Avviso di rettifica
Errata corrige
Errata corrige
Avviso di conferimento di un ramo d'azienda ai sensi dell'articolo 58 del Decreto Legislativo 1° settembre 1993, n. 385, ("TUB") ed informativa sui rapporti ceduti e sul trattamento dei dati personali, ai sensi (i) degli artt. 13 e 14 del Regolamento UE n. 679/2016 ("GDPR") e del (ii) del D.Lgs. 30 giugno 2003 n. 196, come modificato dal D.Lgs. 10 agosto 2018 n. 101 ("Codice privacy") Isybank S.p.A. ("ISY", la "Conferitaria", o anche la "Banca") rende noto che con atto pubblico a rogito del Notaio Dott. Carlo Marchetti di Milano in data 11 ottobre 2023, n. rep. 17180 e n. racc. 9202, depositato e iscritto ai sensi dell'art. 2556 c.c. presso il Registro delle Imprese di Torino, con efficacia al 16 ottobre 2023 (la "Data di Efficacia"), Intesa Sanpaolo S.p.A. (il "Conferente" o "ISP") ha conferito a favore della Banca medesima un ramo d'azienda (il "Ramo") come meglio precisato in appresso (il "Conferimento"). Il Ramo e' dettagliatamente descritto nella relazione di stima ("Relazione") allegata all'atto di conferimento e redatta da Deloitte Financial Advisory S.r.l. S.B, quale esperto indipendente nominato ai sensi dell'art. 2343-ter c.c. Sinteticamente detto Ramo comprende attivita', passivita' e rapporti, anche in itinere, organizzati funzionalmente per la gestione dei clienti persone fisiche che utilizzano prevalentemente canali digitali. In particolare, sono oggetto del Conferimento, inter alia, i seguenti contratti: (a) Contratti con la clientela. Si tratta dei (i) contratti di conto corrente in euro intestati a una sola persona fisica (incluso il cosiddetto Conto di Base), con tasso creditore <0,01%, cui sia collegata una o piu' carte di debito XMECard Plus intestate all'intestatario del conto corrente, nonche' dei (ii) contratti relativi a dette Carte di debito XMECard Plus (complessivamente, i "Contratti Conferibili"), e solo a condizione che i Contratti Conferibili siano riferiti a clienti che al contempo non abbiano rilasciato deleghe, non abbiano rapporti su ISP diversi da quelli derivanti dai Contratti Conferibili e infine rispondano ai seguenti requisiti ("Condizioni di Inclusione") in quanto: - siano titolari di soli rapporti in bonis; - abbiano un'eta' compresa tra i 18 anni (al 26 maggio 2023) e i 65 anni (al 31 marzo 2024); - non siano deceduti, interdetti/inabilitati, soggetti sottoposti ad amministrazione di sostegno, liberi professionisti e dipendenti ed ex-dipendenti del gruppo Intesa Sanpaolo, siano classificabili come consumatori ai sensi della normativa vigente, con anagrafiche complete e questionario di adeguata verifica aggiornato, con documenti di identita' rilasciati in Italia, non presenti in Black list e Sanction list Embarghi; - non abbiano reclami o contenziosi in corso, pignoramenti o sequestri in essere, rapporti non movimentati da almeno 9 anni; - siano possessori di un contratto multicanale con ISP o una societa' del gruppo Intesa Sanpaolo e siano clienti prevalentemente digitali (vale a dire clienti che nell'ultimo anno non hanno effettuato operazioni in filiale oppure, se hanno effettuato operazioni in filiale, (i) ne hanno effettuate non piu' di dieci e (ii) in tal caso, ne hanno effettuate almeno altrettante mediante il servizio multicanale); - non abbiano rapporti presso Fideuram Intesa Sanpaolo Private Banking S.p.A.; - non siano titolari di specifici prodotti/servizi accessori quali Viacard, Telepass, ovvero di rapporti "scudati", libretti di assegni, contratti relativi al servizio di rimessa di denaro Western Union; - non siano titolari di un conto corrente ISP sottoscritto post 31 dicembre 2021; - non siano titolari di contratti di conto corrente con uno sconfino continuativo da oltre 6 mesi; - con AFI medie negli ultimi 4 mesi inferiori a Euro 100.000; - non si siano fatti rilasciare preventivi di polizze assicurative nel settore Motor. (b) Contratti di lavoro. Relativi ai 5 dipendenti della struttura organizzativa a servizio del Ramo e ad essa funzionale. In particolare, verranno trasferite 2 risorse area modello operativo, business support e innovation, 1 area business development e products, 1 area personale e assistenza operativa e 1 area controlli. (c) Contratti con parti terze. Si tratta di contratti per la gestione dei clienti in perimetro, oggetto di conferimento, e che sono dettagliati nell'Allegato 1 della Relazione. (d) Contratto relativo all'erogazione dei servizi funzionali al Ramo da parte di ISP verso Isybank. Il Ramo comprende inoltre gli elementi e le poste di cui alla situazione patrimoniale di Conferimento alla data del 30 settembre 2023, riportata nella citata Relazione, e piu' precisamente: i) all'attivo: crediti verso banche, crediti verso clientela, derivati di copertura, attivita' fiscali, marchi e relativi domini (riferiti a Isyprime, Isysmart e Isylight) e ii) al passivo: debiti verso la clientela, passivita' legate al personale, derivati di copertura, adeguamento al valore delle passivita' finanziarie oggetto di copertura generica e altre passivita'. A decorrere dalla Data di Efficacia, pertanto, la Banca e' subentrata di pieno diritto e nel modo piu' ampio e generale alla Conferente in tutto il patrimonio costituente il Ramo oggetto del Conferimento, e pertanto in ogni relativa attivita' e passivita', cosi' come in ogni rapporto contrattuale in essere o in formazione, in modo che essa possa continuare senza soluzione di continuita' nell'esercizio del Ramo come condotto alla Data di Efficacia. Isybank S.p.A. pertanto e' subentrata nella proprieta', nel possesso e nel godimento del Ramo e dei cespiti, sia quanto agli utili e frutti sia quanto ai relativi oneri e rischi nonche' nella proprieta' dei beni in esso compresi e nella titolarita' dei rapporti contrattuali ad esso afferenti. Peraltro, eventuali modificazioni nella consistenza di fatto e di diritto degli elementi attivi o passivi trasferiti, dovute alla dinamica aziendale, che dovessero essersi verificati tra la data di riferimento della Relazione (il 30 settembre) e la Data di Efficacia del Conferimento, daranno luogo ad appositi conguagli fra la Conferente e la Conferitaria, da regolarsi con le modalita' e nei tempi convenuti tra le parti, per modo che resti invariato il valore netto patrimoniale del Ramo, pari ad euro 300.000,00. A servizio del Conferimento, nella stessa Data di Efficacia, la Conferitaria ha emesso in favore di Intesa Sanpaolo S.p.A. n. 300.000 azioni ordinarie, prive di valore nominale, con un aumento di capitale pari ad Euro 300.000,00 (deliberato dall'assemblea straordinaria di ISY in data 11 ottobre 2023 di cui al verbale in pari data a rogito notaio Carlo Marchetti di Milano, n. 17.179/9.201 di rep., debitamente iscritto presso il competente Registro delle Imprese e in corso di registrazione, perche' nei termini), fatti salvi gli adempimenti di cui all'art. 2343 quater c.c.. Ai sensi dell'art. 58 del TUB la comunicazione dell'avvenuto conferimento del suddetto ramo d'azienda viene altresi' depositata per l'iscrizione presso il Registro delle Imprese. La pubblicazione del presente avviso, unitamente agli adempimenti - anche ai fini del recesso per giusta causa - sopra indicati produce gli effetti richiamati dal predetto art. 58 TUB. Ai sensi e per gli effetti dell'atto di Conferimento, il conferimento da parte della Conferente alla Conferitaria comporta necessariamente il trasferimento anche dei dati personali contenuti nei documenti e nelle evidenze informatiche connessi ai predetti rapporti aggiornati sulla base di informazioni acquisite nel corso dei rapporti contrattuali in essere con i titolari dei rapporti ceduti (i "Dati Personali"). In forza del Conferimento Isybank S.p.A. e' divenuta Titolare autonomo del trattamento dei Dati Personali (il "Titolare") ed e' tenuta a fornire ai titolari dei rapporti ceduti (i "Soggetti Interessati") l'informativa di cui agli artt. 13 e 14 del GDPR. Isybank S.p.A. assolve a tale obbligo, anche mediante la presente pubblicazione che si ritiene essere una misura appropriata anche ai sensi dell'art. 14, comma 5, lett. b), secondo periodo, del GDPR. 1. Informativa nei confronti di persone fisiche ai sensi dell'art. 13 e 14 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (di seguito l'"Informativa") 2. A chi e' rivolta questa informativa: chi sono gli interessati A ogni cliente ISY, e quindi a chi ha gia' un rapporto contrattuale o sta per instaurarlo. L'informativa si rivolge anche a tutti coloro che, a vario titolo, sono collegati ai clienti. Infine, l'informativa si rivolge a coloro i cui dati sono stati forniti da altri soggetti nelle fasi precontrattuali o in esecuzione di un contratto e a chi richiede di effettuare un'operazione occasionale. Il suo contenuto riguarda le persone fisiche. Ove vi sia necessita' di modificarla o integrarla, per obblighi normativi o in conseguenza di mutamenti organizzativi, ne sara' data notizia tramite i canali ISY (ad esempio le APP e sito internet). In ogni momento e' possibile consultarne la versione piu' aggiornata nella sezione "Privacy" del sito www.isybank.com e dell'APP isybank. 3. Cosa si intende per trattamento di dati. Chi e' il titolare del trattamento Il GDPR definisce il "dato personale" come "qualsiasi informazione riguardante una persona fisica identificata o identificabile". Il GDPR definisce anche puntualmente cosa si intende per "trattamento", ossia "qualunque operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione". In qualita' di "Titolare del trattamento", la Banca, agendo nel pieno rispetto di principi di correttezza, liceita' e trasparenza, determina i mezzi e le finalita' di ognuna di queste "operazioni'' che coinvolge, anche solo potenzialmente, dei dati personali; tutto cio' garantendo la riservatezza e tutelando appieno i diritti degli interessati. 4. Quali dati personali sono trattati I dati personali che la Banca tratta e protegge appartengono alle seguenti categorie: a) dati identificativi e anagrafici, come il nome e il cognome, la denominazione, il codice fiscale, la partita IVA, la data e il luogo di nascita, l'indirizzo di residenza/domicilio, il domicilio fiscale, l'indirizzo di corrispondenza, il genere, la nazionalita', e i dati relativi ai documenti identificativi; b) dati relativi all'immagine, come la fotografia presente sul documento identificativo; c) dati di contatto, come il numero del telefono fisso e del cellulare, l'indirizzo e-mail e la PEC; d) dati relativi alla situazione personale e familiare, come lo stato civile e la composizione del nucleo familiare; e) dati finanziari, economici, patrimoniali, creditizi; f) dati inerenti ai rapporti intrattenuti con la Banca, come i dati transazionali, la classificazione secondo la direttiva europea MIFID e il rating creditizio; g) dati appartenenti a categorie "particolari", ad esempio i dati biometrici e i dati relativi alla salute. Si tratta dei dati che in passato erano definiti "sensibili" e richiedono una protezione "particolare" ed uno specifico consenso; h) dati giudiziari relativi a condanne penali e a reati o a misure di sicurezza. 5. Perche' la banca chiede di fornire i dati La Banca ha bisogno dei dati per istruire, concludere e dare corretta esecuzione ai contratti e per adempiere ai relativi obblighi di legge. Se l'interessato decidera' di non fornire i dati, la Banca si trovera' nell'impossibilita' di attivare i servizi richiesti. 6. Fonte dei dati e modalita' di trattamento I dati che la Banca tratta possono avere provenienza: Diretta: se comunicati dall'interessato nelle occasioni in cui ha interagito con la Banca; Indiretta: se raccolti da terzi o da fonti accessibili al pubblico (ad esempio dalla Camera di Commercio e da Albi Professionali), in osservanza delle normative di riferimento. I dati sono trattati mediante strumenti manuali, informatici e telematici e ne viene garantita la sicurezza e la riservatezza. 7. Su quali basi si fondano i trattamenti effettuati e per quali finalita' Il trattamento dei dati personali e' lecito solamente se la sua finalita' e' sostenuta da una base giuridica valida, ricompresa cioe' tra quelle previste dal GDPR. In corrispondenza dei diversi fondamenti giuridici previsti, sono qui indicati sinteticamente i trattamenti effettuati dalla Banca e le relative finalita'. a) Consenso (art. 6.1 lettera a) del GDPR e art. 9.2 lettera a) del GDPR) La Banca effettua attivita' di marketing diretto e indiretto e di profilazione, ed in particolare: - svolge attivita' funzionali alla promozione e vendita di prodotti e servizi di societa' del Gruppo Intesa Sanpaolo o di societa' terze ed effettua indagini di mercato e di customer satisfaction sia attraverso l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore e di comunicazioni elettroniche (posta elettronica, SMS, MMS o di altro tipo), sia attraverso l'uso di posta cartacea e di chiamate telefoniche tramite operatore; - attraverso l'elaborazione delle informazioni del cliente (ad esempio movimenti di conto di pagamento, variazioni della situazione economica, ubicazione e spostamenti) e l'individuazione di categorie (cluster) valuta e prevede aspetti riguardanti, tra gli altri, interessi, preferenze, scelte di consumo ed abitudini, al fine di offrire prodotti e servizi sempre piu' personalizzati e adeguati. La Banca tratta dati appartenenti a categorie "particolari" solo se strettamente necessario per finalita' specifiche, ad esempio per l'erogazione di servizi e prodotti nell'ambito di iniziative ad impatto sociale e welfare. Questi trattamenti sono possibili solo se e' il cliente che ha rilasciato il consenso per la specifica finalita'. Vige sempre e comunque il diritto di revocare la totalita' o parte dei consensi rilasciati. b) Contratto e misure precontrattuali (art. 6.1 lettera b) del GDPR) Per prestare i servizi richiesti e dare esecuzione ai contratti o agli atti relativi alle fasi precontrattuali. c) Obbligo di legge (art. 6.1 lettera c) del GDPR) Per adempiere a prescrizioni normative, ad esempio in ambito fiscale e in materia di antiriciclaggio, di anticorruzione e di prevenzione delle frodi nei servizi di pagamento. Per adempiere a disposizioni dell'Autorita', ad esempio in relazione al monitoraggio dei rischi operativi e creditizi a livello di gruppo bancario. d) Legittimo interesse (art. 6.1 lettera f) del GDPR) La Banca persegue interessi legittimi propri o di terzi, che si dimostrino leciti, concreti e specifici, dopo aver appurato che cio' non comprometta i diritti e le liberta' fondamentali degli interessati. Tra questi rientrano, ad esempio, la sicurezza fisica, la sicurezza dei sistemi IT e delle reti, la prevenzione delle frodi e la produzione di statistiche. L'elenco completo degli interessi legittimi perseguiti e' descritto al punto 17 "Gli interessi legittimi" sempre disponibile nella versione piu' aggiornata nella sezione "Privacy" del sito www.isybank.com. 8. Il trattamento dei dati per valutare il rischio di credito La normativa europea impone alle banche di valutare e aggiornare il rischio di credito, in modo che sia garantita la stabilita' e l'adeguatezza del patrimonio del Gruppo Intesa Sanpaolo. Per questo motivo, ISY elabora i dati dei clienti con una tecnica di profilazione che le consente di valutare e tenere aggiornato lo stato di salute "finanziaria" del cliente, calcolando un punteggio di rischiosita' (rating) in base ai movimenti e agli eventuali sconfinamenti dei conti di pagamento accesi presso il Gruppo e, se autorizzata dal cliente, anche dei conti intrattenuti presso altre banche. Il sistema di valutazione utilizza anche dati forniti con altri documenti, ad esempio fiscali o di bilancio. Il rating cosi' calcolato sara' preso in considerazione, insieme ad altre informazioni e parametri, anche per: - fornire un riscontro quando viene richiesto un finanziamento, un fido o una carta di credito; - valutare l'affidabilita' e puntualita' nei pagamenti, per del titolare di un finanziamento. La metodologia e le logiche di questo trattamento sono descritte al punto 18 "La valutazione profilata del rischio creditizio", disponibile anche nella sezione "Privacy" del sito www.isybank.com. 9. Chi potrebbe ricevere i dati La Banca puo' comunicare i dati ad altri soggetti, sia all'interno che all'esterno dell'Unione Europea, ma solo per le specifiche finalita' indicate in informativa secondo le basi giuridiche previste dal GDPR. Possono essere destinatari dei dati: a) le Autorita' e i soggetti nei confronti dei quali la comunicazione dei dati e' dovuta in adempimento di obblighi normativi; b) i sistemi pubblici informativi istituiti presso le pubbliche amministrazioni. Tra questi: - la Centrale Rischi presso Banca d'Italia; - l'Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP); - il Sistema pubblico di prevenzione amministrativa delle frodi nel settore del credito al consumo con specifico riferimento al furto di identita' (SCIPAFI); - l'Anagrafe tributaria - Archivio dei rapporti con operatori finanziari; c) soggetti appartenenti al Gruppo Intesa Sanpaolo; d) soggetti con i quali sono intrattenuti accordi di natura commerciale; e) soggetti che operano nei seguenti settori: - servizi bancari, finanziari ed assicurativi; - sistemi e circuiti di pagamento; - rilevazione rischi finanziari a scopo di prevenzione e controllo del rischio di insolvenza; - recupero e gestione di beni e di crediti; - esattoria e tesoreria; - sicurezza fisica (ad esempio guardiania e videosorveglianza); - fornitura e gestione di procedure e sistemi informatici e di telecomunicazioni; - sicurezza informatica; - libera professione (ad esempio periti, notai e legali, anche in ambito contenzioso); - revisione contabile e consulenza in genere; - rilevazione della qualita' dei servizi ed analisi e ricerche di mercato; - informazione e promozione commerciale di prodotti e/o servizi; - gestione dei rapporti con la clientela (ad esempio in relazione alla comunicazione e all'assistenza); - logistica; - archiviazione di dati e di documenti (sia in forma cartacea che elettronica). L'elenco puntuale dei destinatari dei dati personali e' disponibile su richiesta. 10. Trasferimento dei dati fuori dall'unione europea o a organizzazioni internazionali Di norma la Banca tratta i dati all'interno dell'Unione Europea. Tuttavia, per motivi tecnici od operativi, potrebbe trasferirli verso: - paesi al di fuori dell'Unione Europea o organizzazioni internazionali che, secondo quanto stabilito dalla Commissione Europea, garantiscono un livello di protezione adeguato; - altri paesi, basandosi, in questo caso, su una delle "garanzie adeguate" o su una delle specifiche deroghe previste dal GDPR. Inoltre, i dati contenuti nella messaggistica riguardante trasferimenti finanziari (es. bonifici esteri) possono essere trasmessi, per esclusivi fini di prevenzione e di contrasto del terrorismo e del suo finanziamento, alle Autorita' pubbliche degli Stati Uniti d'America, con cui l'Unione Europea ha concluso uno specifico accordo. 11. Per quanto tempo la banca conserva i dati Per obbligo di legge i dati vengono conservati per un periodo di 10 anni a decorrere dalla chiusura del rapporto contrattuale o, quando sono stati raccolti in virtu' di una operazione occasionale, a decorrere dalla data stessa dell'operazione. Sono trattati per un periodo maggiore esclusivamente nei casi espressamente previsti dalla legge o per perseguire un interesse legittimo, della Banca o di terzi. 12. Come contattare la banca Questi sono i riferimenti utili di contatto: - Titolare del trattamento: Isybank S.p.A. - Sede legale: via Monte di Pieta' 8 - 20121 Milano - dpo@intesasanpaolo.com - privacy@pec.intesasanpaolo.com - www.isybank.com 13. Chi e' il "Responsabile della protezione dei dati'' e come contattarlo Il "Responsabile della protezione dei dati'' (DPO - Data Protection Officer) e' una figura di garanzia che la Banca ha provveduto a nominare, cosi' come espressamente richiesto dal GDPR. L'interessato puo' rivolgersi al DPO per tutte le questioni relative al trattamento dei suoi dati personali e per esercitare i diritti previsti dal GDPR, contattandolo al seguente indirizzo e-mail: dpo@intesasanpaolo.com 14. Quali sono i diritti dell'interessato Il GDPR riconosce all'interessato i seguenti diritti: Opposizione (ex art.21 GDPR): qualora i suoi dati personali siano trattati dalla Banca per finalita' di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento e all'eventuale attivita' di profilazione ad esso connessa; se esercita questo diritto, i dati personali non saranno piu' oggetto di trattamento per questa finalita'. L'interessato puo' esercitare il diritto di opporsi anche relativamente ai trattamenti che la Banca effettua per eseguire compiti di interesse pubblico, per esercitare pubblici poteri o per perseguire un legittimo interesse proprio o di terzi. In questi casi il trattamento non sara' piu' effettuato a meno che non ci siano motivi che obbligano la Banca a procedere oppure esso sia necessario per accertare, esercitare o difendere in giudizio un diritto. Processo decisionale automatizzato compresa la profilazione (ex art.22 GDPR): di norma la Banca non assume decisioni basate unicamente sul trattamento automatizzato dei dati personali se non in specifici ambiti ed esclusivamente quando la decisione e' relativa alla conclusione o l'esecuzione di un contratto, si basa su un consenso esplicito oppure e' autorizzata dalla legge. Nei primi due casi (contratto e consenso) la Banca garantisce il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione. L'interessato ha sempre il diritto di ricevere informazioni significative sulla logica utilizzata, sull'importanza e sulle conseguenze dei trattamenti automatizzati. Accesso (ex art.15 GDPR): l'interessato ha il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, di avere informazioni sul trattamento in corso e di ricevere copia dei dati. Cancellazione (ex art.17 GDPR): il GDPR prevede una serie di casi in cui l'interessato ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano (ad esempio se i dati non sono piu' necessari rispetto alle finalita' per le quali sono stati trattati oppure se ha revocato il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per attuarlo). Limitazione (ex art.18 GDPR): il GDPR prevede una serie di casi in cui l'interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano (ad esempio per il periodo necessario ad effettuare le opportune verifiche sui dati personali dei quali ha contestato l'esattezza). Portabilita' (ex art.20 GDPR): il GDPR prevede una serie di casi in cui l'interessato ha il diritto di ricevere i dati personali che ha fornito e che lo riguardano in un formato strutturato, di uso comune e leggibile da un dispositivo automatico. Il GDPR tutela altresi' il diritto di trasmettere questi dati a un altro titolare del trattamento senza impedimenti da parte della Banca. Rettifica (ex art.16 GDPR): l'interessato ha il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano e l'integrazione dei dati incompleti. Reclamo (ex art.77 GDPR): se l'interessato ritiene che il trattamento dei suoi dati da parte della Banca stia avvenendo in violazione della normativa sul trattamento dei dati personali, ha diritto di proporre reclamo all'Autorita' Garante per la protezione dei dati personali competente. I diritti dell'interessato sono descritti piu' dettagliatamente nel documento "Focus sui tuoi diritti" disponibile sulla sezione "Privacy" del sito www.isybank.com. 15. Perche' vengono richiesti dei "consensi" Come descritto al punto 7, le azioni di marketing diretto e indiretto e di profilazione commerciale, effettuate dalla Banca, sono subordinate all'esistenza di specifici consensi che il cliente potra' rilasciare, permettendo cosi' alla Banca di predisporre migliori proposte commerciali. 16. Contatti e modulistica per l'esercizio dei diritti Nella sezione "Privacy" del sito www.isybank.com e' accessibile il modulo utilizzabile per l'esercizio dei diritti. Per esercitare i diritti scrivere a: - dpo@intesasanpaolo.com - privacy@pec.intesasanpaolo.com - Isybank S.p.A., c/o Privacy - Intesa Sanpaolo S.p.A., Piazza San Carlo, 156 - 10121 Torino Tutte le azioni e le comunicazioni necessarie sono effettuate gratuitamente. Solo qualora dovessero dimostrarsi manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, la Banca potra' addebitare all'interessato un contributo spese, tenendo conto dei costi amministrativi sostenuti, oppure rifiutarsi di soddisfarle. 17. Gli interessi legittimi L'art. 6.1, lettera f) del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 autorizza la Banca a trattare i dati personali degli interessati senza la necessita' di richiedere un consenso, laddove il trattamento sia necessario per il perseguimento di un legittimo interesse proprio o di terzi, a condizione che tale interesse non prevalga sugli interessi, sui diritti e sulle liberta' fondamentali dell'interessato. La Banca fornisce qui l'elenco degli interessi legittimi propri o di terzi che sono perseguiti con riferimento alla propria operativita'. Ai sensi dell'art. 21 del GDPR, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano, qualora il trattamento venga effettuato per il perseguimento di un interesse della Banca, compresa l'attivita' di profilazione. In caso di opposizione, la Banca si asterra' dal trattare ulteriormente i dati personali a meno che non vi siano motivi legittimi per procedere al trattamento (motivi prevalenti su interessi, diritti e liberta' di chi si oppone), oppure il trattamento sia necessario per l'accertamento, l'esercizio o la difesa in giudizio di un diritto. Per un'informazione esaustiva in relazione ai diritti che il GDPR riconosce in relazione al trattamento dei dati personali, e' consultabile il documento "Focus sui tuoi diritti" presente nella sezione "Privacy" del sito www.isybank.com. Elenco degli interessi legittimi: a) presidio della sicurezza fisica, intesa come sicurezza delle persone e del patrimonio aziendale, anche attraverso l'acquisizione di immagini e video nell'ambito di sistemi di videosorveglianza; b) presidio della sicurezza dei sistemi IT e delle reti a tutela della riservatezza, integrita' e disponibilita' dei dati personali; c) adozione di presidi idonei alla prevenzione delle frodi e di altri rischi (ad esempio in materia di responsabilita' amministrativa degli enti, di antiriciclaggio e di anticorruzione) in adempimento di obblighi giuridici gravanti sul Titolare; d) esercizio e difesa di un diritto (compreso il diritto di credito), in qualsiasi sede; e) trasmissione di dati personali all'interno del gruppo societario a fini amministrativi interni; f) trattamento di dati personali di soggetti terzi nell'ambito dell'esecuzione di accordi e/o contratti con controparti della Banca, anche in fase precontrattuale; g) svolgimento di attivita' non riconducibili all'esecuzione di contratti ma pertinenti al rapporto di clientela (ad esempio assistenza e "caring" alla clientela); h) gestione di operazioni societarie e strategiche quali, ad esempio fusioni, scissioni e cessioni di ramo d'azienda; i) sviluppo e aggiornamento di modelli predittivi e descrittivi attraverso la produzione di statistiche e di reportistica con le seguenti finalita': - definizione di nuovi prodotti e servizi; - verifica delle performance di prodotti e servizi per il miglioramento degli stessi; - verifica dell'efficacia di processi e/o dell'operativita' delle strutture; - miglioramento della Data Quality; - costruzione di modelli generali di comportamento della clientela basati su analisi statistiche di informazioni di tipo quanti/qualitativo con lo scopo di mantenere adeguato lo standard dell'offerta di prodotti e servizi alle esigenze della clientela; - miglioramento dell'esperienza dell'utente sui siti web e sulle applicazioni. 18. La valutazione profilata del rischio creditizio La normativa europea in materia di vigilanza prudenziale prescrive alle banche di valutare al proprio interno il rischio creditizio e di mantenere costantemente aggiornata tale valutazione al fine di garantire la propria stabilita' e adeguatezza patrimoniale anche a livello di Gruppo Bancario. Per misurare al proprio interno il rischio creditizio la Banca ha sviluppato un modello che si basa anche sull'analisi della movimentazione di conto di pagamento in un arco temporale di 12 mesi. In particolare, analizza la movimentazione di conto di pagamento sulla base dei dati ricavabili dai rapporti, anche cointestati, intrattenuti presso di se', presso Banche del Gruppo e, in presenza di specifico consenso, anche presso altre banche non appartenenti al Gruppo. In mancanza di movimentazione, utilizza i dati che ha fornito direttamente l'interessato o ricavabili dalle dichiarazioni fiscali, dal bilancio e dalla ulteriore documentazione che gli verra' eventualmente richiesta. L'analisi di queste informazioni consente una piu' efficace valutazione del rischio creditizio, che rappresenta con un indicatore sintetico (c.d. rating), i cui valori sono suddivisi in classi. I dati personali utilizzati nell'ambito della profilazione, funzionale all'attribuzione del rating, sono trattati specificamente per perseguire le seguenti finalita': a) per valutare il merito creditizio in caso di presentazione di una richiesta di affidamento. Il trattamento dei dati personali e' necessario al fine di dare riscontro alla richiesta; b) per consentire l'aggiornamento periodico del rating e il costante monitoraggio del rischio creditizio, anche a livello di Gruppo, sulla clientela affidata e su quella titolare di un rapporto di conto di pagamento da piu' di 3 mesi (in quest'ultimo caso, monitorando il potenziale rischio di credito derivante da possibili sconfinamenti di conto). Il trattamento dei dati personali e' obbligatorio in quanto prescritto dalla normativa e non richiede il consenso; c) per quanto attiene al trattamento di dati rivenienti da sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei pagamenti (c.d. SIC), per perseguire il proprio legittimo interesse insito nella corretta misurazione del rischio creditizio e nella corretta valutazione dell'affidabilita' e della puntualita' dei pagamenti. Il trattamento dei dati personali non compromette i diritti e le liberta' fondamentali e non richiede il consenso. Se i dati in possesso della Banca, ivi compresi quelli presenti su altre Banche del Gruppo, non fossero sufficienti, potrebbe richiedere ulteriori dati personali; resta inteso che il cliente sara' libero di scegliere se comunicare o meno i dati relativi a rapporti di conto intrattenuti presso altre banche. Qualora la profilazione funzionale all'attribuzione del rating avvenga nell'ambito di un processo decisionale completamente automatizzato, sara' fornita una specifica informativa e, ove necessario, sara' richiesto un consenso esplicito in adempimento di quanto previsto dall'art. 22 del GDPR "Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione". Per quanto concerne la profilazione effettuata per la valutazione del rischio creditizio di cui sopra, la Banca si avvale di un modello che elabora ed integra le informazioni provenienti dalle diverse fonti mediante l'utilizzo di tecniche statistiche e delle migliori prassi della tecnica creditizia. In tale processo, nel rispetto delle regole di concessione e di gestione del credito, la Banca utilizza algoritmi di tipo statistico che permettono una valutazione altamente predittiva del rischio creditizio. I dati personali trattati sono quelli strettamente necessari a garantire l'accuratezza della valutazione creditizia, l'efficacia degli algoritmi utilizzati e la loro affidabilita' nel tempo. Per garantire l'equita' e la correttezza del processo utilizzato, inoltre, la Banca sottopone i metodi di calcolo di cui si avvale a verifiche regolari, sia interne sia esterne, affinche' gli stessi rimangano nel tempo corretti, efficaci e non discriminatori. A tal fine, ha definito opportuni presidi per garantire nel tempo tanto il rispetto delle prescrizioni normative, quanto il corretto funzionamento dei modelli statistici e delle relative logiche di calcolo. La Banca effettua aggiornamenti periodici delle serie storiche utilizzate per la stima dei modelli, controlli regolari di garanzia sulla correttezza dei dati trattati, verifiche regolari sul funzionamento degli algoritmi utilizzati e dei risultati conseguiti. Milano, 25 ottobre 2023 Isybank S.p.A. - Il presidente cav. Mario Boselli TX23AAB10560