POS Easy: Scegli l'offerta adatta a te! Scopri la promo

POS Easy: Scegli l'offerta adatta a te! In collaborazione con Scopri la promo

axerve_logo
Soluzioni

Soluzioni Punto Vendita

Scopri di più
POS Easy a canone POS Easy a commissioni Offerta POS su misura Cashin

Payment Gateway

Scopri di più
Prodotti e Servizi Vantaggi Sicurezza Metodi di Pagamento

Payment Orchestra™

Scopri di più
Funzionalità Vantaggi Abilitatori

Vendere Online

Scopri di più
Negozio online EasyAxerve Pay by Link
Approfondimenti
Documentazione
Assistenza
Accedi

Informativa sul trattamento dei dati personali per utilizzatori dei servizi di pagamento

(Regolamento UE 2016/679 di seguito “Regolamento”)

In questo documento, Axerve S.p.A. (di seguito l’“Azienda”) informa gli interessati in merito al trattamento dei dati personali svolto nell’ambito del proprio servizio di abilitazione di servizi di autorizzazione, elaborazione e regolamento di pagamenti. In particolare, sono qui fornite informazioni su:

  1. Chi è il Titolare del trattamento dei dati?
  2. Come contattare il Responsabile della protezione dei dati?
  3. Quali dati sono o possono essere oggetto del trattamento e quali sono le fonti dei dati?
  4. Su quali basi giuridiche e per quali finalità sono trattati i dati?
  5. A chi possono essere comunicati i dati?
  6. I dati possono essere trasferiti al di fuori dello Spazio Economico Europeo?
  7. Per quanto tempo sono conservati i dati?
  8. Quali sono i diritti riconosciuti agli interessati?

1. Chi è il Titolare del trattamento dei dati?

Il Titolare del trattamento dei dati personali è Axerve S.p.A. (di seguito, il “Titolare”) con sede in Biella (BI) - 13900, in Piazza Gaudenzio Sella, n. 1 - Tel. 015 2526511.

2. Come contattare il Responsabile della protezione dei dati?

Il Responsabile della protezione dei dati (di seguito anche “DPO – Data Protection Officer”) può essere contattato ai seguenti recapiti:

  • indirizzo postale di Axerve S.p.A.: Piazza Gaudenzio Sella n. 1, 13900, Biella;
  • indirizzo e-mail: privacy@axerve.com

3. Quali dati sono o possono essere oggetto del trattamento e quali sono le fonti dei dati?

Il trattamento ha ad oggetto i dati personali dell’utilizzatore dei servizi di pagamento (di seguito, “Interessato”) svolto nell’ambito del servizio di abilitazione di servizi di autorizzazione, elaborazione e regolamento dei pagamenti tramite qualunque strumento di pagamento tra l’esercente presso il quale è effettuato un acquisto online (di seguito, l’Esercente) e l’Interessato che effettua l’acquisto, consentendo all’Esercente di accettare e incassare pagamenti elettronici tramite terze parti(di seguito, il “Servizio”).

In particolare, l’Azienda tratta dati appartenenti alle seguenti alle seguenti categorie:

  • dati identificativi e di contatto (quali: nome, cognome, indirizzo e-mail);
  • informazioni relative alle operazioni di pagamento (quali: dati della carta della quale si avvale per il pagamento, oggetto, Esercente beneficiario e importo dell’operazione di pagamento).

I sopraelencati dati sono personalmente conferiti all’Azienda mediante la compilazione di specifici form per l’inserimento dei dati per l’operazione di pagamento.

4. Su quali basi giuridiche e per quali finalità sono trattati i dati?

Il trattamento dei dati personali è effettuato, da parte dell’Azienda e/o di terzi per conto della medesima, esclusivamente in presenza di una delle seguenti basi giuridiche ed è limitato al perseguimento delle correlate finalità:

  • esecuzione di un contratto di cui l'interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso, ai sensi dell’art. 6 par. 1 lett. b) del Regolamento, al fine di dare esecuzione al Servizio;
  • adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento, ai sensi dell’art. 6 par. 1 lett. c) del Regolamento e in particolare al fine di adempiere agli obblighi connessi al Servizio (ad esempio, laddove applicabili: gestione dei reclami, antiriciclaggio e antiterrorismo etc.);
  • qualora l’Esercente presso il quale è effettuato l’acquisto abbia aderito al servizio di prevenzione frodi, legittimo interesse del titolare del trattamento o di terzi alla prevenzione delle frodi nei pagamenti, ai sensi dell’art. 6 par. 1 lett. f) del Regolamento, al fine di analizzare il livello di rischio frode delle transazioni.

Con riferimento alle finalità sopra indicate, il conferimento dei dati è obbligatorio e non è richiesto il consenso al trattamento da parte degli Interessati; la mancata comunicazione di uno o più dati renderà impossibile l’esecuzione del Servizio.

Il trattamento è effettuato attraverso strumenti manuali, informatici e telematici. L’Azienda adotta misure organizzative e tecniche adeguate a garantire la sicurezza e la riservatezza dei dati personali.

5. A chi possono essere comunicati i dati?

I dati personali potrebbero essere comunicati e/o trattati dalle seguenti categorie di soggetti, per le medesime finalità espresse al paragrafo 4.

  • soggetti pubblici nell’ambito di comunicazioni previste normativamente (es. autorità di vigilanza);
  • soggetti indipendenti (c.d. acquirer) che provvedono alla gestione dei pagamenti con carte di credito o di debito appartenenti a circuiti di credito e debito nazionali e internazionali;
  • società del Gruppo Sella, controllate o collegate ai sensi dell’art. 2359 c.c., nel caso di rilevazione di operazioni ritenute sospette, nonché società del Gruppo Sella che forniscono l’infrastruttura tecnologica per l’erogazione del Servizio e attività di assistenza tecnica;
  • qualora l’Esercente abbia aderito al servizio di prevenzione frodi offerto dall’Azienda, la Società Riskified Ltd., la cui privacy policy è consultabile al seguente link https://www.riskified.com/privacy/

Tali soggetti, qualora ne ricorrano i presupposti, sono nominati Responsabili del trattamento dei dati, ai sensi dell’art. 28 del Regolamento.

6. I dati possono essere trasferiti verso paesi al di fuori dello Spazio Economico Europeo?

L’Azienda può permettere l’accesso ai dati, in modalità tracciata, alla società Sella India Software Services Private Limited, con sede in India, sulla base di clausole contrattuali tipo, approvate della Commissione Europea, a garanzia dell'adeguatezza della protezione dei dati, per attività di assistenza tecnica, finalizzata all'approfondimento e risoluzione di situazioni anomale, segnalate dai clienti o dai dipendenti dell’Azienda. I dati personali non sono conservati presso la società estera, ma sono oggetto di accesso da remoto continuando, i medesimi, a risiedere presso il sistema informativo dell’Azienda.

Inoltre, qualora l’Esercente abbia aderito al servizio di prevenzione frodi, alcuni dati saranno trasferiti al di fuori dello Spazio Economico Europeo e, nello specifico, in Israele, alla società Riskified Ltd, per finalità di analisi del livello di rischio frode. Il trasferimento è ammesso poiché la Commissione Europea ha riconosciuto l’Israele come Paese terzo che garantisce un livello di protezione adeguato ai dati personali. Tramite la società Riskified Ltd., i dati potrebbero inoltre essere trasferiti al di fuori dello Spazio Economico Europeo in presenza di adeguate garanzie o delle specifiche deroghe previste dal Regolamento (es. Stati Uniti).

7. Per quanto tempo sono conservati i dati?

I dati personali sono trattati e conservati per il periodo di tempo necessario al conseguimento della finalità di erogazione del Servizio, fatti salvi i termini di conservazione previsti dalla legge e per finalità difensive proprie o di terzi e fino alla scadenza del periodo di prescrizione di legge applicabile. In particolare, in ottemperanza alle disposizioni della Banca d’Italia per la conservazione e la messa a disposizione dei documenti, dei dati e delle informazioni per il contrasto del riciclaggio e del finanziamento del terrorismo, laddove applicabile, i dati inerenti all’esecuzione del Servizio (dati identificativi e di contatto e relativi alle operazioni di pagamento) sono conservati per 10 anni dalla chiusura del rapporto con l’Esercente.

Al termine del periodo di conservazione, i dati personali riferibili agli Interessati saranno conservati in una forma che non ne consenta l’identificazione (ad esempio: anonimizzazione irreversibile), a meno che il loro trattamento non sia necessario per uno o più dei seguenti scopi:

  • risoluzione di precontenziosi e/o contenziosi avviati prima della scadenza del periodo di conservazione;
  • dare seguito ad indagini/ispezioni da parte di funzioni di controllo interno e/o autorità esterne avviati prima della scadenza del periodo di conservazione;
  • dare seguito a richieste della pubblica autorità italiana e/o estera pervenute/notificate all’Azienda prima della scadenza del periodo di conservazione.

8. Quali sono i diritti riconosciuti agli interessati?

I soggetti Interessati dal trattamento possono esercitare specifici diritti sulla protezione dei dati, riportati nel seguente elenco:

  1. Diritto di accesso

    Diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali e in tal caso, di ottenere l’accesso ai dati personali ed informazioni di dettaglio riguardo l’origine, le finalità, le categorie di dati trattati, destinatari di comunicazione e/o trasferimento dei dati ed altro ancora.

  2. Diritto di rettifica

    Diritto di ottenere dal Titolare la rettifica dei dati personali inesatti senza ingiustificato ritardo, nonché l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

  3. Diritto alla cancellazione (“oblio”)

    Diritto di ottenere dal Titolare la cancellazione dei dati personali senza ingiustificato ritardo nel caso in cui:

    1. i dati personali non sono più necessari rispetto alle finalità del trattamento;

    2. il consenso su cui si basa il trattamento è revocato e non sussiste altro fondamento giuridico per il trattamento;

    3. i dati personali sono stati trattati illecitamente;

    4. i dati personali devono essere cancellati per adempiere un obbligo legale.

  4. Diritto alla limitazione del trattamento

    Diritto di ottenere dal Titolare la limitazione del trattamento, nei casi in cui sia contestata l’esattezza dei dati personali (per il periodo necessario al Titolare per verificare l’esattezza di tali dati personali), se il trattamento è illecito e/o l’interessato si è opposto al trattamento.

  5. Diritto di opposizione al trattamento

    Diritto di opporsi in qualsiasi momento al trattamento dei dati personali che hanno come base giuridica un interesse legittimo del Titolare.

  6. Diritto alla portabilità dei dati

    Diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali e di trasmettere tali dati ad altro Titolare del trattamento, se tecnicamente fattibile, solo per i casi in cui il trattamento sia basato sul consenso o sul contratto e per i soli dati trattati tramite strumenti elettronici.

  7. Diritto di proporre un reclamo a un’Autorità di controllo

    Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo all'Autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, ovvero dello Stato in cui si è verificata la presunta violazione.

La informiamo, inoltre, che ha il diritto di revocare in qualsiasi momento il consenso eventualmente prestato per specifici trattamenti, fermo restando la liceità del trattamento eseguito antecedentemente alla revoca.

Per esercitare i diritti e per qualsiasi informazione riguardo al trattamento dei dati personali, è possibile inoltrare una richiesta ai seguenti recapiti:

  • indirizzo postale di Axerve S.p.A.: Piazza Gaudenzio Sella n. 1, 13900, Biella;
  • indirizzo e-mail: privacy@axerve.com

L’Azienda fornisce informazioni relative all’azione intrapresa riguardo alla richiesta senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della stessa.

Documento aggiornato al 21/12/2022