Art. 10
Trattamento dei dati personali
1. Ciascun ente erogatore e' il titolare del trattamento dei dati
personali necessari allo svolgimento di ogni iniziativa dallo stesso
attivata e gestita mediante la piattaforma e si avvale del gestore
della piattaforma in qualita' di responsabile del trattamento.
2. Il gestore della piattaforma e' il titolare del trattamento dei
dati personali relativi all'utilizzo da parte dell'utente dell'App IO
o altro canale messo a disposizione dal gestore della piattaforma per
aderire alle iniziative, nonche' dei dati relativi agli strumenti di
pagamento o di acquisto e agli Iban registrati dall'utente. Il
gestore della piattaforma agisce, invece, in qualita' di responsabile
del trattamento ai sensi dell'art. 28 del regolamento (UE) n.
2016/679 per conto di ciascun ente erogatore per i trattamenti,
diversi da quelli di cui al primo periodo del presente comma,
necessari allo svolgimento delle attivita' ad essa affidate
nell'ambito di ogni singola iniziativa.
3. Il gestore della piattaforma detiene un'anagrafica degli
esercenti che supportano la piattaforma e, al fine della corretta
gestione della stessa, tratta i relativi dati personali in qualita'
di titolare del trattamento.
4. Gli issuer convenzionati sono titolari del trattamento dei dati
personali dei propri clienti. Inoltre, gli stessi agiscono in
qualita' di sub-responsabili del trattamento, individuati dal gestore
della piattaforma in virtu' di un'apposita convenzione, limitatamente
allo svolgimento delle attivita' ad essi affidate ai sensi del
presente decreto.
5. Gli acquirer convenzionati sono titolari del trattamento dei
dati personali effettuato nell'ambito delle transazioni da essi
gestite. Inoltre, essi agiscono in qualita' di sub-responsabili del
trattamento, individuati dal gestore della piattaforma in virtu' di
un'apposita convenzione, limitatamente allo svolgimento delle
attivita' ad essi affidate ai sensi del presente decreto.
6. Gli enti di supporto sono titolari del trattamento dei dati
personali di cui alle rispettive banche dati, le quali possono essere
interrogate, nell'ambito della gestione delle iniziative, al fine di
verificare i dati degli utenti per l'adesione.
7. Il gestore della piattaforma deve predisporre la valutazione di
impatto ai sensi dell'art. 35 del regolamento UE 2016/679 ed
effettuare la consultazione preventiva ai sensi dell'art. 36. Nella
valutazione di impatto sono indicate, tra l'altro, le misure tecniche
e organizzative idonee a garantire un livello di sicurezza adeguato
al rischio, nonche' a tutela dei diritti e delle liberta' degli
interessati. Nella valutazione di impatto sono altresi' disciplinati
i tempi e le modalita' di cancellazione dal programma.
8. Ciascun ente erogatore deve predisporre la valutazione di
impatto ed effettuare la consultazione preventiva per i trattamenti
effettuati nell'ambito di ogni singola iniziativa, qualora cio' sia
necessario ai sensi della normativa vigente.
9. I dati personali raccolti ai sensi del presente decreto possono
essere trattati esclusivamente per la finalita' di cui all'art. 2,
comma 1.
10. Il gestore della piattaforma, previa anonimizzazione e
aggregazione, puo' utilizzare i dati acquisiti per finalita' di
miglioramento dei servizi erogati, nonche' per lo sviluppo della
piattaforma e la valorizzazione del patrimonio aziendale.