa di un diritto della Banca in sede giudiziaria.

5.     Natura del conferimento e conseguenze rifiuto

Il conferimento dei dati di cui ai punti 4.1 e4.2del precedente paragrafo è obbligatorio e il mancato conferimento comporterà l’impossibilità per la Banca di dare seguito alle richieste precontrattuali/contrattuali e di perseguire le finalità di trattamento di cui alla presente Informativa.

Il conferimento dei dati personali di cui al punto 4.3, basato sul legittimo interesse, non è obbligatorio e l’interessato potrà opporsi a dettotrattamento in qualsiasi momento, per motivi connessi alla sua situazione particolare, con le modalità indicateal successivo punto 10 e, salvo sussistano motivi legittimi cogenti prevalenti e/o di esercizio e/o difesa diun diritto della Banca o di terzi, la Banca stessa si asterrà dal trattare ulteriormente i dati.

Come specificato nella sezione 2 “Categorie di dati” l’autorizzazione ad accedere a specifiche funzionalità del Dispositivo è puramente facoltativa. Tuttavia, il mancato conferimento di una o più delle autorizzazioni suddette comporterà per la Banca l’impossibilità di erogare il relativo servizio.

6.     Modalità di conservazione dei dati

I dati sono raccolti e registrati in modo lecito e secondo correttezza, per il perseguimento delle finalità indicate e nel rispetto dei principi fondamentali stabiliti dal GDPR e dalla normativa applicabile.

I dati personali trattati dalla Banca saranno conservati secondo i tempi di conservazione previsti nel precedente Paragrafo 4. Sono fatte salve diverse prescrizioni di legge, ivi inclusi i provvedimenti dell’Autorità Garante.

Trascorsi tali termini i dati saranno anonimizzati in una forma che non consenta l’identificazione dell’Interessato (es. anonimizzazione irreversibile)o cancellati, salvo che non ne sia necessaria la conservazione per altre e diverse finalità previste per espressa previsione di legge, per perseguire un interesse legittimo, nostro o di terzi, o per uno o più dei seguenti scopi: i) risoluzione di precontenziosi e/o contenziosi avviati prima della scadenza del periodo di conservazione; ii) per dare seguito ad indagini/ispezioni da parte di funzioni di controllo interno e/o autorità esterne avviati prima della scadenza del periodo di conservazione; iii) per dare seguito a richieste della pubblica autorità italiana e/o estera pervenute/notificate alla Banca prima della scadenza del periodo di conservazione.

7.     Categorie di soggetti destinatari dei dati personali

I dati personali possono essere comunicati per le suddette finalità, oltre che ad autorità, organi di vigilanza e di controllo anche a soggetti terzi, appartenenti alle seguenti categorie che li trattano in qualità di Titolari autonomi:

a)     società di gestione di sistemi nazionali e internazionali per il controllo delle frodi ai danni delle Banche e degli Intermediari finanziari;

b)     liberi professionisti (ad esempio notai, legali per le attività di gestione del contenzioso giudiziale);

c)     Società controllante, controllate o comunque del gruppo;

Inoltre, i dati potrebbero essere trattati dalle seguenti categorie di soggetti in qualità di Responsabili del trattamento appositamente nominati dal Titolare, ai sensi dell’art. 28 del GDPR:

a)     consulenti e liberi professionisti compresi quelli che forniscono prestazioni professionali di consulenza e assistenza legale e giudiziale;

b)     società del gruppo per i trattamenti esternalizzati all’interno del Gruppo Bancario;

c)     outsourcer dei sistemi informatici della Banca, sviluppatori dell’app. o comunque soggetti che forniscono servizi per la gestione e la protezione del sistema informatico della Banca;

d)     soggetti che svolgono attività di assistenza alla clientela (es. call center, help desk);

L’interessato ha la possibilità di richiedere alla Banca la lista dei Responsabili del trattamento coinvolti da queste finalità tramite le modalità di comunicazione presenti nella sezione “Titolare del Trattamento e Responsabile della protezione dei dati personali”

I dati saranno inoltre trattati dai soggetti appositamente autorizzati al trattamento dal Titolare, ai sensi del GDPR, quali i lavoratori dipendenti della Banca o distaccati presso la stessa, i lavoratori interinali, gli stagisti e i collaboratori, a seguito di apposite istruzioni impartite dal Titolare stesso.

Il trattamento dei dati personali può avvenire sia mediante strumenti manuali, che informatici e telematici, ma sempre sotto il presidio di misure tecniche e organizzative idonee a garantirne la sicurezza, l’integrità e la riservatezza, soprattutto al fine di ridurre i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato, o di trattamento non consentito o non conforme alle finalità della raccolta.

I dati personali trattati dalla Banca non sono oggetto di diffusione.

8.     Trasferimenti extra UE

Alcuni dati sono condivisi con Destinatari che si potrebbero trovare al di fuori dello Spazio Economico Europeo. La Banca garantisce che il trattamento dei dati avviene nel rispetto della normativa europea ed italiana. I trasferimenti dei dati verso i Destinatari possono basarsi su una decisione di adeguatezza o sulla base delle Standard ContractualClauses approvate dalla Commissione Europea e avvengono in ogni caso nel rispetto di quanto disposto dalle raccomandazioni dell’European Data Protection Board (“EDPB”) e della normativa tempo per tempo vigente.

9.     Processo decisionale automatizzato

Per il perseguimento delle finalità di trattamento sopra descritte, non viene presa alcuna decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che La riguardano o che incida in modo analogo significativamente sulla Sua persona.

10.   Diritti dell'interessato

Ai sensi e per gli effetti di cui al GDPR, all’interessato sono riconosciuti i seguenti diritti che potrà esercitare nei confronti della Banca:

a)     l’accesso e la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, anche al fine di essere consapevole del trattamento e per verificarne la liceità nonché la correttezza e l’aggiornamento di tali dati. In tal caso, l’interessato potrà ottenere l’accesso ai suoi dati personali e alle sue informazioni, in particolare a quelle relative alle finalità del trattamento, alle categorie di dati personali in questione, ai destinatari o categorie di destinatari a cui i dati personali sono stati o saranno comunicati, al periodo di conservazione;

b)     la rettifica, laddove inesatti, dei dati personali che lo riguardano, nonché l’integrazione degli stessi laddove ritenuti incompleti sempre in relazione alle finalità del trattamento. Durante questo periodo, la Banca si impegna a non presentare i dati come certi o definitivi, specialmente a terzi;

c)     la cancellazione dei dati che lo riguardano, ove i dati non siano più necessari rispetto alle finalità per le quali sono stati raccolti. Si ricorda che la cancellazione è subordinata all’esistenza di validi motivi. Se il Titolare ha comunicato ad altri Titolari o Responsabili i dati suddettiè obbligato a cancellarli, adottando le misure ragionevoli, anche tecniche, per informare altri Titolari del trattamento che stanno trattando i dati personali in questione di cancellare qualsiasi link, copia o riproduzione dei medesimi (cosiddetto diritto “all’oblio”). La cancellazione non può essere eseguita se il trattamento è necessario, tra l’altro, per l’adempimento di un obbligo legale o per l’esecuzione di un compito di pubblico interesse e per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d)     la limitazione del trattamento. Per limitazione del trattamento si intende, tra le altre cose, anche la possibilità di trasferire i dati trattati su un sistema non più accessibile, per sola conservazione e immodificabili. Questo non significa che i dati siano cancellati ma che il Titolare deve evitare di usarli nel periodo del relativo blocco. Nel caso di rettifica dei dati o di opposizione, l’interessato può richiedere la limitazione del trattamento di quei dati per il periodo durante il quale il Titolare sta effettuando la rettifica o sta valutando la richiesta di opposizione. Un’ulteriore fattispecie è dovuta al fatto che i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, ma il Titolare non ne ha più bisogno ai fini del trattamento;

e)     l’opposizione, in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano. La Banca si impegna ad astenersi dal trattare i Suoi dati, a meno che non dimostri che esistano motivi legittimi cogenti per procedere al trattamento o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

f)      richiedere la portabilità dei dati che l’interessato ha fornito alla Banca, vale a dire ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che lo riguardano forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul contratto o sul consenso e sia effettuato con mezzi automatizzati. Inoltre, ha il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente dalla Banca ad altro Titolare qualora ciò sia tecnicamente fattibile.

Tali diritti potranno essere esercitati rivolgendosi al Responsabile della protezione dei dati personali(DPO) scrivendo al seguente indirizzo: Bari – Corso Cavour 19, o inviando e-mail all’indirizzo di posta elettronica bdmccodataprotectionofficer@mcc.itovvero al seguente indirizzo PEC: privacy.bpb@postacert.cedacri.it.

L’interessato potrà, inoltre, segnalare prontamente al DPO, tramite i recapiti sopra indicati, eventuali circostanze o eventi dai quali possa discendere, anche solo in potenza, una violazione dei dati personali (vale a dire qualsiasi violazione della sicurezza in grado di determinare, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati), al fine di consentire una immediata valutazione e, ove necessario, l’adozione di azioni volte a contrastare tale evento.

Si ricorda, infine, che l’interessato ha il diritto di proporre reclamo al Garante per la Protezione dei dati personali o ad altra Autorità di controllo ai sensi dell’art. 13, par. 2, lettera d) del GDPR.

11.   Modifiche alla presente Informativa

La presente Informativa può subire variazioni che saranno comunicate alla prima occasione utile. In ogni caso la versione aggiornata della presente informativa può essere reperita nella sezione privacy del sito internet della Banca raggiungibile al seguente indirizzo: https://www.bdmbanca.it o nell’apposita sezione dello store.