Informativa Clienti
Parte A - Informativa sul trattamento dei dati personali ai sensi degli Artt.li 13 e 14 del Regolamento UE n. 2016/679 (di seguito anche “GDPR”)
La presente informativa è resa ai sensi degli articoli 13 e 14 del GDPR a coloro che interagiscono con i servizi – anche web - delle banche del Gruppo Bancario FinecoBank, accessibili anche per via telematica dall'indirizzo web:

• https://finecobank.com

L’Informativa tiene conto anche della Raccomandazione n. 2/2001 che le autorità europee per la protezione dei dati personali hanno adottato per individuare i requisiti minimi per la raccolta di dati personali on line. L'informativa è resa solo per il sito di cui su e non anche per altri eventuali siti web consultati dall'interessato tramite link.
Si segnala, inoltre, che, tutte le informazioni e i dati forniti a FinecoBank S.p.A. dagli interessati nel contesto dell'utilizzo dei servizi di FinecoBank S.p.A. (di seguito anche "Servizi") come meglio definiti in seguito, saranno trattati dal Titolare in modo lecito, equo e trasparente.
1. Titolare del trattamento e Responsabile della protezione dei dati personali
Il Titolare del Trattamento è FinecoBank S.p.A. - Capogruppo del Gruppo Bancario FinecoBank (di seguito anche il “Gruppo”) - Sede legale presso Piazza Durante n. 11, 20131 Milano (di seguito la “Banca” o “Fineco”).
Il Responsabile della protezione dei dati, nominato dal Titolare così come previsto dall’articolo 37 del GDPR, può essere contattato presso Fineco, scrivendo a:

• Data Protection Office, Piazza Durante n. 11, 20131 Milano, o tramite e-mail ai seguenti indirizzi:
  • compliance@finecobank.com
  • PEC: finecobankspa.pec@actaliscertymail.it

Il Data Protection Officer (di seguito anche “DPO” ) è il soggetto individuato all’interno della Banca, il cui ruolo consiste nel vigilare sull’osservanza del GDPR stesso, valutando i rischi, per gli interessati (tra i quali a titolo esemplificativo clienti, prospect, lead, dipendenti, fornitori ecc.), di ogni trattamento di dati personali effettuati dal Titolare.
2. Finalità e base giuridica del trattamento
Fineco tratta i dati personali di persone fisiche, persone giuridiche, ditte individuali e/o liberi professionisti (“Interessati”) per le seguenti finalità:

• necessità di eseguire un contratto di cui l’Interessato sia parte o di eseguire attività precontrattuali su sua richiesta. Tale necessità di dare esecuzione al contratto o all’obbligazione precontrattuale rappresenta la base giuridica che legittima i conseguenti trattamenti. Il conferimento dei dati necessari a tali fini rappresenta, a seconda dei casi, un obbligo contrattuale o un requisito necessario alla conclusione del contratto; in mancanza di essi, la Banca sarebbe nell’impossibilità di instaurare il rapporto contrattuale o precontrattuale o di dare esecuzione allo stesso;
• necessità di adempiere ad obblighi legali (es. obblighi previsti dalla normativa antiriciclaggio, disposizioni impartite da Autorità di Vigilanza, dalla Magistratura, ecc.). Tale necessità di dare seguito ad un obbligo legale rappresenta la base giuridica che legittima i conseguenti trattamenti. Il conferimento dei dati necessari a tali fini rappresenta un obbligo legale al verificarsi del quale la Banca è normativamente tenuta ad effettuare i conseguenti trattamenti;
• promozione e vendita di prodotti e servizi della Banca o di prodotti e servizi di altre società del Gruppo Fineco o di società terze (Società Prodotto quali a titolo esemplificativo SICAV, SGR, Fondi ecc.) direttamente collocati dalla Banca, compreso il compimento di ricerche di mercato e partecipazioni a concorsi e/o operazione a premi (c.d. marketing diretto). La base giuridica che legittima i conseguenti trattamenti è il consenso dell’Interessato, che è libero di dare o meno e che può, comunque, revocare in qualsiasi momento. Il conferimento dei dati necessari a tali fini non è obbligatorio ed il rifiuto di fornirli non determina alcuna conseguenza negativa, salvo l’impossibilità di ricevere comunicazioni commerciali, partecipare a ricerche di mercato e a concorsi e/o operazione a premi. In particolare, per gli ex clienti e Prospect che avevano rilasciato il consenso marketing, la gestione dei loro dati personali per attività commerciali continuerà fino a 24 mesi dopo la chiusura del rapporto contrattuale o dal rilascio del consenso con la o alla Banca, salvo che l’ex cliente o Prospect eserciti il suo diritto di revoca immediato al trattamento per la finalità in commento (revoca che in ogni caso sarà dalla Banca stessa recepita entro un massimo di 72 ore dall’esercizio dell’opt-out);
• Soft Spam: il trattamento per tale finalità è basato sull’interesse legittimo di Fineco ad inviare ai propri clienti comunicazioni di marketing via e-mail riguardanti Servizi/Prodotti simili a quelli di cui, gli stessi, hanno già usufruito (ad esempio se il cliente ha sottoscritto una carta di credito potrà ricevere una proposta commerciale su carte di credito similari a quella sottoscritta ecc.) entro i 24 mesi successivi la sottoscrizione del Servizio/Prodotto. Il cliente può interrompere la ricezione di queste comunicazioni via e-mail inizialmente o in occasione di successive comunicazioni ricorrendo alla funzione di opt-out in calce all’email o scrivendo direttamente a Fineco opponendosi a detto trattamento sui suoi dati personali (il recepimento dell’opt-out avverrà da parte della Banca stessa entro un massimo di 72 ore dal suo esercizio).
• creare un profilo del cliente che permetta di conoscerlo e capirne le sue esigenze, abitudini e consumi. Tale profilo è individuato attraverso l’elaborazione e l’analisi, anche mediante l’impiego di tecniche o sistemi automatizzati, di informazioni relative a preferenze, abitudini, scelte di consumo, finalizzate a suddividere gli interessati in gruppi omogenei per comportamenti o caratteristiche specifiche (c.d. profilazione della clientela) attuate anche attraverso l’arricchimento dei dati con informazioni acquisite da soggetti terzi (c.d. arricchimento) dotati di adeguate basi giuridiche per tali trattamenti di dati personali. Tali profili vengono creati osservando l’interessato e l’uso da parte sua dei Servizi (es. se acquista online, se preferisce usare l’Applicazione mobile o andare in filiale, se ha interesse a richiedere un finanziamento o un mutuo per l’acquisto della prima casa, l’auto ecc.). Questa finalità è connessa sia a quella di marketing per fornirgli comunicazioni commerciali - laddove avesse rilasciato l’apposito consenso al trattamento dei dati personali per finalità di marketing diretto - su prodotti ritenuti di suo possibile interesse sulla base dell’analisi del suo profilo, sia a quella di fornirgli dei Servizi in linea con le sue aspettative emerse dall’analisi del suo profilo. La base giuridica che legittima i conseguenti trattamenti è il consenso dell’Interessato che è libero di dare o meno e che può, comunque, revocare in qualsiasi momento. Il conferimento dei dati necessari a tali fini non è obbligatorio e il rifiuto di fornirli non determina alcuna conseguenza negativa, salvo l’impossibilità di ricevere comunicazioni commerciali – in caso del rilascio del consenso al marketing diretto – o servizi dedicate sulla base del profilo di esigenze emerse dall’analisi dell’interessato o di consentire al Titolare di creare un suo profilo sulla base dell’elaborazione dei suoi dati.
• Trattamento biometrico per i clienti che aprono il conto selezionando l’opzione Videoselfie. Tale trattamento è rivolto ai soli Clienti che hanno selezionato come modalità di identificazione a distanza, in fase di apertura del conto corrente online, la tecnologia del Videoselfie. In particolare, il trattamento in prima fase, prevede che tramite una tecnologia di capturing verranno estrapolati la foto presente sul documento identificativo caricato dall’interessato in fase di apertura del conto online e gli elementi identificativi di comparazione nel Videoselfie registrato dall’interessato (i c.d. frame). Successivamente, tali elementi saranno valutati attraverso un algoritmo di comparazione biometrica del dato, al fine di determinarne e attestarne la corrispondenza e procedere con l’identificazione a distanza del Cliente necessaria ai fini dell’apertura del rapporto bancario. Eseguita la comparazione, si procederà ad eliminare il dato biometrico. I tipi di Dati Personali che possono essere elaborati da Fineco attraverso tale soluzione sono:

Il trattamento per queste finalità si basa sulla necessità di poter fornire al Cliente il Servizio d’identificazione a distanza richiesto con tale modalità. Tali trattamenti si svolgono sulla base del consenso rilasciato dal Cliente stesso. Fornire a Fineco tali Dati Personali e il consenso per queste finalità non è obbligatorio, ma, in caso contrario non sarà possibile per la Banca fornire alcun Servizio o Riscontro alla richiesta dell’interessato tramite tale tecnologia.

• Il trattamento dei suoi Dati Personali può essere anche necessario per perseguire un legittimo interesse della Banca, ossia:
  • per svolgere attività di prevenzione alle frodi;
  • per acquisire immagini e video relativi al sistema di videosorveglianza per finalità di sicurezza qualora l’Interessato transitasse nel cono di visibilità di una telecamera del Gruppo istallata presso le proprie sedi e filiali;
  • per perseguire eventuali ed ulteriori legittimi interessi della Banca (ad esempio a titolo esemplificativo e non esaustivo per difendere un diritto del Titolare in giudizio). In quest’ultimo caso Fineco potrà trattare i Dati Personali solo dopo avere informato l’Interessato ed aver appurato che tale perseguimento del proprio interesse legittimo o di un terzo non comprometta i suoi diritti e libertà fondamentali.

Per tali finalità non è richiesto il consenso. La base giuridica che legittima i conseguenti trattamenti è il legittimo interesse del Titolare.

• Il trattamento dei Dati Personali del Cliente può essere anche necessario per dare attuazione alla normativa europea in materia di vigilanza prudenziale che prescrive alle banche di valutare al proprio interno il rischio creditizio e di mantenere costantemente aggiornata tale valutazione per garantire la propria stabilità e adeguatezza patrimoniale anche a livello di Gruppo Bancario . Per misurare al proprio interno il rischio creditizio, Fineco si è dotata di un modello di valutazione che si basa anche sull’analisi statistica della performance delle informazioni di rapporto rinvenienti dalla clientela in un arco temporale di 12 mesi. I Dati Personali utilizzati nell’ambito della profilazione funzionale all’attribuzione del Rating sono trattati specificamente per perseguire le seguenti finalità:
  • per valutare il merito creditizio in caso di presentazione di una richiesta di affidamento. Il trattamento dei Dati Personali dell’Interessato è necessario al fine di dare riscontro alla sua richiesta;
  • per pre-valutare l’eleggibilità del cliente alla valutazione cosiddetta “Instant Approval” – disponibile per alcuni prodotti finanziari della Banca - sulla base dei dati personali e finanziari di cui la Banca dispone (con particolare riferimento ai clienti già affidati, quindi detentori di un prodotto di credito). I clienti pre-valutati come eleggibili a questa modalità potranno ricevere, in tempo reale subito dopo la firma del contratto, l’esito della valutazione della Banca rispetto alla loro richiesta. Il trattamento dei Dati Personali per tale finalità è necessario al fine di dare riscontro alla richiesta del Cliente e sulla base giuridica del legittimo interesse del Titolare e/o del suo consenso alla profilazione in fase di richiesta del prodotto creditizio, nonché sulla base giuridica contrattuale a seguito della richiesta di finanziamento;
  • per consentire alla Banca l’aggiornamento periodico del Rating e il costante monitoraggio del rischio creditizio, anche a livello di Gruppo, sulla clientela affidata e su quella titolare di un rapporto di conto corrente (in quest’ultimo caso, la Banca monitora il potenziale rischio di credito derivante da possibili sconfinamenti di conto). Il trattamento dei Dati Personali è obbligatorio in quanto prescritto dalla sopra citata normativa e non è richiesto il suo consenso;
  • per quanto attiene al trattamento di dati rivenienti da sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (c.d. SIC), perseguire il legittimo interesse della Banca insito nella corretta misurazione del rischio creditizio e nella corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato. Il trattamento dei Dati Personali in tale caso generato da una richiesta di credito è effettuato dalla Banca sulla base del legittimo interesse secondo quanto prescritto dai Provvedimenti dell’Autorità Garante della protezione dei dati personali e non compromette i suoi diritti e libertà fondamentali e non richiede il suo consenso.

Qualora, infine, la citata profilazione funzionale all’attribuzione del Rating si inserisca nell’ambito di un processo decisionale automatizzato, sarà fornita una specifica informativa e la Banca, ove necessario, richiederà consenso esplicito in adempimento di quanto previsto dall’art. 22 del Regolamento 679/2016.

• Il trattamento dei Dati Personali dell’Interessato può essere anche necessario per dare attuazione alla normativa europea sulla seconda direttiva sui servizi di pagamento (direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 dicembre 2015, di seguito "PSD2") in materia di trattamento di dati personali da parte dell'ASPSP, che consiste nel concedere l'accesso ai dati personali richiesti dal PISP e dall'AISP affinché essi possano prestare i propri servizi di pagamento all'utente. Tale trattamento si basa su un obbligo giuridico. Per conseguire gli obiettivi della PSD2, gli ASPSP devono fornire i dati personali ai PISP e agli AISP, condizione necessaria affinché questi ultimi possano prestare i propri servizi, garantendo in tal modo l'applicazione dei diritti di cui all'articolo 66, paragrafo 1, e all'articolo 67, paragrafo 1, della PSD2. Resta sempre salva la possibilità dell’interessato a seguito del recesso dal contratto o della revoca dell’eventuale consenso prestato ai PISP e agli AISP di chiedere a Fineco di non rendere i propri dati personali visibili PISP e agli AISP salvo non vi siano specifici obblighi normativi che impongano detti trattamenti da parte di Fineco.
  
  1 Quanto riportato sulla base del Regolamento (UE) n. 575/2013 (“Capital Requirements Regulation” - CRR), dalla Direttiva 2013/36/UE del 26 giugno 2013 (“Capital Requirements Directive” - CRD IV), dagli orientamenti adottati dalla Commissione Europea, dall’Autorità Bancaria Europea, e dalle relative norme di attuazione emanate anche da Banca d’Italia sul tema.
• Per il trattamento dei Dati Personali appartenenti alle categorie particolari nel caso in cui l’Interessato abbia richiesto l’attivazione dei servizi di Vocal Password o di Firma grafometrica la base giuridica che legittima i conseguenti trattamenti è il consenso rilasciato nel contratto di sottoscrizione dei servizi da parte dell’Interessato, che è libero di dare o meno - detto consenso - e che può, comunque, revocare in qualsiasi momento. Il conferimento dei dati per tale finalità e il relativo consenso sono facoltativi, il mancato rilascio dei dati o del consenso da parte dell’Interessato non comporta pregiudizio alcuno salvo l'impossibilità di utilizzare i servizi di Vocal Password e/o di Firma grafometrica.
• Per il trattamento dei Dati Personali inerenti ai Dati di navigazione, questi sono trattati per le seguenti finalità:
  • per adempiere a prescrizioni dettate da normative nazionali e comunitarie nonché a disposizioni impartite da Organi di Vigilanza e Controllo, anche in relazione agli obblighi di monitoraggio di rischi operativi e creditizi a livello di Gruppo; il trattamento dei Dati Personali per adempiere a prescrizioni normative è obbligatorio e non richiede il suo consenso essendo la base giuridica normativa;
  • per perseguire un legittimo interesse del Titolare o di terzi, qualora tali interessi non siano in contrasto con gli interessi o diritti e libertà fondamentali degli interessati (articolo 6.1 lettera f del Regolamento UE n. 679/2016), ossia:
    • l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito e per accertamenti in caso di eventuali contenziosi;
    • ricavare informazioni statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento, oltre che per finalità di misurazione, di miglioramento dei servizi offerti e del Sito web;
    • per perseguire eventuali ed ulteriori legittimi interessi. In quest’ultimo caso il Titolare potrà trattare i suoi Dati Personali solo dopo averla informata ed aver appurato che il perseguimento dei propri interessi legittimi o di quelli di terzi non comprometta i suoi diritti e libertà fondamentali.

3. Categorie di dati trattati
Attraverso l’erogazione dei propri Servizi offerti, Fineco tratta i Dati Personali relativi all’Interessato inteso come individuo identificato o identificabile direttamente o indirettamente così come informazioni relative ad altre persone (c.d. taciti interessati), eventualmente fornite al Titolare durante la fornitura dei Servizi (ad esempio i destinatari di bonifici. Sul punto ricordiamo che, come sottolineato dall’EDPB, i dati personali trattati in relazione a un servizio di pagamento disciplinato ad esempio dalla PSD2 potrebbero essere ulteriormente trattati in funzione di obblighi giuridici gravanti sul prestatore di servizi. Tali obblighi giuridici potrebbero riguardare i dati personali dei “taciti interessati”.
Per quanto riguarda l'ulteriore trattamento dei dati dei taciti interessati sulla base di un legittimo interesse, Fineco in linea con quanto stabilito dall'EDPB non utilizza tali dati personali per una finalità diversa da quella per la quale i dati personali sono stati raccolti, a meno che ciò non sia previsto dal diritto dell'UE o degli Stati membri. Le informazioni che rendono identificato o identificabile l’Interessato - cliente o un terzo - sono classificate come "Dati Personali".
Fineco tratta Dati Personali raccolti direttamente presso l’Interessato, che includono, a titolo esemplificativo, dati anagrafici (es. nome, cognome, indirizzo, data e luogo di nascita), informazioni sulla situazione finanziaria (es. situazione patrimoniale, informazioni creditizie che attengono a richieste/rapporti di credito), dati relativi all’immagine (es. foto su carta d'identità) e registrazioni vocali (es. registrazioni di ordini telefonici, registrazione di conversazioni telefoniche intercorse con l’Interessato, anche a tutela di diritti in caso di controversie o per finalità di controllo qualità del servizio) e altri dati riconducibili alle categorie sopra indicate.
Fineco tratta Dati Personali raccolti anche indirettamente dall’Interessato presso terzi, quando questi provengono da banche dati di soggetti terzi autorizzati, meglio specificati in seguito, che hanno la funzione di fornire informazioni creditizie funzionali all’erogazione di precisi Servizi (es. concessione del credito al consumo).
La Banca non richiede e non tratta di sua iniziativa dati particolari della propria clientela (es. dati che rivelino l’origine razziale o etnica, le opinioni politiche, e le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici - intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona). Tuttavia, è possibile che essa, per dare esecuzione a specifiche richieste di servizi e operazioni inerenti al rapporto con il cliente (es. il pagamento di quote associative a partiti o sindacati, bonifici ad associazioni ecc.) debba trattare tali dati. Poiché la Banca non può intercettare o rifiutare queste richieste, la proposta di contratto non potrà essere accettata qualora l'Interessato non abbia dichiarato il proprio consenso scritto al suddetto trattamento. I dati in questione verranno trattati esclusivamente per dare esecuzione alla richiesta dell’Interessato.
La Banca nel caso in cui l’Interessato abbia richiesto l’attivazione del servizio di Vocal Password - che è il sistema di riconoscimento biometrico dell’identità dell’utente tramite elaborazione d' impronte vocali "Vocal Password" che ha la finalità di incrementare la sicurezza dell’accesso al servizio di assistenza telefonica mediante Call Center, aumentandone allo stesso tempo la semplicità di utilizzo, tratta i dati biometrici rappresentati da una serie di informazioni relative alle caratteristiche della voce dell’Interessato ("dati biometrici") – o il servizio di Firma grafometrica – che è una modalità disponibile esclusivamente presso i consulenti finanziari abilitati all'offerta fuori sede, dove l’Interessato appone alcune firme su apposito tablet in grado di acquisire, oltre all’immagine della sottoscrizione, anche una serie di informazioni relative alle caratteristiche comportamentali a contenuto biometrico (quali, la posizione, il tempo, la pressione, la velocità e l'accelerazione, di seguito, complessivamente, i "dati grafometrici”) del segno grafico - tratta i dati biometrici sulla base del consenso dell’Interessato.
La Banca tratta anche i dati di navigazione degli Interessati che utilizzano i servizi online di Fineco. I sistemi informatici e le procedure software preposte al funzionamento dei siti web di Fineco acquisiscono, nel corso del loro normale esercizio e per la sola durata della connessione, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet (c.d. dati di navigazione). In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente.
La Banca tratta anche i Dati forniti volontariamente dall'utente. L'invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell'indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva.
Si segnala, inoltre, che i sistemi informatici e le procedure software preposte al funzionamento delle app (App Store o Google Play) acquisiscono, nel corso del loro normale esercizio, alcuni dati comunque riferibili all’Interessato utilizzatore la cui trasmissione è implicita nell'uso dei protocolli di comunicazione internet, degli smartphone e dei dispositivi utilizzati. La Banca non è coinvolta in tali trattamenti né può esserne considerata responsabile.
L'Interessato potrà, comunque, consultare le informazioni sulla privacy rese disponibili sui seguenti siti:

• App Store: https://www.apple.com/legal/internet-services/itunes/it/terms.html;
• Google Play: https://play.google.com/intl/it_it/about/play-terms.html;

4. Destinatari o categorie di destinatari dei dati
Possono venire a conoscenza dei dati dell’Interessato le persone fisiche - lavoratori dipendenti della Banca o presso di essa distaccati, lavoratori interinali, consulenti finanziari abilitati all’offerta fuori sede, stagisti e consulenti - autorizzate al trattamento dei dati personali necessari allo svolgimento delle mansioni assegnategli, previa sottoscrizione di un accordo di riservatezza, e alle persone giuridiche nominate Responsabili del trattamento che eseguono per conto del Titolare, per finalità di quest’ultimo, trattamenti su dati personali degli Interessati.
La Banca – senza che sia necessario il consenso dell'Interessato – può comunicare i dati personali in suo possesso:

• a quei soggetti enti o autorità cui tale comunicazione debba essere effettuata in adempimento a un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
• agli intermediari a cui possono essere comunicati, i dati in base a quanto disposto dalla normativa antiriciclaggio (cfr. Art. 39, comma 3 e comma 5, del D. Lgs. n. 231/2017) tempo e per tempo vigenti, che prevede la possibilità di procedere alla comunicazione dei dati personali relativi alle segnalazioni considerate sospette, delle ulteriori informazioni richieste dalla UIF o dell'esistenza ovvero della probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo sia tra gli intermediari facenti parte del medesimo Gruppo sia tra due o più intermediari non facenti parte dello stesso gruppo ma coinvolti nei casi relativi allo stesso cliente o alla stessa operazione;
• alle società appartenenti al Gruppo Fineco, ovvero controllate o collegate ai sensi dell'art. 2359 C.C. (situate anche all'estero), quando tale comunicazione sia consentita in conseguenza di un provvedimento del Garante della Privacy o di una previsione di legge (ad esempio per finalità amministrative e contabili);
• alle società qualificate come PISP e AISP sulla base di quanto previsto dalla normativa europea sulla seconda direttiva sui servizi di pagamento (direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 dicembre 2015, di seguito "PSD2") in materia di trattamento di dati personali da parte dell'ASPSP al fine di concedere l'accesso ai dati personali richiesti dai PISP e AISP affinché essi possano prestare i propri servizi di pagamento all'Interessato sulla base del contratto con questi sottoscritto e dell’obbligo normativo in capo all’ASPSP;
• negli altri casi previsti dalla normativa vigente sulla protezione dei dati personali tra i quali, in particolare, società per conto delle quali la Banca svolge attività di intermediazione per la vendita di loro prodotti / servizi.

L' elenco dettagliato dei soggetti ai quali i dati possono essere comunicati può essere consultato nella sezione "Privacy" del sito www.finecobank.com
5. Modalità trattamento
I dati personali sono trattati con strumenti automatizzati, telematici e manuali per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti. Sono osservate specifiche misure di sicurezza atte a prevenire la perdita dei dati, usi illeciti o non corretti nonché accessi non autorizzati e la riservatezza dei dati stessi.
I Dati Personali sono trattati nel pieno rispetto del principio di proporzionalità del trattamento, in base al quale i medesimi dati e le varie modalità del loro trattamento sono pertinenti e non eccedenti rispetto alle finalità perseguite.
Per quanto concerne la profilazione effettuata per la valutazione del rischio creditizio di cui alla Sezione 2, la Banca si avvale di un modello che elabora ed integra le informazioni provenienti dalle diverse fonti mediante l’utilizzo di tecniche statistiche e delle migliori prassi della tecnica creditizia. In tale processo la Banca, si avvale di algoritmi di tipo statistico, che permettono una valutazione altamente predittiva del rischio creditizio. In questo senso i Dati Personali trattati sono quelli strettamente necessari a garantire l’accuratezza della valutazione creditizia effettuata dalla Banca, l’efficacia degli algoritmi utilizzati e la loro affidabilità nel tempo.
Per garantire l’equità e la correttezza del processo utilizzato, la Banca, inoltre, sottopone i metodi di calcolo di cui si avvale a verifiche regolari, sia interne sia esterne, affinché gli stessi rimangano nel tempo corretti, efficaci e non siano discriminatori.
6. Diritti degli Interessati
La normativa vigente sulla protezione dei dati attribuisce specifici diritti all’Interessato, il quale, per l’esercizio degli stessi può rivolgersi direttamente e in qualsiasi momento al Titolare del trattamento.
I diritti esercitabili dall’Interessato, di seguito descritti, sono:

• Diritto di accesso;
• Diritto di Rettifica;
• Diritto di cancellazione;
• Diritto di limitazione;
• Diritto alla portabilità;
• Diritto di opposizione.

Gli Interessati e le persone giuridiche ad esse equiparate possono in qualsiasi momento modificare i consensi facoltativi tramite le modalità indicate nell’articolo 6.2 della presente informativa o tramite l’area riservata del sito Fineco nella sezione “Gestione Conto > Gestione Consensi”.
Diritto di accesso
Il diritto di accesso prevede la possibilità per l'Interessato di conoscere quali dati personali a sé riferiti sono trattati dalla Banca, secondo quanto previsto dall’articolo 15 del GDPR, e di riceverne una copia gratuita (in caso di ulteriori copie richieste può essere addebitato un contributo basato sui costi sostenuti). Tra le informazioni fornite sono indicati le finalità del trattamento, le categorie dei dati trattati, il periodo di conservazione previsto o, se non possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi e i diritti esercitabili dall’Interessato.
Diritto di rettifica
Il diritto di rettifica permette all’Interessato di ottenere l'aggiornamento o la rettifica dei dati inesatti o incompleti che lo riguardano secondo le modalità di cui all’articolo 16 del GDPR.
Diritto di cancellazione (c.d. "oblio")
Il diritto di cancellazione, o all’oblio, permette all’Interessato di ottenere la cancellazione dei propri dati personali, se sussiste uno dei motivi previsti dall’art. 17 del GDPR e in particolare nei seguenti casi:

• i dati personali non sono più necessari per le finalità per le quali sono stati raccolti e trattati;
• l'Interessato revoca il consenso su cui si basa il trattamento, se non sussiste un’altra base giuridica che possa altrimenti legittimarlo;
• l'Interessato si oppone al trattamento e non sussiste alcun ulteriore motivo legittimo per procedere al trattamento effettuato dal Titolare per:
  • il perseguimento di un legittimo interesse proprio o di terzi e non sussiste alcun motivo legittimo prevalente del titolare per procedere al trattamento,
  • finalità di marketing diretto, compresa la profilazione ad esso connessa;
• i dati personali dell’Interessato sono stati trattati illecitamente.

Tale diritto può essere esercitato anche dopo la revoca del consenso. La Banca, tuttavia, non potrà procedere alla cancellazione dei Dati Personali dell’Interessato qualora il loro trattamento sia necessario, ad esempio, per l'adempimento di un obbligo di legge, per motivi di interesse pubblico, per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Diritto di limitazione
Il diritto di limitazione è esercitabile dall'Interessato qualora ricorra una delle ipotesi previste dall’art. 18 del GDPR e in particolare nel caso di:

• violazione dei presupposti di liceità del trattamento, come alternativa alla cancellazione dei dati;
• richiesta di rettifica dei dati (in attesa della rettifica) o di opposizione al loro trattamento (in attesa della decisione del Titolare).

Fatta salva la conservazione, è vietato ogni altro trattamento del dato di cui si chiede la limitazione, sempre se la Banca non ne abbia più bisogno ai fini del trattamento e non vi siano basi giuridiche e finalità che ne giustifichino la non limitazione da parte della Banca.
Diritto alla portabilità
Il diritto alla portabilità ai sensi dell’articolo 20 del GDPR consente all'Interessato di utilizzare i propri dati in possesso dalla Banca per altri scopi. Ciascun Interessato, infatti, può chiedere di ricevere i dati personali a lui riferibili o chiederne il trasferimento a un altro titolare, in un formato strutturato, di uso comune e leggibile (Diritto alla portabilità), se ciò sia tecnicamente fattibile per la Banca. In questo caso, sarà cura dell’Interessato fornire tutti gli estremi esatti del nuovo titolare del trattamento a cui intenda trasferire i suoi Dati Personali, fornendo apposita autorizzazione scritta.
In particolare, i dati che possono essere oggetto di portabilità sono i dati anagrafici (es. nome, cognome, indirizzo, data e luogo nascita, residenza), nonché un set di dati generati dall’attività transazionale che la Banca ha definito per ciascuna macrocategoria di prodotti/servizi. Tale diritto non si applica ai trattamenti non automatizzati (es. archivi o registri cartacei).
Diritto di opposizione
Il diritto di opposizione, ai sensi dell’articolo 21 del GDPR, consente all'Interessato di opporsi in qualsiasi momento, per motivi connessi esclusivamente alla sua situazione, al trattamento dei dati personali che lo riguardano. L’Interessato potrà opporsi in qualsiasi momento al trattamento dei suoi Dati Personali qualora il trattamento venga effettuato per l’esecuzione di un’attività di interesse pubblico o per il perseguimento di un interesse legittimo del Titolare (compresa l’attività di profilazione ivi incluso il soft-spam). Qualora, l’Interessato decidesse di esercitare il diritto di opposizione qui descritto, la Banca si asterrà dal trattare ulteriormente i suoi dati personali, a meno che non vi siano motivi legittimi per procedere al trattamento (motivi prevalenti sugli interessi, sui diritti e sulle libertà dell'interessato), oppure il trattamento sia necessario per l'accertamento, l'esercizio o la difesa in giudizio di un diritto.
Ulteriori Diritti dell’Interessato
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione ai sensi dell’articolo 22 del GDPR
La Banca, in presenza dei requisiti di merito creditizio e per determinate soglie di importo, effettua dei processi decisionali automatizzati, tra gli altri, per il rilascio di carte di credito, per le richieste di prestiti personali e di prestiti finalizzati, fornendo, in tali casi, maggiori dettagli nell’ambito di un’informativa specifica ed acquisendo, a tal fine, il consenso esplicito. Il Regolamento prevede in favore dell’interessato il diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato dei suoi Dati Personali, compresa la profilazione, che produca effetti giuridici che la riguardano o che incida in modo significativo sulla sua persona a meno che la suddetta decisione:
a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l’Interessato e la Banca;
b) sia autorizzata dal diritto italiano e/o europeo;
c) si basi sul consenso esplicito dell’Interessato.
Nei casi di cui alle lettere a) e c), la Banca attuerà misure appropriate per tutelare i suoi diritti, le sue libertà e i suoi legittimi interessi e l’Interessato potrà esercitare il diritto di ottenere l'intervento umano da parte della Banca e di esprimere la sua opinione o di contestare la decisione.
Diritto di proporre un reclamo all’Autorità Garante per la protezione dei dati personali
Fatto salvo il diritto dell’Interessato di ricorrere in ogni altra sede amministrativa o giurisdizionale, qualora ritenesse che il trattamento dei suoi Dati Personali da parte del Titolare avvenga in violazione del Regolamento e/o della normativa applicabile, quest’ultimo potrà proporre reclamo all’Autorità Garante per la Protezione dei dati personali competente.
6.1 Deroghe all'esercizio dei diritti
La normativa sulla protezione dei dati riconosce specifiche deroghe ai diritti riconosciuti all'Interessato.
La Banca deve tuttavia continuare a trattare i dati personali dell’Interessato al verificarsi di una o più delle seguenti condizioni applicabili:

• esecuzione a un obbligo di legge applicabile alla Banca;
• risoluzione di precontenziosi e/o contenziosi (propri o di terzi);
• indagini/ispezioni interne e/o esterne;
• richieste della pubblica autorità italiana e/o estera;
• motivi di interesse pubblico rilevante;
• esecuzione di un contratto in essere tra la Banca ed un terzo;
• ulteriori eventuali condizioni/status bloccanti di natura tecnica individuate dalla Banca.

6.2 Modalità di esercizio dei diritti
Ciascun Interessato per esercitare i propri diritti, potrà contattare la Banca ai seguenti recapiti:

• all'indirizzo di posta elettronica privacy@finecobank.com;
• via posta ordinaria all'indirizzo FinecoBank, Via Rivoluzione d’Ottobre 16, 42123 Reggio Emilia.

Il termine per la risposta è un (1) mese, prorogabile di due (2) mesi in casi di particolare complessità; in questi casi, la Banca fornisce almeno una comunicazione interlocutoria entro un (1) mese.
L’esercizio dei diritti è, in linea di principio, gratuito; la Banca, valutata la complessità dell’elaborazione della richiesta e, in caso di richieste manifestamente infondate o eccessive (anche ripetitive), si riserva il diritto di chiedere un contributo.
La Banca ha il diritto di chiedere ulteriori informazioni necessarie ai fini identificativi del richiedente.
7. Periodo di conservazione dei dati
Fineco tratta e conserva i dati personali dell’Interessato per tutta la durata del rapporto contrattuale, per l’esecuzione degli adempimenti allo stesso inerenti e conseguenti, per il rispetto degli obblighi di legge e regolamentari applicabili, nonché per finalità difensive proprie o di terzi, fino alla scadenza del periodo di conservazione dei dati. In particolare, il periodo di conservazione dei dati personali dell’Interessato decorre:

• per i prodotti / servizi inclusi nel multicontratto: dall’estinzione del conto corrente, indipendentemente dalla chiusura nel tempo degli altri prodotti / servizi connessi;
• per tutti gli altri prodotti / servizi regolati da contratti specifici (es. carta di credito, mutuo): dalla data di chiusura del rapporto contrattuale relativo al singolo prodotto/servizio.

Vige l'obbligo per Fineco di informare della richiesta di cancellazione altri titolari che trattano i dati personali di cui l’Interessato ha chiesto la cancellazione.
Al termine del periodo di conservazione applicabile, i dati personali riferibili agli Interessati verranno cancellati o conservati in una forma che non consenta l’identificazione dell’Interessato, a meno che il loro ulteriore trattamento sia necessario per uno o più dei seguenti scopi:

• risoluzione di precontenziosi e/o contenziosi avviati prima della scadenza del periodo di conservazione;
• per dare seguito ad indagini/ispezioni da parte di funzioni di controllo interno e/o autorità esterne avviati prima della scadenza del periodo di conservazione;
• per dare seguito a richieste della pubblica autorità italiana e/o estera pervenute/notificate alla Banca prima della scadenza del periodo di conservazione.

In ogni caso i Dati Personali dell’Interessato sono conservati, per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali essi sono trattati, fatti salvi i termini di conservazione previsti dalla legge tra cui a titolo esemplificativo quella prevista dall’art. 2946 cod. civ. I Dati Personali potranno, altresì, esser trattati per un termine superiore, ove intervenga un atto interruttivo e/o sospensivo della prescrizione che giustifichi il prolungamento della conservazione del dato.
Per le finalità di Marketing, Analisi delle Preferenze e i servizi di Vocal password o Firma grafometrica invece, i Dati Personali sono conservati fino alla revoca del consenso o una volta che ci si è opposti all’eventuale uso da parte di Fineco del legittimo interesse, laddove utilizzato come base giuridica, salvo non vi siano obblighi normativi che ne prevedano la conservazione per tempistiche ulteriori.
8. Trasferimento dei dati verso paesi terzi
I dati personali potranno essere traferiti anche in Paesi non appartenenti all'Unione Europea o allo Spazio Economico Europeo (cd. Paesi Terzi) riconosciuti dalla Commissione Europea aventi un livello adeguato di protezione dei dati personali o, in caso contrario, solo se sia garantito contrattualmente da tutti i fornitori di Fineco situati nel Paese Terzo un livello di protezione dei dati personali adeguato rispetto a quello dell’Unione Europea (es. tramite la sottoscrizione delle clausole contrattuali standard previste dalla Commissione Europea) e che sia sempre assicurato l’esercizio dei diritti degli Interessati.
Ad esempio, alcuni Dati Personali degli Interessati sono condivisi con destinatari che si trovare al di fuori dello Spazio Economico Europeo nel caso di bonifici verso l’estero, in valuta estera o con beneficiario non residente, in cui avviene un trasferimento verso gli Stati Uniti d’America come indicato da SWIFT nella propria informativa disponibile sul sito www.swift.com.
9. Informativa integrativa sul trattamento dei dati personali nell’ambito dell’attività di trasferimento dei fondi svolta da S.W.I.F.T. ex articoli 13 e 14 del GDPR.
Per dare corso a operazioni finanziarie internazionali (es. bonifici verso l'estero) e ad alcune specifiche operazioni in ambito nazionale (es. bonifici in divisa estera e/o con controparte non residente), richieste dall’Interessato, è necessario utilizzare un servizio di messaggistica internazionale gestito da S.W.I.F.T. (Society for Worldwide Interbank Financial Telecommunication), con sede legale in Belgio (www.swift.com).
La Banca comunica a S.W.I.F.T. (titolare del sistema S.W.I.F.T. Net Fin) i dati personali necessari all’esecuzione delle transazioni (es. i nomi dell'ordinante, del beneficiario e delle rispettive banche, le coordinate bancarie, l'importo e, se espressa, la motivazione del pagamento).
Il normale funzionamento del servizio include un continuo e massivo flusso di dati verso paesi terzi, data l'ubicazione dei centri operativi della SWIFT. I due centri operativi della SWIFT in Europa e negli USA svolgono le funzioni di memorizzazione e di trasmissione ("storeand-forward") secondo le seguenti modalità:

• i messaggi sono decriptati automaticamente presso i centri operativi, allo scopo di memorizzare e di trasmettere le informazioni in pochi millisecondi. Questo procedimento di memorizzazione e trasmissione è inteso a convalidare (controllare la correttezza o la presenza di lettere/numeri nei riquadri del messaggio da compilare obbligatoriamente) le informazioni (accertando tra l'altro che sia stato indicato correttamente il codice monetario, per esempio "EUR") in base a un contenuto standardizzato. Nel corso di tale procedimento, inoltre, le informazioni vengono conservate ("back-up") per 124 giorni, per motivi di sicurezza, presso entrambi i centri operativi, i quali sono quindi perfettamente speculari.
• Tutto ciò assicura che la memorizzazione dei dati personali avvenga in parallelo e che i dati siano identici. A seguito del TFTP ("Terrorist Finance Tracking Program"), SWIFT è soggetta a richieste giuridicamente vincolanti di fornire al U.S. Treasury Department (UST) i dati ubicati nel suo centro operativo statunitense, necessario ai fini della prevenzione, indagine, accertamento o perseguimento del terrorismo o del finanziamento del terrorismo sulla base giuridica di un obbligo normativo.

La Banca ricorda che l'Interessato conserva i suoi diritti di cui al paragrafo "Diritti degli interessati" della presente informativa. Per maggiori dettagli sulle modalità e informazioni sul trattamento dei dati personali non rinvenibili nella presente informativa integrativa si rinvia alla Parte A - Informativa sul trattamento dei dati personali ai sensi degli Artt.li 13 e 14 del Regolamento UE n. 2016/679 (di seguito anche “GDPR”) della presente.
10. Informativa integrativa sul trattamento dei dati personali di navigazione sul sito web, cookie e dati riferiti all’utilizzo del Call Center ai sensi degli articoli 13 e 14 del Regolamento EU 679/2016.
In questa sezione si descrivono le modalità di gestione del sito Web di FinecoBank S.p.A., in riferimento al trattamento dei dati personali degli utenti che lo consultano.
L'informativa è resa solo per i siti web di FinecoBank S.p.A. e non anche per altri siti web eventualmente consultati dall'utente tramite link.
L'informativa si ispira anche alla Raccomandazione n. 2/2001 che le Autorità Europee per la protezione dei dati personali, riunite nel Gruppo istituito dall'art. 29 della direttiva n. 95/46/CE, hanno adottato il 17 maggio 2001 per individuare alcuni requisiti minimi per la raccolta di dati personali on-line e, in particolare, le modalità, i tempi e la natura delle informazioni che i titolari del trattamento devono fornire agli utenti quando questi si collegano a pagine web, indipendentemente dagli scopi del collegamento.
Luogo di Trattamento dei dati
I trattamenti di dati connessi ai servizi web di questo sito hanno luogo presso la già menzionata Sede Legale e Direzione Generale e sono curati solo dal personale di FinecoBank S.p.A., persone autorizzate al trattamento dei dati personali oppure da persone autorizzate di FinecoBank S.p.A. Nessun dato personale derivante dal servizio web viene diffuso. I dati personali forniti dagli utenti sono utilizzati al solo fine di eseguire il servizio o la prestazione richiesta e sono comunicati a terzi nel solo caso in cui ciò sia a tal fine necessario.
Dati di navigazione
I sistemi informatici e le procedure software utilizzate per il funzionamento di questo sito web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso della rete Internet, che risulta basata sul protocollo TCP/IP.
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti navigatori.
In questa categoria di dati rientrano gli "indirizzi IP" o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server web, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server web (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo ed all'ambiente informatico dell'utente. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento del sito web di FinecoBank S.p.A.
Si evidenzia che i già menzionati dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di reati informatici ai danni del sito web di FinecoBank S.p.A., o ad altri siti ad esso connessi o collegati: salva questa eventualità, i dati di navigazione sono conservati per 24 mesi dal momento della raccolta.
Dati forniti volontariamente dall'utente
Alcuni particolari servizi richiesti dall’interessato (es. chat, moduli di contatto, ecc..) comportano la successiva acquisizione di alcuni dati personali del richiedente, compreso l'indirizzo e-mail, necessario per rispondere alle richieste.
Specifiche informative di sintesi verranno progressivamente riportate o visualizzate nelle pagine del sito predisposte per questi particolari servizi a richiesta.
Call center
I sistemi e le procedure preposti al funzionamento del Call Center della Banca acquisiscono alcuni dati riferiti alle chiamate dei clienti. In questa categoria rientrano il numero remoto del chiamante (laddove non occultato), i dati di navigazione nell'alberatura dell'IVR (cioè le azioni/digitazioni che il cliente compie per accedere ai vari servizi), durata della chiamata, nonché solo nei casi espressamente previsti e previo avviso all'interessato, registrazione audio della chiamata.
I dati sopra citati vengono trattati al fine di ricavare informazioni statistiche sull'utilizzo del Call Center, per controllarne il corretto funzionamento e garantirne la sicurezza, nonché per l'accertamento di responsabilità in caso di eventuali illeciti, ai danni della Banca o dei clienti della stessa.
Facoltatività del conferimento dei dati personali
A parte quanto specificato per i dati di navigazione, l'Interessato è libero di fornire i dati personali riportati negli appositi moduli elettronici di richiesta, nelle sezioni del sito web predisposte per particolari servizi a richiesta. Si evidenzia peraltro che il loro mancato conferimento non comporta alcuna preclusione per l’Interessato se non quella di ottenere quanto richiesto.
Modalità del trattamento e misure di sicurezza
I dati personali sono trattati con strumenti automatizzati e non, per il solo tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.
Per saperne di più è possibile consultare la sezione del sito dedicata alla sicurezza.
Cookie
L'identificazione delle abitudini e propensioni al consumo degli Interessato verranno analizzate anche mediante l'utilizzo di cookie, nel rispetto delle garanzie e delle misure necessarie prescritte dalla normativa vigente. L'informativa completa sui cookie è disponibile nell’area dedicata del sito www.finecobank.com.
Minori
FinecoBank S.p.A. non utilizza consapevolmente il proprio sito web per richiedere dati a minori di 18 anni.
Per maggiori dettagli sulle modalità e informazioni sul trattamento dei dati personali non rinvenibili nella presente informativa integrativa si rinvia alla Parte A - Informativa sul trattamento dei dati personali ai sensi degli Artt. li 13 e 14 del Regolamento UE n. 2016/679 (di seguito anche “GDPR”) della presente e all’informativa sui cookie rinvenibile nel sito web di Fineco.
11. Informativa integrativa sull'utilizzo dei dati personali per l’utilizzo del sistema di riconoscimento "Vocal Password" ai sensi degli articoli 13 e 14 del Regolamento EU 679/2016
Il sistema di riconoscimento biometrico dell’identità dell’utente tramite elaborazione di impronte vocali "Vocal Password" ha la finalità di incrementare la sicurezza dell’accesso al servizio di assistenza telefonica mediante Call Center, aumentandone allo stesso tempo la semplicità di utilizzo.
L'attivazione della Vocal Password come fattore di autenticazione sostitutivo della password telefonica presuppone che la Banca acquisisca una serie di informazioni relative alle caratteristiche della voce dell’Interessato ("dati biometrici").
Le impronte vocali create con le caratteristiche della voce dell’Interessato sono memorizzate in modo irreversibile e non sarà tecnicamente possibile ricavare dalle impronte vocali i file audio da cui sono state generate.
Il conferimento dei dati per tale finalità e il relativo consenso sono facoltativi, il mancato rilascio dei dati o del consenso da parte dell'Interessato non comporta pregiudizio alcuno salvo l’impossibilità di utilizzare tale sistema avanzato per l’accesso al servizio di assistenza sul canale telefonico (Call Center).
In caso di adesione al servizio, i Dati biometrici raccolti saranno conservati per il periodo di tempo strettamente necessario a perseguire gli scopi per i quali sono stati raccolti e trattati e per i tempi di conservazione previsti dagli obblighi normativi.
In caso di disattivazione di Vocal Password o di chiusura dei relativi rapporti, i Dati biometrici, acquisiti e cifrati secondo quanto previsto sopra, verranno tempestivamente cancellati dagli archivi di FinecoBank.
L'eventuale revoca del consenso al trattamento dei dati necessari per l’utilizzo di "Vocal Password" determinerà la disattivazione del servizio stesso.
Per maggiori dettagli sulle modalità e informazioni sul trattamento dei dati personali non rinvenibili nella presente informativa integrativa si rinvia alla Parte A - Informativa sul trattamento dei dati personali ai sensi degli Artt.li 13 e 14 del Regolamento UE n. 2016/679 (di seguito anche “GDPR”) della presente.
12. Informativa integrativa sul trattamento dei dati personali per l'utilizzo della Firma grafometrica ai sensi degli articoli 13 e 14 del Regolamento EU 679/2016
La soluzione di Firma grafometrica ha la finalità di consentire ai clienti della Banca di firmare contratti e disposizioni attraverso l'utilizzo di uno strumento evoluto di firma (Firma Elettronica Avanzata).
Qualora l'Interessato intenda avvalersi della Firma grafometrica, modalità disponibile esclusivamente presso i consulenti finanziari abilitati all'offerta fuori sede, dovrà apporre alcune firme su apposito tablet in grado di acquisire, oltre all’immagine della sottoscrizione, anche una serie di informazioni relative alle caratteristiche comportamentali a contenuto biometrico (quali, la posizione, il tempo, la pressione, la velocità e l'accelerazione, di seguito, complessivamente, i "dati grafometrici) del suo segno grafico. I dati grafometrici verranno trattati in modo da garantire la sicurezza e la privacy del firmatario. Il sistema adottato ha la finalità di fornire elementi di valutazione utili in sede giudiziaria nel caso di disconoscimento delle sottoscrizioni apposte su atti e documenti di tipo negoziale da parte del firmatario o nel caso di contenzioso contrattuale.
Il conferimento dei dati per tale finalità e il relativo consenso sono facoltativi, il mancato rilascio dei dati o del consenso da parte del firmatario non comporta pregiudizio alcuno salvo l'impossibilità di utilizzare la Firma grafometrica.
In caso di adesione al servizio, i Dati grafometrici raccolti saranno conservati per il periodo di tempo strettamente necessario a perseguire gli scopi per i quali sono stati raccolti e trattati.
L'eventuale revoca del consenso al trattamento dei dati necessari per l’utilizzo della Firma Grafometrica determinerà la disattivazione del servizio stesso.
Per maggiori dettagli sulle modalità e informazioni sul trattamento dei dati personali non rinvenibili nella presente informativa integrativa si rinvia alla Parte A - Informativa sul trattamento dei dati personali ai sensi degli Artt.li 13 e 14 del Regolamento UE n. 2016/679 (di seguito anche “GDPR”) della presente e all'informativa completa sul tema rilasciata all’Interessato in caso di adesione al servizio.
13. Informativa integrativa sul trattamento dei dati personali sui dati contenuti nella Centrale dei rischi della Banca d'Italia ai sensi degli articoli 13 e 14 del Regolamento EU 679/2016
La Centrale dei rischi (CR) è una banca dati contenente informazioni sui debiti di famiglie e imprese verso il sistema bancario e finanziario gestita dalla Banca d'Italia.
Banche, società finanziarie e altri intermediari che concedono finanziamenti e garanzie o ricevono garanzie (o acquistano da altri intermediari finanziamenti o garanzie già registrati) sono tenuti per legge a partecipare alla CR con l’invio di informazioni.
La comunicazione dei dati relativi alla Centrale dei rischi, risponde ad un compito di interesse pubblico, è effettuata dagli intermediari sulla base di apposita norma di legge e ricade quindi nella finalità e base giuridica indicate nella parte A, sezione 2 della presente informativa.
Mensilmente, per ciascun cliente, la CR raccoglie informazioni da tutti gli intermediari, le elabora e le mette a disposizione degli intermediari al fine di rendere noto lo stato di indebitamento complessivo dei clienti e della regolarità o meno dei loro pagamenti.
Gli interessati segnalati possono fare specifica richiesta direttamente alla Banca d'Italia per avere accesso alle informazioni registrate a loro nome e distribuite agli intermediari tramite i servizi della Centrale dei rischi, con il dettaglio dei singoli intermediari che hanno prodotto le segnalazioni.
Con riguardo alla rettifica dei dati contenuti nella Centrale dei rischi, gli interessati segnalati possono chiedere a Fineco la modifica delle informazioni registrate a loro nome in caso di errore o inesattezza nelle segnalazioni.
Con riferimento ai diritti dell’Interessato di cui alla sezione 6 della presente informativa, gli Interessati possono esercitarli nei confronti della Banca d’Italia, qualora dall'esercizio di tali diritti non derivi un pregiudizio effettivo e concreto alle attività svolte per finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità.
Le informazioni relative ai moduli da presentare e alla tipologia delle informazioni che possono essere richieste sono disponibili sul sito istituzionale della Banca d’Italia: www.bancaditalia.it – Home > Servizi al cittadino > Accesso ai dati della Centrale dei rischi
Per maggiori dettagli sulle modalità e informazioni sul trattamento dei dati personali non rinvenibili nella presente informativa integrativa si rinvia alla Parte A - Informativa sul trattamento dei dati personali ai sensi degli Artt.li 13 e 14 del Regolamento UE n. 2016/679 (di seguito anche “GDPR”) della presente.
Parte B - Informativa alla clientela ex articoli 13 e 14 del Regolamento EU 679/2016 e ai sensi dell'Art. 6 del Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti
In aggiunta a quanto precede, la Banca intende fornire all'Interessato, anche per conto dei sistemi di informazioni creditizie, adeguata informativa ex art. 6 del Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti.
Informiamo che per dare seguito alle richieste dei clienti, utilizziamo alcuni dati che li riguardano. Si tratta di informazioni che loro stessi ci forniscono o che otteniamo consultando alcune banche dati. Tali banche dati (Sistema di Informazioni Creditizie o SIC) contenenti informazioni circa gli interessati sono consultate per valutare, assumere o gestire un rischio di credito, per valutare l'affidabilità e la puntualità nei pagamenti dell'interessato e sono gestite da privati e partecipate da soggetti privati appartenenti alle categorie che troverà nelle informative fornite dai gestori dei SIC. Queste informazioni saranno conservate presso la Banca. Alcune delle informazioni che i clienti ci forniscono, assieme alle informazioni originate dal loro comportamento nei pagamenti riguardo al rapporto che si andrà ad instaurare potranno essere comunicate periodicamente ai SIC. Ciò significa che i soggetti appartenenti alle categorie sopra menzionate, a cui i clienti chiederanno l'instaurazione di un rapporto potranno sapere se quegli stessi clienti hanno presentato alla Banca una richiesta e se pagano regolarmente. Il trattamento e la comunicazione dei dati è un requisito necessario per la conclusione del contratto. Senza questi dati la Banca potrebbe non essere in condizione di dar seguito alla richiesta. La conservazione di queste informazioni da parte delle banche dati viene effettuato sulla base del legittimo interesse del Titolare del trattamento a consultare i SIC a seguito della richiesta di credito del cliente.
Trattamento effettuato dalla Banca
I dati dei clienti non verranno trasferiti a un paese terzo extra UE o a un'organizzazione internazionale. Secondo i termini, le modalità e nei limiti di applicabilità stabiliti dalla normativa vigente, i clienti hanno diritto di conoscere i propri dati e di esercitare i diversi diritti relativi al loro utilizzo (rettifica, aggiornamento, cancellazione, limitazione del trattamento, opposizione ecc.). I clienti potranno proporre reclamo all'Autorità Garante per la protezione dei Dati Personali (www.garanteprivacy.it), nonché ricorrere agli altri mezzi di tutela previsti dalla normativa applicabile. La banca conserva i dati dei clienti presso la nostra società per il tempo necessario per gestire il rapporto contrattuale e per adempiere ad obblighi di legge (ad esempio per quanto previsto dall'articolo 2220 del Codice civile in materia di conservazione delle scritture contabili). Per ogni richiesta riguardante i dati dei clienti, gli stessi potranno utilizzare il fac-simile presente sul sito www.garanteprivacy.it inoltrandolo alla Banca ai seguenti recapiti:

• all'indirizzo di posta elettronica privacy@finecobank.com o
• via posta ordinaria all'indirizzo FinecoBank, Via Rivoluzione d'Ottobre 16, 42123 Reggio Emilia;

e/o alle società sottoindicate, cui comunicheremo i Suoi dati:

• CRIF S.p.A.
• Experian Italia S.p.A
• CTC - Consorzio per la Tutela del Credito s. c. a r. l.

I dati dei clienti potranno essere utilizzati nel processo decisionale automatizzato di una richiesta nel caso in cui tale decisione sia necessaria per la conclusione o l'esecuzione del contratto con la banca (cfr. paragrafo seguente "Tecniche o Sistemi Automatizzati Di Credit Scoring").
Trattamento effettuato dal Gestore dei SIC
Al fine di meglio valutare il rischio di credito, nonché l'affidabilità e puntualità nei pagamenti, la Banca comunica alcuni dati (dati anagrafici, anche della persona eventualmente coobbligata, tipologia del contratto, importo del credito, modalità di rimborso) ai sistemi di Sistema di Informazioni Creditizie, i quali sono regolati dal relativo Codice di condotta (Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti) e che rivestono la qualifica di autonomo titolare del trattamento.
I dati sono resi accessibili anche ai diversi soggetti privati appartenenti alle categorie che troverà nelle informative fornite dai gestori dei SIC, disponibili attraverso i canali di seguito elencati.
I dati che riguardano i clienti sono aggiornati periodicamente con informazioni acquisite nel corso del rapporto (andamento dei pagamenti, esposizione debitoria residuale, stato del rapporto). Nell'ambito dei SIC, i dati dei clienti saranno trattati secondo modalità di organizzazione, raffronto ed elaborazione strettamente indispensabili per perseguire le finalità sopra descritte. Tali elaborazioni verranno effettuate attraverso strumenti informatici, telematici e manuali che garantiscono la sicurezza e la riservatezza degli stessi anche nel caso di utilizzo di tecniche di comunicazione a distanza.
I dati dei clienti sono oggetto di particolari elaborazioni statistiche al fine di attribuire un giudizio sintetico o un punteggio sul Suo grado di affidabilità e solvibilità (cd. credit scoring), tenendo conto delle seguenti principali tipologie di fattori: numero e caratteristiche dei rapporti di credito in essere, andamento e storia dei pagamenti dei rapporti in essere o estinti, eventuale presenza e caratteristiche delle nuove richieste di credito, storia dei rapporti di credito estinti.
Alcune informazioni aggiuntive possono essere fornite in caso di rifiuto di una richiesta di credito. I gestori dei sistemi di informazioni creditizie cui la Banca aderisce sono riportati nella seguente tabella.

Estremi identificativi	Dati di contatto	Tipo di Sistema	Uso di Sistemi Automatizzati Di Credit Scoring	Esistenza di Un Processo Decisionale Automatizzato
CRIF S.p.A.	Ufficio Relazioni con il Pubblico: Via Zanardi 41, 40131 Bologna Telefono 051.6458900 Fax 051.6458940 www.consumatori.crif.com	positivo e negativo	si	no
EXPERIAN ITALIA S.P.A.	Servizio Tutela Consumatori: Piazza dell'Indipendenza 11B00185 Roma Telefono 199.183.538 Fax 199.101.850 www.experian.it	positivo e negativo	si	no
CTC - Consorzio per la Tutela del Credito s. c. a r. l.	Corso Italia 17 - 20122 Milano Telefono 02.66710235-29 Fax 02.67479250 www.ctconline.it	positivo e negativo	si	no

I clienti hanno diritto di accedere in ogni momento ai dati che li riguardano rivolgendosi alla banca (cfr. sezione n. 6 "Diritti degli Interessati"). Si possono rivolgere alla Banca oppure ai gestori dei SIC, ai recapiti sopra indicati.
Allo stesso modo i clienti possono richiedere la correzione, l'aggiornamento o l'integrazione dei dati inesatti o incompleti, ovvero la cancellazione o il blocco per quelli trattati in violazione di legge, o ancora opporsi al loro utilizzo per motivi legittimi da evidenziare nella richiesta (artt. da 15 a 22 del Regolamento UE escluso art. 20).
Tempi di conservazione dei dati nei SIC

TIPOLOGIA DI DATO	TEMPI DI CONSERVAZIONE
Finanziamento richiesto ed in corso di valutazione	180 gitorin dalla data richiesta
Richieste di finanziamento rinunciate/rifiutate	90 giorni dalla data dell'aggiornamento con l'esito di rinuncia/rifiuto
Finanziamenti rimborsati regolarmente	60 mesi dalla data di estinzione effettiva del rapporto di credito, ovvero dal primo aggiornamento effettuato nel mese successivo a tale data (in caso di compresenza di rapporti con eventi positivi e di altri rapporti con eventi negativi non regolarizzati, si applica il termine di conservazione previsto per i rapporti con eventi negativi non sanati).
1 o 2 rate (o mensilità) pagate in ritardo	12 mesi dalla comunicazione di regolarizzazione, a condizione che nei 12 mesi i pagamenti siano sempre regolari,
3 o più rate (o mensilità) pagate in ritardo anche su transazione	24 mesi dalla comunicazione di regolarizzazione, a condizione che nei 24 mesi i pagamenti siano sempre regolari.
Finanziamenti non rimborsati (ossia eventi negativi non sanati, quali morosità, gravi inadempimenti, sofferenze)	36 mesi dalla data di scadenza contrattualedel rapporto o dalla data in cui l'ente Partecipante ha fornito l'ultimo aggiornamento (in caso di successivi accordi o altri eventi rilevanti in relazione al rimborso) e comunque al massimo fino a 60 mesi dalla data di scadenza del rapporto, quale risulta dal contratto.

TECNICHE O SISTEMI AUTOMATIZZATI DI CREDIT SCORING
Al fine di valutare l'affidabilità nei pagamenti dell'Interessato, la Banca utilizza alcuni dati che lo riguardano, da lui direttamente forniti o che sono ottenuti consultando alcune banche dati, anche mediante l'impiego di tecniche o sistemi automatizzati per la valutazione del merito di credito (credit scoring) assicurando il rispetto dei seguenti principi:

• le tecniche o i sistemi automatizzati di credit scoring sono utilizzati solo per l'istruttoria di una richiesta di credito o per la gestione dei rapporti di credito instaurati;
• i modelli o i fattori di analisi statistica, nonché gli algoritmi di calcolo dei giudizi, indicatori o punteggi sono verificati periodicamente con cadenza almeno annuale e aggiornati in funzione delle risultanze di tali verifiche.

A fronte della consultazione di dati personali relativi a informazioni creditizie di tipo negativo in una o più banche dati, la richiesta di credito potrebbe non essere accolta.
Il conferimento dei dati personali necessari a tali finalità è obbligatorio e il relativo trattamento non può essere oggetto di opposizione da parte dell'Interessato, in quanto derivante da un obbligo di legge.
Per maggiori dettagli sulle modalità e informazioni sul trattamento dei dati personali non rinvenibili nella presente informativa integrativa si rinvia alla Parte A - Informativa sul trattamento dei dati personali ai sensi degli Artt.li 13 e 14 del Regolamento UE n. 2016/679 (di seguito anche “GDPR”) della presente.
RECLAMO O SEGNALAZIONE AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Ove l'Interessato ritenga di aver subito una violazione dei propri diritti può proporre reclamo o effettuare una segnalazione al Garante per la Protezione dei Dati Personali oppure presentare ricorso all'Autorità Giudiziaria. I contatti del Garante per la Protezione dei Dati Personali sono consultabili sul sito web www.garanteprivacy.it
Parte C – Aggiornamenti e modifiche dell’Informative clienti sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento EU 679/2016
Fineco si riserva di modificarne o semplicemente aggiornarne il contenuto, in parte o completamente, anche a causa di variazioni della normativa applicabile. Fineco informerà gli interessati di tali variazioni non appena verranno introdotte ed esse saranno vincolanti non appena pubblicate sul Sito internet o trasmesse in altro modo ai medesimi (es. presso gli sportelli automatici o le filiali). Il Titolare invita, quindi, gli Interessati – ad esempio i clienti - a prestare attenzione all’ultima versione dell’informativa mostrata attraverso questi canali in modo da essere sempre aggiornati sulle modalità di trattamento dei loro Dati Personali.