Informativa relativa all'app mobile

Ai sensi del Regolamento (UE) 2016/679 (di seguito, “GDPR”) e della normativa nazionale vigente in materia di protezione dei dati personali (di seguito, unitamente al GDPR, “Normativa Privacy”), Mediobanca – Banca di Credito Finanziario S.p.A. con sede in Milano, Piazzetta Enrico Cuccia 1 (di seguito, la “Banca” o il “Titolare”), in qualità di titolare del trattamento, è tenuta a fornire l’informativa relativa all’utilizzo dei dati personali a coloro che installano sul proprio dispositivo l’applicazione Online Banking.

I dati personali che verranno trattati dalla Banca sono raccolti direttamente presso l’utente all’atto dell’installazione e del successivo utilizzo dell’applicazione.

a) Finalità del trattamento e obbligatorietà del conferimento dei dati

Tutti i dati personali verranno trattati, nel rispetto delle previsioni di legge e degli obblighi di riservatezza, per finalità strettamente connesse e strumentali alle seguenti finalità: 
(i)    installazione e corretto funzionamento dell’applicazione Online Banking ed esecuzione dei servizi richiesti dal cliente (es. esecuzione di operazioni sulla base degli obblighi derivanti dal contratto concluso, ecc.). Il conferimento dei dati necessari a tali fini è obbligatorio; in mancanza di essi, la Banca potrebbe essere nell’impossibilità di procedere all’attivazione dell’applicazione e di erogare il servizio richiesto; 
(ii)    adempimento degli obblighi previsti dalla legge, da regolamenti, dalla normativa comunitaria, nonché da disposizioni impartite dalle competenti Autorità od Organi di Vigilanza e controllo, ivi inclusi quelli in materia  di prevenzione delle frodi. Il conferimento dei dati personali per tali finalità è obbligatorio. Il mancato conferimento dei dati impedirà alla Banca di eseguire l’attività da Lei richiesta;
(iii)    finalità connesse all’ambito di eventuali vicende societarie (cessione della Banca o di rami d’azienda), due diligence oppure in caso di difesa di un diritto in giudizio e in relazione alle relative attività prodromiche (i.e. diffide e attività funzionali al recupero forzoso del credito ecc.). Ricorrendone i presupposti, l'interessato può comunque esercitare il diritto di opposizione come indicato sotto. 

b) Base giuridica
La base giuridica del trattamento di cui al precedente punto (i) è individuata nella necessità di eseguire il contratto stipulato con la Banca.

La base giuridica del trattamento di cui al precedente punto (ii) è individuata nell’adempimento degli obblighi legali ai quali è sottoposta la Banca. 

La base giuridica del trattamento di cui al precedente punto (iii) è individuata nel legittimo interesse della Banca per la tutela dei propri diritti.

c) Modalità del trattamento
Il trattamento dei dati personali avverrà nel rispetto delle disposizioni previste dalla Normativa Privacy, mediante strumenti cartacei, informatici o telematici, con logiche strettamente correlate alle finalità indicate e, comunque, con modalità idonee a garantirne la sicurezza e la riservatezza in conformità alla Normativa Privacy.

d) Categorie di dati oggetto del trattamento
In relazione alle finalità sopra descritte, la Banca tratterà i dati anagrafici (quali, ad esempio, nome, cognome, indirizzo, numero di telefono, email, data di nascita, carta di identità, tessera sanitaria, codice fiscale, stato civile, nazionalità, codice cliente), i dati relativi a richieste/rapporti di credito e i dati di tipo contabile. 

I dati personali che verranno trattati possono altresì comprendere i dati relativi al dispositivo utilizzato, nonché quelli di navigazione, come di seguito specificato.
 
Dati relativi al dispositivo utilizzato
Ai soli fini della prevenzione delle frodi, la Banca tratterà i dati relativi al dispositivo utilizzato, tra cui IMEI, SIM ID, nome del dispositivo, indirizzi IP e sistema operativo. 
 
Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento dell’applicazione mobile acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. 
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. 
In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente. 
Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici illeciti informatici: salva questa eventualità, allo stato i dati sui contatti web non persistono per più di sette giorni.  

e) Comunicazione e diffusione dei dati
Per il perseguimento delle finalità descritte al precedente punto a), i dati personali saranno conosciuti dai dipendenti della Banca che opereranno in qualità di soggetti autorizzati al trattamento dei dati personali. 
Inoltre, i dati potranno essere comunicati a: 
(i)    altre società appartenenti al Gruppo; 
(ii)    soggetti che forniscono servizi di supporto per l'esecuzione delle disposizioni impartite e per la gestione di servizi di pagamento, di carte di debito e credito, di esattorie e tesorerie; 
(iii)    soggetti che svolgono attività di emissione, offerta, collocamento, negoziazione, custodia di prodotti e/o servizi bancari, finanziari e assicurativi; 
(iv)    soggetti che supportano le attività di istruttoria, valutazione, erogazione, incasso ed assicurazione del credito; 
(v)    soggetti che curano l'imbustamento, la spedizione e l'archiviazione della documentazione relativa ai rapporti con la clientela; 
(vi)    ulteriori soggetti di cui la Banca a vario titolo si avvale per la fornitura del prodotto o del servizio richiesto; 
(vii)    soggetti che forniscono servizi per la gestione del sistema informatico della Banca; 
(viii)    soggetti che forniscono prestazioni professionali di consulenza e assistenza fiscale, legale e giudiziale; 
(ix)    soggetti che curano la revisione contabile e la certificazione del bilancio; 
(x)    autorità e organi di vigilanza e controllo e in generale soggetti, pubblici o privati, con funzioni di tipo pubblicistico, in caso di richiesta da parte di queste o in caso di obbligo di legge; 
(xi)    soggetti terzi che operano in qualità di prestatori di servizi di disposizione di ordini di pagamento o servizi di informazioni sui conti; 
(xii)    soggetti che rilevano rischi finanziari a scopo di prevenzione del rischio di insolvenza quali, ad esempio, Banca d'Italia; 
(xiii)    soggetti che gestiscono sistemi nazionali ed internazionali per il controllo delle frodi ai danni delle banche e degli intermediari finanziari; 
(xiv)    archivio istituito presso il Ministero dell'Economia e delle Finanze (di seguito MEF), ai sensi degli artt. 30-ter, commi 7 e 7-bis, e 30-quinquies, del D.lgs. 13 agosto 2010 n. 141, esclusivamente per le finalità di prevenzione del furto di identità. Gli esiti della procedura di riscontro sull'autenticità dei dati non saranno diffusi, ma potranno essere comunicati alle Autorità e agli Organi di Vigilanza e di Controllo; 
(xv)    soggetti aderenti al Consorzio Corporate Banking Interbancario (CBI) e/o soggetti che forniscono i servizi ad esso connessi; 
(xvi)    per dar corso ad operazioni finanziarie internazionali e ad alcune specifiche operazioni in ambito nazionale richieste dalla clientela è necessario utilizzare il servizio di messaggistica internazionale gestito da SWIFT (Society for Worldwide lnterbank Financial Telecommunication), che conserva temporaneamente in copia tutti i dati necessari per l'esecuzione delle transazioni (ad esempio, nome dell'ordinante, del beneficiario, coordinate bancarie, somma ecc.). Tali dati personali sono conservati in un server della società localizzato negli Stati Uniti. A tale sito possono accedere le autorità statunitensi competenti (in particolare, il Dipartimento del Tesoro) per finalità di contrasto del terrorismo (si veda http//www.swift.com per l'informativa sulla protezione dei dati); 
(xvii)    altri intermediari finanziari appartenenti al Gruppo nel caso in cui operazioni da Lei poste in essere siano ritenute “sospette” ai sensi della normativa Antiriciclaggio. 
L'elenco completo e aggiornato dei responsabili del trattamento della Banca è disponibile sul sito www.mediobanca.com nella sezione “Privacy”. 
I dati personali saranno trasferiti al di fuori dello Spazio Economico Europeo esclusivamente in presenza di una decisione di adeguatezza della Commissione europea o di altre garanzie adeguate previste dalla Normativa Privacy (fra cui le clausole tipo di protezione dei dati). 
I dati personali trattati dalla Banca non sono oggetto di diffusione. 

f) Data retention

Nel rispetto dei principi di proporzionalità e necessità, i dati personali saranno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali gli stessi sono trattati, in coerenza con i principi di sana e prudente e gestione, ossia tenendo in considerazione:

• la necessità di continuare a conservare i dati personali raccolti per offrire i servizi concordati con l’utente o per tutelare l’interesse legittimo del Titolare, così come descritto nelle finalità sopraindicate, in ottemperanza alle valutazioni svolte da parte di Mediobanca.
• l’esistenza di specifici rischi di natura creditizia, legale e reputazionale, nonché obblighi normativi (normativa codicistica, normativa in materia di antiriciclaggio, normativa in materia di servizi di investimento, normativa sul monitoraggio fiscale, norme tecniche di regolamentazione della European Banking Authority ecc.) o contrattuali che rendono necessario il trattamento e la conservazione dei dati per determinati periodi di tempo. 

In ogni caso, per tutte le finalità di trattamento indicate saranno rispettati i termini di conservazione previsti dalla normativa, salvo il caso in cui siano intervenute cause di interruzione (es. causa, reclamo in corso) e salvo che la legge pro-tempore vigente non fissi termini diversi.

g) Diritti dell’interessato

I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la conferma dell'esistenza o meno dei medesimi dati e di conoscerne il contenuto e l'origine, verificarne l'esattezza o chiederne l'integrazione o l'aggiornamento, oppure la rettifica (artt. 15 e 16 del GDPR).

Inoltre, gli interessati hanno il diritto di chiedere la cancellazione, la limitazione al trattamento, la revoca del consenso (ove raccolto), la portabilità dei dati nonché di proporre reclamo all’autorità di controllo e di opporsi in ogni caso, per motivi legittimi, al loro trattamento (art. 17 e ss. del GDPR).

Tali diritti sono esercitabili mediante comunicazione scritta da inviarsi a: privacy@mediobanca.com 

Il Titolare, anche tramite le strutture designate, provvederà a prendere in carico la richiesta e a fornire, senza ingiustificato ritardo, le informazioni relative all’azione intrapresa riguardo alla stessa.

h) Titolare del trattamento e Data Protection Officer
Il Titolare del trattamento dei dati è Mediobanca – Banca di Credito Finanziario S.p.A. con sede in Milano, Piazzetta Enrico Cuccia 1.
Mediobanca ha designato un Responsabile della protezione dei dati personali (c.d. Data Protection Officer).
Il Data Protection Officer può essere contattato ai seguenti indirizzi:  
• DPO.mediobanca@mediobanca.com
• dpomediobanca@pec.mediobanca.com

MEDIOBANCA – BANCA DI CREDITO FINANZIARIO S.p.A.