Avviso di rettifica
Errata corrige
Errata corrige
Avviso di conferimento di un ramo d'azienda ai sensi dell'articolo 58
del Decreto Legislativo 1° settembre 1993, n. 385 ("TUB") - ed
informativa sui rapporti ceduti e sul trattamento dei dati personali,
ai sensi (i) degli artt. 13 e 14 del Regolamento UE n. 679/2016
("GDPR") e del (ii) del D.Lgs. 30 giugno 2003 n. 196, come modificato
dal D. Lgs. 10 agosto 2018 n. 101 ("Codice privacy")
Isybank S.p.A. ("ISY", la "Conferitaria", o anche la "Banca") rende
noto che con atto pubblico a rogito del Notaio Dott. Carlo Marchetti
di Milano in data 13 marzo 2024, n. rep.17404 e n. racc.9342,
depositato e iscritto ai sensi dell'art. 2556 c.c. presso il Registro
delle Imprese di Torino, con efficacia al 18 marzo 2024 (la "Data di
Efficacia"), Intesa Sanpaolo S.p.A. (il "Conferente" o "ISP") ha
conferito a favore della Banca un ramo d'azienda (il "Ramo") come
meglio precisato in appresso (il "Conferimento").
Il Ramo e' dettagliatamente descritto nella relazione di stima (la
"Relazione") allegata all'atto di conferimento e redatta da Deloitte
Financial Advisory S.r.l. S.B, quale esperto indipendente nominato ai
sensi dell'art. 2343-ter c.c. (l'"Esperto"). Sinteticamente detto
Ramo comprende attivita', passivita' e rapporti, anche in itinere,
organizzati funzionalmente per la gestione dei clienti persone
fisiche che utilizzano prevalentemente canali digitali.
In particolare, sono oggetto del Conferimento, inter alia, i
seguenti contratti:
(a) Contratti con la clientela.
Si tratta dei Contratti relativi a (i) conto corrente in Euro
(incluso il cosiddetto Conto di Base) anche cointestati (per non piu'
di 3 intestatari) con tasso creditore <0,01%; (ii) Carte di debito
intestate ai medesimi clienti ed associate ai conti di cui sopra in
essere prima del 19 luglio 2023; (iii) Carte di credito Classic
intestate ai medesimi clienti ed associate ai conti di cui sopra
sottoscritte prima del 19 luglio 2023; (iv) Carte prepagate - ad
esclusione delle Carte Flash Up Studio, Flash Up Studio La Statale e
Superflash Federico II - sottoscritte prima del 31 marzo 2023, attive
e non scadute o con blocco solo temporaneo (con la precisazione per
cui nel caso in cui il cliente sia al contempo titolare di conto
corrente e carta prepagata, e' incluso il solo contratto di conto
corrente),
il tutto a condizione che detti contratti siano riferiti a clienti
che, al contempo rispondano ai seguenti requisiti, in quanto:
- siano titolari di soli rapporti in bonis;
- abbiano un'eta' compresa tra i 18 anni (al 26 maggio 2023) e i 65
anni (al 31 marzo 2024);
- non siano deceduti, interdetti/inabilitati, soggetti sottoposti
ad amministrazione di sostegno, liberi professionisti e dipendenti ed
ex-dipendenti del gruppo ISP, siano classificabili come consumatori
ai sensi della normativa vigente, con anagrafiche complete e
questionario di adeguata verifica aggiornato, con documenti di
identita' rilasciati in Italia, non presenti in Black List e Sanction
List Embarghi;
- non siano titolari di contratti su cui risultino conferite
deleghe speciali;
- non abbiano contenziosi in corso, pignoramenti o sequestri in
essere, rapporti non movimentati da almeno 9 anni;
- siano possessori di un contratto multicanale con ISP o una
societa' del gruppo ISP e siano clienti prevalentemente digitali
(vale a dire clienti che nell'ultimo anno non hanno effettuato
operazioni in filiale oppure, se hanno effettuato operazioni in
filiale, ne hanno effettuate non piu' di dieci e, in tal caso, ne
hanno effettuate almeno altrettante mediante il servizio
multicanale);
- non abbiano rapporti presso Fideuram Intesa Sanpaolo Private
Banking S.p.A.;
- non siano titolari di specifici prodotti/servizi accessori quali
Viacard, rapporti "scudati", libretti di assegni, Contratti relativi
al servizio di rimessa di denaro Western Union, carte di debito
Exclusive, carte di credito Classic Aggiuntive, carte di pagamento di
tipo aziendale, BANCOMAT Pay® senza carta di pagamento collegata;
- non siano titolari di un contratto di conto corrente ISP
sottoscritto post 31 marzo 2023;
- non siano titolari di contratti di conto corrente con uno
sconfino da oltre i 6 mesi;
- non siano titolari di contratti di conto corrente con uno
sconfino oltre soglia di materialita' (>Euro 50) e continuativo da
oltre 5 giorni che presentino criticita' rilevate dai sistemi di
Early Warning;
- non siano titolari di n. 2 o piu' contratti di conto corrente o
di n. 2 o piu' contratti di carta prepagata;
- con AFI medie negli ultimi 4 mesi inferiori a Euro 100.000;
- non si siano fatti rilasciare preventivi di polizze assicurative
nel settore Motor.
Inoltre, i clienti devono aver espresso il loro consenso al
passaggio in Isybank a seguito del Provvedimento cautelare adottato
dall'Autorita' Garante della Concorrenza e del Mercato il 28 novembre
2023 e notificato ad ISP ed ISY il successivo 30 novembre 2023.
Resta inteso che il cliente titolare di prodotti/servizi diversi
potra' vedere conferiti i contratti/rapporti rientranti nel Ramo
oggetto del Conferimento e proseguire la relazione con la Conferente
quanto ai contratti/rapporti residui.
(b) Contratti di lavoro relativi ai n. 15 dipendenti della
Struttura organizzativa a servizio del Ramo e ad essa funzionale. In
particolare, sono stati trasferiti n. 6 dipendenti nell'area modello
operativo, business support e innovation, n. 5 nell'area business
development e products, n. 2 nell'area personale e assistenza
operativa e n. 2 nell'area controlli.
(c) Contratti con Parti terze.
Si tratta di Contratti per la gestione dei rapporti con i clienti
che sono dettagliati nell'Allegato 1 della Relazione dell'Esperto.
(d) L'attivazione del contratto relativo all'erogazione dei servizi
funzionali al Ramo da parte di ISP verso ISY.
Il tutto come meglio e analiticamente descritto e valutato nella
Relazione dell'Esperto.
Il Ramo comprende inoltre gli elementi e le poste di cui alla
situazione patrimoniale di Conferimento alla data del 29 febbraio
2024, riportata nella citata Relazione, e piu' precisamente: i)
all'attivo: crediti verso banche, crediti verso clientela, derivati
di copertura, attivita' fiscali, marchi e relativi domini (riferiti a
Isydream) e ii) al passivo: debiti verso la clientela, passivita'
legate al personale, derivati di copertura, adeguamento al valore
delle passivita' finanziarie oggetto di copertura generica e altre
passivita'.
A decorrere dalla Data di Efficacia, pertanto, la Banca e'
subentrata di pieno diritto e nel modo piu' ampio e generale alla
Conferente in tutto il patrimonio costituente il Ramo oggetto del
Conferimento, e pertanto in ogni relativa attivita' e passivita',
cosi' come in ogni rapporto contrattuale in essere o in formazione,
in modo che essa possa continuare senza soluzione di continuita'
nell'esercizio del Ramo come condotto alla Data di Efficacia. Isybank
S.p.A. pertanto e' subentrata nella proprieta', nel possesso e nel
godimento del Ramo e dei cespiti, sia quanto agli utili e frutti sia
quanto ai relativi oneri e rischi nonche' nella proprieta' dei beni
in esso compresi e nella titolarita' dei rapporti contrattuali ad
esso afferenti. Peraltro, eventuali modificazioni nella consistenza
di fatto e di diritto degli elementi attivi o passivi trasferiti,
dovute alla dinamica aziendale, che dovessero essersi verificati tra
la data di riferimento della Relazione (il 29 febbraio 2024) e la
Data di Efficacia del Conferimento, daranno luogo ad appositi
conguagli fra la Conferente e la Conferitaria, da regolarsi con le
modalita' e nei tempi convenuti tra le parti, per modo che resti
invariato il valore netto patrimoniale del Ramo, pari ad euro
700.000,00.
A servizio del Conferimento, nella stessa Data di Efficacia, la
Conferitaria ha emesso in favore di Intesa Sanpaolo S.p.A. n. 700.000
azioni, prive di valore nominale espresso, con un aumento di capitale
pari ad Euro 700.000,00 (deliberato dall'assemblea straordinaria di
ISY in data 13 marzo 2024 di cui al verbale in pari data a rogito
notaio Carlo Marchetti di Milano, n. 17.403/9341 di rep., debitamente
iscritto presso il competente Registro delle Imprese, fatti salvi gli
adempimenti di cui all'art. 2343 quater c.c..
Ai sensi dell'art. 58 del TUB la comunicazione dell'avvenuto
Conferimento viene altresi' depositata per l'iscrizione presso il
Registro delle Imprese.
La pubblicazione del presente avviso, unitamente agli adempimenti -
anche ai fini del recesso per giusta causa - sopra indicati produce
gli effetti richiamati dal predetto art. 58 TUB.
Ai sensi e per gli effetti dell'atto di Conferimento, il
conferimento da parte della Conferente alla Conferitaria comporta
necessariamente il trasferimento anche dei dati personali contenuti
nei documenti e nelle evidenze informatiche connessi ai predetti
rapporti aggiornati sulla base di informazioni acquisite nel corso
dei rapporti contrattuali in essere con i titolari dei rapporti
ceduti (i "Dati Personali").
In forza del Conferimento Isybank S.p.A. e' divenuta Titolare
autonomo del trattamento dei Dati Personali (il "Titolare") ed e'
tenuta a fornire ai titolari dei rapporti ceduti (i "Soggetti
Interessati") l'informativa di cui agli artt. 13 e 14 del GDPR.
Isybank S.p.A. assolve a tale obbligo, anche mediante la presente
pubblicazione che si ritiene essere una misura appropriata anche ai
sensi dell'art. 14, comma 5, lett. b), secondo periodo, del GDPR.
1. Informativa nei confronti di persone fisiche ai sensi dell'art.
13 e 14 del Regolamento (UE) 2016/679 del Parlamento Europeo e del
Consiglio del 27 aprile 2016 (di seguito l'"Informativa")
2. A chi e' rivolta questa informativa: chi sono gli interessati
A ogni cliente ISY, e quindi a chi ha gia' un rapporto contrattuale
o sta per instaurarlo.
L'informativa si rivolge anche a tutti coloro che, a vario titolo,
sono collegati ai clienti o ai loro garanti (ad esempio i legali
rappresentanti, gli amministratori, i soci, i titolari effettivi, i
procuratori, i delegati o i firmatari).
Infine, l'informativa si rivolge a coloro i cui dati sono stati
forniti da altri soggetti nelle fasi precontrattuali o in esecuzione
di un contratto e a chi richiede di effettuare un'operazione
occasionale.
Il suo contenuto riguarda le persone fisiche, le ditte individuali
e i liberi professionisti.
Ove vi sia necessita' di modificarla o integrarla, per obblighi
normativi o in conseguenza di mutamenti organizzativi, ne sara' data
notizia tramite i canali ISY (ad esempio le APP e sito internet). In
ogni momento e' possibile consultarne la versione piu' aggiornata
nella sezione "Privacy" del sito www.isybank.com e dell'APP isybank.
3. Cosa si intende per trattamento di dati. Chi e' il titolare del
trattamento
Il GDPR definisce il "dato personale" come "qualsiasi informazione
riguardante una persona fisica identificata o identificabile".
Il GDPR definisce anche puntualmente cosa si intende per
"trattamento", ossia "qualunque operazione o insieme di operazioni,
compiute con o senza l'ausilio di processi automatizzati e applicate
a dati personali o insiemi di dati personali, come la raccolta, la
registrazione, l'organizzazione, la strutturazione, la conservazione,
l'adattamento o la modifica, l'estrazione, la consultazione, l'uso,
la comunicazione mediante trasmissione, diffusione o qualsiasi altra
forma di messa a disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione".
In qualita' di "Titolare del trattamento", la Banca, agendo nel
pieno rispetto di principi di correttezza, liceita' e trasparenza,
determina i mezzi e le finalita' di ognuna di queste "operazioni" che
coinvolge, anche solo potenzialmente, dei dati personali; tutto cio'
garantendo la riservatezza e tutelando appieno i diritti degli
interessati.
4. Quali dati personali sono trattati
I dati personali che la Banca tratta e protegge appartengono alle
seguenti categorie:
a) dati identificativi e anagrafici, come il nome e il cognome, la
denominazione, il codice fiscale, la partita IVA, la data e il luogo
di nascita, l'indirizzo di residenza/domicilio, il domicilio fiscale,
l'indirizzo di corrispondenza, il genere, la nazionalita', e i dati
relativi ai documenti identificativi;
b) dati relativi all'immagine, come la fotografia presente sul
documento identificativo;
c) dati di contatto, come il numero del telefono fisso e del
cellulare, l'indirizzo e-mail e la PEC;
d) dati relativi alla situazione personale e familiare, come lo
stato civile e la composizione del nucleo familiare;
e) dati finanziari, economici, patrimoniali, creditizi;
f) dati inerenti ai rapporti intrattenuti con la Banca, come i dati
transazionali, la classificazione secondo la direttiva europea MIFID
e il rating creditizio;
g) dati appartenenti a categorie "particolari", ad esempio i dati
biometrici e i dati relativi alla salute. Si tratta dei dati che in
passato erano definiti "sensibili" e richiedono una protezione
"particolare" ed uno specifico consenso;
h) dati giudiziari relativi a condanne penali e a reati o a misure
di sicurezza.
5. Perche' la banca chiede di fornire i dati
La Banca ha bisogno dei dati per istruire, concludere e dare
corretta esecuzione ai contratti e per adempiere ai relativi obblighi
di legge.
Se l'interessato decidera' di non fornire i dati, la Banca si
trovera' nell'impossibilita' di attivare i servizi richiesti.
6. Fonte dei dati e modalita' di trattamento
I dati che la Banca tratta possono avere provenienza:
Diretta: se comunicati dall'interessato nelle occasioni in cui ha
interagito con la Banca;
Indiretta: se raccolti da terzi o da fonti accessibili al pubblico
(ad esempio dalla Camera di Commercio e da Albi Professionali), in
osservanza delle normative di riferimento.
I dati sono trattati mediante strumenti manuali, informatici e
telematici e ne viene garantita la sicurezza e la riservatezza.
7. Su quali basi si fondano i trattamenti effettuati e per quali
finalita'
Il trattamento dei dati personali e' lecito solamente se la sua
finalita' e' sostenuta da una base giuridica valida, ricompresa cioe'
tra quelle previste dal GDPR.
In corrispondenza dei diversi fondamenti giuridici previsti, sono
qui indicati sinteticamente i trattamenti effettuati dalla Banca e le
relative finalita'.
a) Consenso (art. 6.1 lettera a) del GDPR e art. 9.2 lettera a) del
GDPR)
La Banca effettua attivita' di marketing diretto e indiretto e di
profilazione, ed in particolare:
- svolge attivita' funzionali alla promozione e vendita di prodotti
e servizi di societa' del Gruppo Intesa Sanpaolo o di societa' terze
ed effettua indagini di mercato e di customer satisfaction sia
attraverso l'uso di sistemi automatizzati di chiamata o di
comunicazione di chiamata senza l'intervento di un operatore e di
comunicazioni elettroniche (posta elettronica, SMS, MMS o di altro
tipo), sia attraverso l'uso di posta cartacea e di chiamate
telefoniche tramite operatore;
- attraverso l'elaborazione delle informazioni del cliente (ad
esempio movimenti di conto di pagamento, variazioni della situazione
economica, ubicazione e spostamenti) e l'individuazione di categorie
(cluster) valuta e prevede aspetti riguardanti, tra gli altri,
interessi, preferenze, scelte di consumo ed abitudini, al fine di
offrire prodotti e servizi sempre piu' personalizzati e adeguati.
La Banca tratta dati appartenenti a categorie "particolari" solo se
strettamente necessario per finalita' specifiche, ad esempio per
l'erogazione di servizi e prodotti nell'ambito di iniziative ad
impatto sociale e welfare.
Questi trattamenti sono possibili solo se e' il cliente che ha
rilasciato il consenso per la specifica finalita'. Vige sempre e
comunque il diritto di revocare la totalita' o parte dei consensi
rilasciati.
b) Contratto e misure precontrattuali (art. 6.1 lettera b) del
GDPR)
Per prestare i servizi richiesti e dare esecuzione ai contratti o
agli atti relativi alle fasi precontrattuali.
c) Obbligo di legge (art. 6.1 lettera c) del GDPR)
Per adempiere a prescrizioni normative, ad esempio in ambito
fiscale e in materia di antiriciclaggio, di anticorruzione e di
prevenzione delle frodi nei servizi di pagamento. Per adempiere a
disposizioni dell'Autorita', ad esempio in relazione al monitoraggio
dei rischi operativi e creditizi a livello di gruppo bancario.
d) Legittimo interesse (art. 6.1 lettera f) del GDPR)
La Banca persegue interessi legittimi propri o di terzi, che si
dimostrino leciti, concreti e specifici, dopo aver appurato che cio'
non comprometta i diritti e le liberta' fondamentali degli
interessati. Tra questi rientrano, ad esempio, la sicurezza fisica,
la sicurezza dei sistemi IT e delle reti, la prevenzione delle frodi
e la produzione di statistiche. L'elenco completo degli interessi
legittimi perseguiti e' descritto al punto 17 "Gli interessi
legittimi" sempre disponibile nella versione piu' aggiornata nella
sezione "Privacy" del sito www.isybank.com.
8. Il trattamento dei dati per valutare il rischio di credito
La normativa europea impone alle banche di valutare e aggiornare il
rischio di credito, in modo che sia garantita la stabilita' e
l'adeguatezza del patrimonio del Gruppo Intesa Sanpaolo. Per questo
motivo, ISY elabora i dati dei clienti con una tecnica di
profilazione che le consente di valutare e tenere aggiornato lo stato
di salute "finanziaria" del cliente, calcolando un punteggio di
rischiosita' (rating) in base ai movimenti e agli eventuali
sconfinamenti dei conti di pagamento accesi presso il Gruppo e, se
autorizzata dal cliente, anche dei conti intrattenuti presso altre
banche. Il sistema di valutazione utilizza anche dati forniti con
altri documenti, ad esempio fiscali o di bilancio. Il rating cosi'
calcolato sara' preso in considerazione, insieme ad altre
informazioni e parametri, anche per:
- fornire un riscontro quando viene richiesto un finanziamento, un
fido o una carta di credito;
- valutare l'affidabilita' e puntualita' nei pagamenti, per del
titolare di un finanziamento.
La metodologia e le logiche di questo trattamento sono descritte al
punto 18 "La valutazione profilata del rischio creditizio",
disponibile anche nella sezione "Privacy" del sito www.isybank.com.
9. Chi potrebbe ricevere i dati
La Banca puo' comunicare i dati ad altri soggetti, sia all'interno
che all'esterno dell'Unione Europea, ma solo per le specifiche
finalita' indicate in informativa secondo le basi giuridiche previste
dal GDPR.
Possono essere destinatari dei dati:
a) le Autorita' e i soggetti nei confronti dei quali la
comunicazione dei dati e' dovuta in adempimento di obblighi
normativi;
b) i sistemi pubblici informativi istituiti presso le pubbliche
amministrazioni. Tra questi:
- la Centrale Rischi presso Banca d'Italia;
- l'Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP);
- il Sistema pubblico di prevenzione amministrativa delle frodi nel
settore del credito al consumo con specifico riferimento al furto di
identita' (SCIPAFI);
- l'Anagrafe tributaria - Archivio dei rapporti con operatori
finanziari;
c) soggetti appartenenti al Gruppo Intesa Sanpaolo;
d) soggetti con i quali sono intrattenuti accordi di natura
commerciale;
e) soggetti che operano nei seguenti settori:
- servizi bancari, finanziari ed assicurativi;
- sistemi e circuiti di pagamento;
- rilevazione rischi finanziari a scopo di prevenzione e controllo
del rischio di insolvenza;
- recupero e gestione di beni e di crediti;
- esattoria e tesoreria;
- sicurezza fisica (ad esempio guardiania e videosorveglianza);
- fornitura e gestione di procedure e sistemi informatici e di
telecomunicazioni;
- sicurezza informatica;
- libera professione (ad esempio periti, notai e legali, anche in
ambito contenzioso);
- revisione contabile e consulenza in genere;
- rilevazione della qualita' dei servizi ed analisi e ricerche di
mercato;
- informazione e promozione commerciale di prodotti e/o servizi;
- gestione dei rapporti con la clientela (ad esempio in relazione
alla comunicazione e all'assistenza);
- logistica;
- archiviazione di dati e di documenti (sia in forma cartacea che
elettronica).
L'elenco puntuale dei destinatari dei dati personali e' disponibile
su richiesta.
10. Trasferimento dei dati fuori dall'unione europea o a
organizzazioni internazionali
Di norma la Banca tratta i dati all'interno dell'Unione Europea.
Tuttavia, per motivi tecnici od operativi, potrebbe trasferirli
verso:
- paesi al di fuori dell'Unione Europea o organizzazioni
internazionali che, secondo quanto stabilito dalla Commissione
Europea, garantiscono un livello di protezione adeguato;
- altri paesi, basandosi, in questo caso, su una delle "garanzie
adeguate" o su una delle specifiche deroghe previste dal GDPR.
Inoltre, i dati contenuti nella messaggistica riguardante
trasferimenti finanziari (es. bonifici esteri) possono essere
trasmessi, per esclusivi fini di prevenzione e di contrasto del
terrorismo e del suo finanziamento, alle Autorita' pubbliche degli
Stati Uniti d'America, con cui l'Unione Europea ha concluso uno
specifico accordo.
11. Per quanto tempo la banca conserva i dati
Per obbligo di legge i dati vengono conservati per un periodo di 10
anni a decorrere dalla chiusura del rapporto contrattuale o, quando
sono stati raccolti in virtu' di una operazione occasionale, a
decorrere dalla data stessa dell'operazione.
Sono trattati per un periodo maggiore esclusivamente nei casi
espressamente previsti dalla legge o per perseguire un interesse
legittimo, della Banca o di terzi.
12. Come contattare la banca
Questi sono i riferimenti utili di contatto:
- Titolare del trattamento: Isybank S.p.A.
- Sede legale: via Monte di Pieta' 8 - 20121 Milano
- dpo@intesasanpaolo.com
- privacy@pec.intesasanpaolo.com
- www.isybank.com
13. Chi e' il "Responsabile della protezione dei dati'' e come
contattarlo
Il "Responsabile della protezione dei dati'' (DPO - Data Protection
Officer) e' una figura di garanzia che la Banca ha provveduto a
nominare, cosi' come espressamente richiesto dal GDPR. L'interessato
puo' rivolgersi al DPO per tutte le questioni relative al trattamento
dei suoi dati personali e per esercitare i diritti previsti dal GDPR,
contattandolo al seguente indirizzo e-mail: dpo@intesasanpaolo.com
14. Quali sono i diritti dell'interessato
Il GDPR riconosce all'interessato i seguenti diritti:
Opposizione (ex art.21 GDPR): qualora i suoi dati personali siano
trattati dalla Banca per finalita' di marketing diretto,
l'interessato ha il diritto di opporsi in qualsiasi momento al
trattamento e all'eventuale attivita' di profilazione ad esso
connessa; se esercita questo diritto, i dati personali non saranno
piu' oggetto di trattamento per questa finalita'. L'interessato puo'
esercitare il diritto di opporsi anche relativamente ai trattamenti
che la Banca effettua per eseguire compiti di interesse pubblico, per
esercitare pubblici poteri o per perseguire un legittimo interesse
proprio o di terzi. In questi casi il trattamento non sara' piu'
effettuato a meno che non ci siano motivi che obbligano la Banca a
procedere oppure esso sia necessario per accertare, esercitare o
difendere in giudizio un diritto.
Processo decisionale automatizzato compresa la profilazione (ex
art.22 GDPR): di norma la Banca non assume decisioni basate
unicamente sul trattamento automatizzato dei dati personali se non in
specifici ambiti ed esclusivamente quando la decisione e' relativa
alla conclusione o l'esecuzione di un contratto, si basa su un
consenso esplicito oppure e' autorizzata dalla legge. Nei primi due
casi (contratto e consenso) la Banca garantisce il diritto di
ottenere l'intervento umano, di esprimere la propria opinione e di
contestare la decisione. L'interessato ha sempre il diritto di
ricevere informazioni significative sulla logica utilizzata,
sull'importanza e sulle conseguenze dei trattamenti automatizzati.
Accesso (ex art.15 GDPR): l'interessato ha il diritto di ottenere
la conferma che sia o meno in corso un trattamento di dati personali
che lo riguardano, di avere informazioni sul trattamento in corso e
di ricevere copia dei dati.
Cancellazione (ex art.17 GDPR): il GDPR prevede una serie di casi
in cui l'interessato ha il diritto di ottenere la cancellazione dei
dati personali che lo riguardano (ad esempio se i dati non sono piu'
necessari rispetto alle finalita' per le quali sono stati trattati
oppure se ha revocato il consenso su cui si basa il trattamento e non
sussiste altro fondamento giuridico per attuarlo).
Limitazione (ex art.18 GDPR): il GDPR prevede una serie di casi in
cui l'interessato ha il diritto di ottenere la limitazione del
trattamento dei dati personali che lo riguardano (ad esempio per il
periodo necessario ad effettuare le opportune verifiche sui dati
personali dei quali ha contestato l'esattezza).
Portabilita' (ex art.20 GDPR): il GDPR prevede una serie di casi in
cui l'interessato ha il diritto di ricevere i dati personali che ha
fornito e che lo riguardano in un formato strutturato, di uso comune
e leggibile da un dispositivo automatico. Il GDPR tutela altresi' il
diritto di trasmettere questi dati a un altro titolare del
trattamento senza impedimenti da parte della Banca.
Rettifica (ex art.16 GDPR): l'interessato ha il diritto di ottenere
la rettifica dei dati personali inesatti che lo riguardano e
l'integrazione dei dati incompleti.
Reclamo (ex art.77 GDPR): se l'interessato ritiene che il
trattamento dei suoi dati da parte della Banca stia avvenendo in
violazione della normativa sul trattamento dei dati personali, ha
diritto di proporre reclamo all'Autorita' Garante per la protezione
dei dati personali competente.
I diritti dell'interessato sono descritti piu' dettagliatamente nel
documento "Focus sui tuoi diritti" disponibile sulla sezione
"Privacy" del sito www.isybank.com.
15. Perche' vengono richiesti dei "consensi"
Come descritto al punto 7, le azioni di marketing diretto e
indiretto e di profilazione commerciale, effettuate dalla Banca, sono
subordinate all'esistenza di specifici consensi che il cliente potra'
rilasciare, permettendo cosi' alla Banca di predisporre migliori
proposte commerciali.
16. Contatti e modulistica per l'esercizio dei diritti
Nella sezione "Privacy" del sito www.isybank.com e' accessibile il
modulo utilizzabile per l'esercizio dei diritti.
Per esercitare i diritti scrivere a:
- dpo@intesasanpaolo.com
- privacy@pec.intesasanpaolo.com
- Isybank S.p.A., c/o Privacy - Intesa Sanpaolo S.p.A., Piazza San
Carlo, 156 - 10121 Torino
Tutte le azioni e le comunicazioni necessarie sono effettuate
gratuitamente. Solo qualora dovessero dimostrarsi manifestamente
infondate o eccessive, in particolare per il loro carattere
ripetitivo, la Banca potra' addebitare all'interessato un contributo
spese, tenendo conto dei costi amministrativi sostenuti, oppure
rifiutarsi di soddisfarle.
17. Gli interessi legittimi
L'art. 6.1, lettera f) del Regolamento (UE) 2016/679 del Parlamento
Europeo e del Consiglio del 27 aprile 2016 autorizza la Banca a
trattare i dati personali degli interessati senza la necessita' di
richiedere un consenso, laddove il trattamento sia necessario per il
perseguimento di un legittimo interesse proprio o di terzi, a
condizione che tale interesse non prevalga sugli interessi, sui
diritti e sulle liberta' fondamentali dell'interessato.
La Banca fornisce qui l'elenco degli interessi legittimi propri o
di terzi che sono perseguiti con riferimento alla propria
operativita'.
Ai sensi dell'art. 21 del GDPR, l'interessato ha il diritto di
opporsi in qualsiasi momento al trattamento dei dati personali che lo
riguardano, qualora il trattamento venga effettuato per il
perseguimento di un interesse della Banca, compresa l'attivita' di
profilazione.
In caso di opposizione, la Banca si asterra' dal trattare
ulteriormente i dati personali a meno che non vi siano motivi
legittimi per procedere al trattamento (motivi prevalenti su
interessi, diritti e liberta' di chi si oppone), oppure il
trattamento sia necessario per l'accertamento, l'esercizio o la
difesa in giudizio di un diritto.
Per un'informazione esaustiva in relazione ai diritti che il GDPR
riconosce in relazione al trattamento dei dati personali, e'
consultabile il documento "Focus sui tuoi diritti" presente nella
sezione "Privacy" del sito www.isybank.com.
Elenco degli interessi legittimi:
a) presidio della sicurezza fisica, intesa come sicurezza delle
persone e del patrimonio aziendale, anche attraverso l'acquisizione
di immagini e video nell'ambito di sistemi di videosorveglianza;
b) presidio della sicurezza dei sistemi IT e delle reti a tutela
della riservatezza, integrita' e disponibilita' dei dati personali;
c) adozione di presidi idonei alla prevenzione delle frodi e di
altri rischi (ad esempio in materia di responsabilita' amministrativa
degli enti, di antiriciclaggio e di anticorruzione) in adempimento di
obblighi giuridici gravanti sul Titolare;
d) esercizio e difesa di un diritto (compreso il diritto di
credito), in qualsiasi sede;
e) trasmissione di dati personali all'interno del gruppo societario
a fini amministrativi interni;
f) trattamento di dati personali di soggetti terzi nell'ambito
dell'esecuzione di accordi e/o contratti con controparti della Banca,
anche in fase precontrattuale;
g) svolgimento di attivita' non riconducibili all'esecuzione di
contratti ma pertinenti al rapporto di clientela (ad esempio
assistenza e "caring" alla clientela);
h) gestione di operazioni societarie e strategiche quali, ad
esempio fusioni, scissioni e cessioni di ramo d'azienda;
i) sviluppo e aggiornamento di modelli predittivi e descrittivi
attraverso la produzione di statistiche e di reportistica con le
seguenti finalita':
- definizione di nuovi prodotti e servizi;
- verifica delle performance di prodotti e servizi per il
miglioramento degli stessi;
- verifica dell'efficacia di processi e/o dell'operativita' delle
strutture;
- miglioramento della Data Quality;
- costruzione di modelli generali di comportamento della clientela
basati su analisi statistiche di informazioni di tipo
quanti/qualitativo con lo scopo di mantenere adeguato lo standard
dell'offerta di prodotti e servizi alle esigenze della clientela;
- miglioramento dell'esperienza dell'utente sui siti web e sulle
applicazioni.
18. La valutazione profilata del rischio creditizio
La normativa europea in materia di vigilanza prudenziale prescrive
alle banche di valutare al proprio interno il rischio creditizio e di
mantenere costantemente aggiornata tale valutazione al fine di
garantire la propria stabilita' e adeguatezza patrimoniale anche a
livello di Gruppo Bancario.
Per misurare al proprio interno il rischio creditizio la Banca ha
sviluppato un modello che si basa anche sull'analisi della
movimentazione di conto di pagamento in un arco temporale di 12 mesi.
In particolare, analizza la movimentazione di conto di pagamento
sulla base dei dati ricavabili dai rapporti, anche cointestati,
intrattenuti presso di se', presso Banche del Gruppo e, in presenza
di specifico consenso, anche presso altre banche non appartenenti al
Gruppo.
In mancanza di movimentazione, utilizza i dati che ha fornito
direttamente l'interessato o ricavabili dalle dichiarazioni fiscali,
dal bilancio e dalla ulteriore documentazione che gli verra'
eventualmente richiesta.
L'analisi di queste informazioni consente una piu' efficace
valutazione del rischio creditizio, che rappresenta con un indicatore
sintetico (c.d. rating), i cui valori sono suddivisi in classi.
I dati personali utilizzati nell'ambito della profilazione,
funzionale all'attribuzione del rating, sono trattati specificamente
per perseguire le seguenti finalita':
a) per valutare il merito creditizio in caso di presentazione di
una richiesta di affidamento. Il trattamento dei dati personali e'
necessario al fine di dare riscontro alla richiesta;
b) per consentire l'aggiornamento periodico del rating e il
costante monitoraggio del rischio creditizio, anche a livello di
Gruppo, sulla clientela affidata e su quella titolare di un rapporto
di conto di pagamento da piu' di 3 mesi (in quest'ultimo caso,
monitorando il potenziale rischio di credito derivante da possibili
sconfinamenti di conto). Il trattamento dei dati personali e'
obbligatorio in quanto prescritto dalla normativa e non richiede il
consenso;
c) per quanto attiene al trattamento di dati rivenienti da sistemi
informativi gestiti da soggetti privati in tema di crediti al
consumo, affidabilita' e puntualita' nei pagamenti (c.d. SIC), per
perseguire il proprio legittimo interesse insito nella corretta
misurazione del rischio creditizio e nella corretta valutazione
dell'affidabilita' e della puntualita' dei pagamenti. Il trattamento
dei dati personali non compromette i diritti e le liberta'
fondamentali e non richiede il consenso.
Se i dati in possesso della Banca, ivi compresi quelli presenti su
altre Banche del Gruppo, non fossero sufficienti, potrebbe richiedere
ulteriori dati personali; resta inteso che il cliente sara' libero di
scegliere se comunicare o meno i dati relativi a rapporti di conto
intrattenuti presso altre banche.
Qualora la profilazione funzionale all'attribuzione del rating
avvenga nell'ambito di un processo decisionale completamente
automatizzato, sara' fornita una specifica informativa e, ove
necessario, sara' richiesto un consenso esplicito in adempimento di
quanto previsto dall'art. 22 del GDPR "Processo decisionale
automatizzato relativo alle persone fisiche, compresa la
profilazione".
Per quanto concerne la profilazione effettuata per la valutazione
del rischio creditizio di cui sopra, la Banca si avvale di un modello
che elabora ed integra le informazioni provenienti dalle diverse
fonti mediante l'utilizzo di tecniche statistiche e delle migliori
prassi della tecnica creditizia.
In tale processo, nel rispetto delle regole di concessione e di
gestione del credito, la Banca utilizza algoritmi di tipo statistico
che permettono una valutazione altamente predittiva del rischio
creditizio.
I dati personali trattati sono quelli strettamente necessari a
garantire l'accuratezza della valutazione creditizia, l'efficacia
degli algoritmi utilizzati e la loro affidabilita' nel tempo.
Per garantire l'equita' e la correttezza del processo utilizzato,
inoltre, la Banca sottopone i metodi di calcolo di cui si avvale a
verifiche regolari, sia interne sia esterne, affinche' gli stessi
rimangano nel tempo corretti, efficaci e non discriminatori.
A tal fine, ha definito opportuni presidi per garantire nel tempo
tanto il rispetto delle prescrizioni normative, quanto il corretto
funzionamento dei modelli statistici e delle relative logiche di
calcolo. La Banca effettua aggiornamenti periodici delle serie
storiche utilizzate per la stima dei modelli, controlli regolari di
garanzia sulla correttezza dei dati trattati, verifiche regolari sul
funzionamento degli algoritmi utilizzati e dei risultati conseguiti.
Milano, 5 aprile 2024
Isybank S.p.A. - Il presidente
cav. lav. Mario Boselli
TX24AAB3983