axerve_logo

Soluciones

Soluciones únicas e integradas para gestionar todas formas de pago en todos canales en línea

Nota informativa sobre el tratamiento de datos personales para usuarios del servicio de pago

(Reglamento UE 2016/679 en adelante el «Reglamento»)

En este documento, Axerve S.p.A. (en adelante la «Empresa») informa a los interesados (los usuarios de un servicio de pago) sobre el tratamiento de datos personales efectuado en el ámbito de los servicios de autorización, procesamiento y gestión de pagos efectuados por la Empresa. En concreto, aquí se facilita información sobre:

  1. ¿Quién es el Responsable del tratamiento de datos?
  2. ¿Cómo es posible ponerse en contacto con el Encargado de protección de datos?
  3. ¿Qué datos son o pueden ser tratados y cuáles son las fuentes de los datos?
  4. ¿Con qué bases jurídicas y con qué fines se tratan los datos?
  5. ¿Por qué la Empresa podría tratar categorías especiales de datos?
  6. ¿A quién se pueden comunicar los datos?
  7. ¿Pueden transferirse los datos fuera del Espacio Económico Europeo?
  8. ¿Durante cuánto tiempo se conservan los datos?
  9. ¿Qué derechos se les reconocen a los interesados?

1. ¿Quién es el Responsable del tratamiento de datos?

El Responsable del tratamiento de los datos personales es Axerve S.p.A. (en adelante el «Responsable») con domicilio social en Biella (BI) - 13900, Piazza Gaudenzio Sella, n.º 1 (Italia) - Tel. +39 015 2526511.

2. ¿Cómo es posible ponerse en contacto con el Encargado de protección de datos?

Es posible ponerse en contacto con el Encargado de protección de datos (en adelante también «DPD – Delegado de Protección de Datos») en las siguientes direcciones:

  • dirección postal de Axerve S.p.A.: Piazza Gaudenzio Sella n.º 1, 13900, Biella - DPD;
  • dirección de correo electrónico: privacy@axerve.com

3. ¿Qué datos son o pueden ser tratados y cuáles son las fuentes de los datos?

El tratamiento tiene por objeto los datos personales del usuario de los servicios de pago (en adelante el «Interesado») realizado en el ámbito del servicio de autorización, procesamiento y gestión de pagos (en adelante el «Servicio») efectuado por la Empresa a favor del operador al que el Interesado realiza una compra online (en adelante el «Operador»).

En particular, la Empresa trata datos pertenecientes a las siguientes categorías:

  • datos de identificación y contacto (como: nombre, apellidos y dirección de correo electrónico);
  • información relativa a las operaciones de pago (como: el objeto de la operación, los datos de la tarjeta utilizada para el pago, el beneficiario y el importe de la operación de pago).

Los datos anteriormente citados se facilitan personalmente a la Empresa mediante la cumplimentación de formularios específicos para la introducción de datos para la operación de pago.

4. ¿Con qué bases jurídicas y con qué fines se tratan los datos?

El tratamiento de los datos personales se realiza exclusivamente cuando existe una de las siguientes bases jurídicas:

  • el interés legítimo del responsable del tratamiento o de terceros para prestar el Servicio de conformidad con el art. 6, apdo. 1 letra f) del Reglamento, después de haberse cerciorado de que la satisfacción de sus propios intereses legítimos o los de terceros no afecta a los derechos y libertades fundamentales de los Interesados;
  • el cumplimiento de una obligación legal a la que está sujeto el Responsable del tratamiento, de conformidad con el art. 6, apdo. 1 letra c) del Reglamento.

Por lo tanto el tratamiento se lleva a cabo cumpliendo las condiciones de licitud previstas por el Reglamento y se limita a lo necesario para llevar a cabo, por parte de la Empresa y/o de terceros en su nombre, las actividades relacionadas e instrumentales para:

  • prestar el Servicio;
  • cumplir las obligaciones legales relacionadas con el Servicio (por ejemplo, cuando sean aplicables: lucha contra el fraude, gestión de reclamaciones, lucha contra el blanqueo de dinero y el terrorismo, etc.);
  • gestionar los litigios judiciales y extrajudiciales.

Con referencia a las finalidades que se han indicado anteriormente, el otorgamiento de los datos es obligatorio y no se requiere el consentimiento para el tratamiento por parte de los Interesados; la no comunicación de uno o más datos imposibilitará la prestación del Servicio.

El tratamiento se realiza con herramientas manuales, informáticas y telemáticas. La Empresa adopta medidas organizativas y técnicas adecuadas para garantizar la seguridad y confidencialidad de los datos personales.

5. ¿Por qué la empresa podría tratar categorías especiales de datos?

La Empresa no trata datos pertenecientes a categorías especiales (por ejemplo: datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos relativos a la salud, la vida sexual o la orientación sexual de una persona física).

En caso de que, debido a la naturaleza del servicio prestado por el Operador, fuera necesario el tratamiento de dicha categoría de datos para prestar el Servicio (por ejemplo: transacciones que prevean la solicitud de pago de cuotas de afiliación a organizaciones políticas/sindicales, pagos a asociaciones religiosas, etc.), de común acuerdo con el Operador, se les solicitará a los Interesados el consentimiento específico para el tratamiento, con arreglo al art. 9 apdo. 2, letra a) del Reglamento.

6. ¿A quién se pueden comunicar los datos?

Los datos personales podrían ser comunicados y/o tratados por las siguientes categorías de sujetos con los mismos fines que se han establecido en el párrafo 4:

  • sujetos públicos en el ámbito de las comunicaciones previstas por la ley (por ejemplo: el Banco de Italia, la UIF);
  • sujetos autónomos (los llamados Acquirers o compradores) que gestionan autorizaciones con tarjetas de crédito o débito pertenecientes a circuitos de crédito y débito nacionales e internacionales;
  • sociedades del Grupo Sella, controladas o vinculadas en virtud del artículo 2359 del Código Civil italiano, en caso de detección de operaciones consideradas sospechosas, así como sociedades del Grupo Sella que proporcionan la infraestructura tecnológica para la prestación del Servicio y actividades de asistencia técnica;
  • en caso de que el Operador se haya suscrito al servicio de prevención de fraudes ofrecido por la empresa, la Sociedad Riskified Ltd., cuya política de privacidad puede consultarse en el siguiente enlace https://www.riskified.com/privacy/.

Dichos sujetos, si se cumplen los requisitos, son nombrados Encargados del tratamiento de datos con arreglo al artículo 28 del Reglamento.

7. ¿Pueden transferirse los datos a países fuera del Espacio Económico Europeo?

La Empresa puede permitir el acceso a los datos, con seguimiento, a la sociedad Sella India Software Services Pvt Ltd., con sede en la India, sobre la base de cláusulas tipo de protección de datos, aprobadas por la Comisión Europea, para garantizar la idoneidad de la protección de datos, para actividades de asistencia técnica, destinadas a investigar y resolver situaciones anómalas, comunicadas por los clientes o empleados de la Empresa. Los datos personales no se conservan en la sociedad extranjera, sino que se accede a ellos a distancia y siguen residiendo en el sistema de información de la Empresa.

Además, si el Operador se ha suscrito al servicio de prevención de fraudes, algunos datos serán transferidos fuera del Espacio Económico Europeo y, concretamente, a Israel, a la sociedad Riskified Ltd, para actividades de verificación de las transacciones con la finalidad de prevenir fraudes. La transferencia está permitida dado que la Comisión Europea ha reconocido a Israel como tercer país que garantiza un nivel adecuado de protección de los datos personales. Asimismo, a través de la sociedad Riskified Ltd., los datos podrían ser transferidos fuera del Espacio Económico Europeo cuando existan las garantías adecuadas o las excepciones específicas previstas por el Reglamento (por ejemplo: Estados Unidos, Suiza y Reino Unido).

Por último, en caso de que sea necesario, la Empresa se reserva la facultad de transferir posteriormente los datos personales a países fuera de la Unión Europea, garantizando que la transferencia solo se realizará a países para los que la Comisión Europea haya reconocido que garantizan un nivel de protección adecuado, o bien cuando existan las garantías adecuadas o las excepciones específicas previstas por el Reglamento.

8. ¿Durante cuánto tiempo se conservan los datos?

Los datos personales son tratados y se conservan durante el periodo de tiempo necesario para lograr los fines de prestación del Servicio, sin perjuicio de los periodos de conservación previstos por la ley y con fines de defensa propia o de terceros, y hasta que venza el plazo de prescripción legal aplicable. En particular, en cumplimiento de las disposiciones del Banco de Italia para la conservación y el suministro de los documentos, los datos y la información con el fin de luchar contra el blanqueo de capitales y la financiación del terrorismo, los datos relativos a la prestación del Servicio (datos de identificación y contacto y datos relativos a las operaciones de pago) se conservan durante 10 años a partir del momento en que finaliza la relación con el Operador.

Una vez finalizado el periodo de conservación, los datos personales relativos a los Interesados se conservarán de forma que no sea posible su identificación (por ejemplo: anonimización irreversible), a menos que su tratamiento sea necesario para uno o varios de los siguientes fines:

  • resolución de precontenciosos y/o litigios iniciados antes del vencimiento del periodo de conservación;
  • dar curso a investigaciones/inspecciones por parte de funciones de control interno y/o autoridades externas iniciadas antes del vencimiento del periodo de conservación;
  • dar curso a solicitudes de las autoridades públicas italianas y/o extranjeras recibidas/notificadas a la Empresa antes del vencimiento del periodo de conservación.

9. ¿Qué derechos se les reconocen a los interesados?

Los sujetos Interesados en el tratamiento pueden ejercer derechos específicos de protección de datos, que se muestran en la siguiente lista:

  1. Derecho de acceso

    Derecho a obtener del Responsable la confirmación de si se están tratando o no datos personales y en ese caso a tener acceso a los datos personales e información detallada sobre el origen, los fines, las categorías de datos tratados, los destinatarios de la comunicación y/o la transferencia de los datos, etc..

  2. Derecho de rectificación

    Derecho a obtener del Responsable la rectificación de los datos personales incorrectos sin retrasos injustificados, así como la integración de los datos personales incompletos, incluso mediante una declaración adicional.

  3. Derecho de supresión («olvido»)

    Derecho a obtener del Responsable la supresión de los datos personales sin retrasos injustificados en caso de que:

    1. los datos personales ya no sean necesarios para los fines del tratamiento;

    2. se haya retirado el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico;

    3. los datos personales hayan sido tratados ilícitamente;

    4. los datos personales deban ser suprimidos para el cumplimiento de una obligación legal.

  4. Derecho a la limitación del tratamiento

    Derecho a obtener del Responsable la limitación del tratamiento, en los casos en que se impugne la exactitud de los datos personales (durante un plazo que permita al Responsable verificar la exactitud de los mismos), si el tratamiento es ilícito y/o el interesado se ha opuesto al tratamiento.

  5. Derecho de oposición al tratamiento

    Derecho a oponerse en cualquier momento al tratamiento de los datos personales que tengan como base jurídica un interés legítimo del Responsable.

  6. Derecho a la portabilidad de datos

    Derecho a recibir los datos personales en un formato estructurado, de uso común y legible de lectura mecánica y a transmitirlos a otro Responsable del tratamiento, cuando sea técnicamente posible, solo para los casos en los que el tratamiento se base en el consentimiento o en el contrato y únicamente para los datos tratados con instrumentos electrónicos.

  7. Derecho de presentar una reclamación ante una Autoridad de control

    Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado que considere que el tratamiento que le concierne infringe el Reglamento, tiene derecho a presentar una reclamación ante la Autoridad de control del Estado miembro en que reside o trabaja habitualmente, o en el Estado lugar de la supuesta infracción.

Asimismo le informamos de que tiene derecho a revocar en cualquier momento el consentimiento que haya prestado para tratamientos específicos, sin perjuicio de la licitud del tratamiento realizado antes de su retirada.

Para ejercer los derechos y para cualquier información relacionada con el tratamiento de los datos personales, es posible enviar una solicitud a las siguientes direcciones:

  • dirección postal de Axerve S.p.A.: Piazza Gaudenzio Sella n.º 1, Biella (BI), Italia – 13900;
  • dirección de correo electrónico: privacy@axerve.com

La Empresa facilita información relativa a sus actuaciones sobre la base de una solicitud sin dilación indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud.

Documento actualizado el 28/04/2022