En este documento, Axerve S.p.A. (en adelante la «Empresa») informa a los interesados (los usuarios de un servicio de pago) sobre el tratamiento de datos personales efectuado en el ámbito de los servicios de autorización, procesamiento y gestión de pagos efectuados por la Empresa. En concreto, aquí se facilita información sobre:
El Responsable del tratamiento de los datos personales es Axerve S.p.A. (en adelante el «Responsable») con domicilio social en Biella (BI) - 13900, Piazza Gaudenzio Sella, n.º 1 (Italia) - Tel. +39 015 2526511.
Es posible ponerse en contacto con el Encargado de protección de datos (en adelante también «DPD – Delegado de Protección de Datos») en las siguientes direcciones:
El tratamiento tiene por objeto los datos personales del usuario de los servicios de pago (en adelante el «Interesado») realizado en el ámbito del servicio de autorización, procesamiento y gestión de pagos (en adelante el «Servicio») efectuado por la Empresa a favor del operador al que el Interesado realiza una compra online (en adelante el «Operador»).
En particular, la Empresa trata datos pertenecientes a las siguientes categorías:
Los datos anteriormente citados se facilitan personalmente a la Empresa mediante la cumplimentación de formularios específicos para la introducción de datos para la operación de pago.
El tratamiento de los datos personales se realiza exclusivamente cuando existe una de las siguientes bases jurídicas:
Por lo tanto el tratamiento se lleva a cabo cumpliendo las condiciones de licitud previstas por el Reglamento y se limita a lo necesario para llevar a cabo, por parte de la Empresa y/o de terceros en su nombre, las actividades relacionadas e instrumentales para:
Con referencia a las finalidades que se han indicado anteriormente, el otorgamiento de los datos es obligatorio y no se requiere el consentimiento para el tratamiento por parte de los Interesados; la no comunicación de uno o más datos imposibilitará la prestación del Servicio.
El tratamiento se realiza con herramientas manuales, informáticas y telemáticas. La Empresa adopta medidas organizativas y técnicas adecuadas para garantizar la seguridad y confidencialidad de los datos personales.
La Empresa no trata datos pertenecientes a categorías especiales (por ejemplo: datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos relativos a la salud, la vida sexual o la orientación sexual de una persona física).
En caso de que, debido a la naturaleza del servicio prestado por el Operador, fuera necesario el tratamiento de dicha categoría de datos para prestar el Servicio (por ejemplo: transacciones que prevean la solicitud de pago de cuotas de afiliación a organizaciones políticas/sindicales, pagos a asociaciones religiosas, etc.), de común acuerdo con el Operador, se les solicitará a los Interesados el consentimiento específico para el tratamiento, con arreglo al art. 9 apdo. 2, letra a) del Reglamento.
Los datos personales podrían ser comunicados y/o tratados por las siguientes categorías de sujetos con los mismos fines que se han establecido en el párrafo 4:
Dichos sujetos, si se cumplen los requisitos, son nombrados Encargados del tratamiento de datos con arreglo al artículo 28 del Reglamento.
La Empresa puede permitir el acceso a los datos, con seguimiento, a la sociedad Sella India Software Services Pvt Ltd., con sede en la India, sobre la base de cláusulas tipo de protección de datos, aprobadas por la Comisión Europea, para garantizar la idoneidad de la protección de datos, para actividades de asistencia técnica, destinadas a investigar y resolver situaciones anómalas, comunicadas por los clientes o empleados de la Empresa. Los datos personales no se conservan en la sociedad extranjera, sino que se accede a ellos a distancia y siguen residiendo en el sistema de información de la Empresa.
Además, si el Operador se ha suscrito al servicio de prevención de fraudes, algunos datos serán transferidos fuera del Espacio Económico Europeo y, concretamente, a Israel, a la sociedad Riskified Ltd, para actividades de verificación de las transacciones con la finalidad de prevenir fraudes. La transferencia está permitida dado que la Comisión Europea ha reconocido a Israel como tercer país que garantiza un nivel adecuado de protección de los datos personales. Asimismo, a través de la sociedad Riskified Ltd., los datos podrían ser transferidos fuera del Espacio Económico Europeo cuando existan las garantías adecuadas o las excepciones específicas previstas por el Reglamento (por ejemplo: Estados Unidos, Suiza y Reino Unido).
Por último, en caso de que sea necesario, la Empresa se reserva la facultad de transferir posteriormente los datos personales a países fuera de la Unión Europea, garantizando que la transferencia solo se realizará a países para los que la Comisión Europea haya reconocido que garantizan un nivel de protección adecuado, o bien cuando existan las garantías adecuadas o las excepciones específicas previstas por el Reglamento.
Los datos personales son tratados y se conservan durante el periodo de tiempo necesario para lograr los fines de prestación del Servicio, sin perjuicio de los periodos de conservación previstos por la ley y con fines de defensa propia o de terceros, y hasta que venza el plazo de prescripción legal aplicable. En particular, en cumplimiento de las disposiciones del Banco de Italia para la conservación y el suministro de los documentos, los datos y la información con el fin de luchar contra el blanqueo de capitales y la financiación del terrorismo, los datos relativos a la prestación del Servicio (datos de identificación y contacto y datos relativos a las operaciones de pago) se conservan durante 10 años a partir del momento en que finaliza la relación con el Operador.
Una vez finalizado el periodo de conservación, los datos personales relativos a los Interesados se conservarán de forma que no sea posible su identificación (por ejemplo: anonimización irreversible), a menos que su tratamiento sea necesario para uno o varios de los siguientes fines:
Los sujetos Interesados en el tratamiento pueden ejercer derechos específicos de protección de datos, que se muestran en la siguiente lista:
Derecho a obtener del Responsable la confirmación de si se están tratando o no datos personales y en ese caso a tener acceso a los datos personales e información detallada sobre el origen, los fines, las categorías de datos tratados, los destinatarios de la comunicación y/o la transferencia de los datos, etc..
Derecho a obtener del Responsable la rectificación de los datos personales incorrectos sin retrasos injustificados, así como la integración de los datos personales incompletos, incluso mediante una declaración adicional.
Derecho a obtener del Responsable la supresión de los datos personales sin retrasos injustificados en caso de que:
los datos personales ya no sean necesarios para los fines del tratamiento;
se haya retirado el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico;
los datos personales hayan sido tratados ilícitamente;
los datos personales deban ser suprimidos para el cumplimiento de una obligación legal.
Derecho a obtener del Responsable la limitación del tratamiento, en los casos en que se impugne la exactitud de los datos personales (durante un plazo que permita al Responsable verificar la exactitud de los mismos), si el tratamiento es ilícito y/o el interesado se ha opuesto al tratamiento.
Derecho a oponerse en cualquier momento al tratamiento de los datos personales que tengan como base jurídica un interés legítimo del Responsable.
Derecho a recibir los datos personales en un formato estructurado, de uso común y legible de lectura mecánica y a transmitirlos a otro Responsable del tratamiento, cuando sea técnicamente posible, solo para los casos en los que el tratamiento se base en el consentimiento o en el contrato y únicamente para los datos tratados con instrumentos electrónicos.
Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado que considere que el tratamiento que le concierne infringe el Reglamento, tiene derecho a presentar una reclamación ante la Autoridad de control del Estado miembro en que reside o trabaja habitualmente, o en el Estado lugar de la supuesta infracción.
Asimismo le informamos de que tiene derecho a revocar en cualquier momento el consentimiento que haya prestado para tratamientos específicos, sin perjuicio de la licitud del tratamiento realizado antes de su retirada.
Para ejercer los derechos y para cualquier información relacionada con el tratamiento de los datos personales, es posible enviar una solicitud a las siguientes direcciones:
La Empresa facilita información relativa a sus actuaciones sobre la base de una solicitud sin dilación indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud.