In questa pagina, Axerve S.p.A. (di seguito l’“Azienda”) informa gli interessati (gli utilizzatori di un servizio di pagamento) in merito al trattamento dei dati personali svolto nell’ambito dei servizi di autorizzazione, elaborazione e regolamento di pagamenti erogati dalla stessa. In particolare, sono qui fornite informazioni su:
Il Titolare del trattamento dei dati personali è Axerve S.p.A. (di seguito, il “Titolare”) con sede in Biella (BI) - 13900, in Piazza Gaudenzio Sella, n. 1 - Tel. 015 2526511.
Il Responsabile della protezione dei dati (di seguito anche “DPO – Data Protection Officer”) può essere contattato ai seguenti recapiti:
Il trattamento ha ad oggetto i dati personali dell’utente dei servizi di pagamento (di seguito, “Interessato”) svolto nell’ambito del servizio di autorizzazione, elaborazione e regolamento di pagamenti (di seguito, il “Servizio”) erogato dall’Azienda in favore dell’esercente presso il quale l’Interessato effettua un acquisto online (di seguito, l’Esercente).
In particolare, l’Azienda tratta dati appartenenti alle seguenti alle seguenti categorie:
I sopraelencati dati sono personalmente conferiti all’Azienda mediante la compilazione di specifici form per l’inserimento dei dati per l’operazione di pagamento.
Il trattamento dei dati personali è effettuato esclusivamente in presenza di una delle seguenti basi giuridiche:
Il trattamento, pertanto, è svolto nel rispetto delle condizioni di liceità previste dal Regolamento ed è limitato a quanto necessario allo svolgimento, da parte dell’Azienda e/o di terzi per conto della medesima, delle attività connesse e strumentali a:
Con riferimento alle finalità sopra indicate, il conferimento dei dati è obbligatorio e non è richiesto il consenso al trattamento da parte degli Interessati; la mancata comunicazione di uno o più dati renderà impossibile l’esecuzione del Servizio.
Il trattamento è effettuato attraverso strumenti manuali, informatici e telematici. L’Azienda adotta misure organizzative e tecniche adeguate a garantire la sicurezza e la riservatezza dei dati personali.
L’Azienda non tratta dati appartenenti a categorie particolari (ad esempio: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona).
Qualora, per la natura del servizio reso dall’Esercente, fosse necessario il trattamento di tale categoria di dati per l’esecuzione del Servizio (ad esempio: transazioni che prevedono la richiesta di pagamento di quote associative ad organizzazioni politiche/sindacali, pagamenti ad associazioni religiose, ecc.), d’intesa con l’Esercente, sarà richiesto agli Interessati specifico consenso al trattamento, ai sensi dell’art. 9 par. 2, lett. a) del Regolamento.
I dati personali potrebbero essere comunicati e/o trattati dalle seguenti categorie di soggetti, per le medesime finalità espresse al paragrafo 4:
Tali soggetti, qualora ne ricorrano i presupposti, sono nominati Responsabili del trattamento dei dati, ai sensi dell’art. 28 del Regolamento.
L’Azienda può permettere l’accesso ai dati, in modalità tracciata, alla società Sella India Software Services Private Limited, con sede in India, sulla base di clausole contrattuali tipo, approvate della Commissione Europea, a garanzia dell'adeguatezza della protezione dei dati, per attività di assistenza tecnica, finalizzata all'approfondimento e risoluzione di situazioni anomale, segnalate dai clienti o dai dipendenti dell’Azienda. I dati personali non sono conservati presso la società estera, ma sono oggetto di accesso da remoto continuando, i medesimi, a risiedere presso il sistema informativo dell’Azienda.
Inoltre, qualora l’Esercente abbia aderito al servizio di prevenzione frodi, alcuni dati saranno trasferiti al di fuori dello Spazio Economico Europeo e, nello specifico, in Israele, alla società Riskified Ltd, per attività di verifica delle transazioni con finalità di prevenzione frodi. Il trasferimento è ammesso poiché la Commissione Europea ha riconosciuto l’Israele come Paese terzo che garantisce un livello di protezione adeguato ai dati personali. Tramite la società Riskified Ltd., i dati potrebbero inoltre essere trasferiti al di fuori dello Spazio Economico Europeo in presenza di adeguate garanzie o delle specifiche deroghe previste dal Regolamento (es. Stati Uniti, Svizzera, Regno Unito).
Qualora necessario, l’Azienda si riserva, infine, di trasferire ulteriormente i dati personali verso Paesi al di fuori dell’Unione Europea garantendo che il trasferimento avverrà esclusivamente verso Paesi per i quali la Commissione Europea abbia riconosciuto che essi garantiscono un livello di protezione adeguato, ovvero in presenza di adeguate garanzie o delle specifiche deroghe previste dal Regolamento.
I dati personali sono trattati e conservati per il periodo di tempo necessario al conseguimento della finalità di erogazione del Servizio, fatti salvi i termini di conservazione previsti dalla legge e per finalità difensive proprie o di terzi e fino alla scadenza del periodo di prescrizione di legge applicabile. In particolare, in ottemperanza alle disposizioni della Banca d’Italia per la conservazione e la messa a disposizione dei documenti, dei dati e delle informazioni per il contrasto del riciclaggio e del finanziamento del terrorismo, i dati inerenti all’esecuzione del Servizio (dati identificativi e di contatto e relativi alle operazioni di pagamento) sono conservati per 10 anni dalla chiusura del rapporto con l’Esercente.
Al termine del periodo di conservazione, i dati personali riferibili agli Interessati saranno conservati in una forma che non ne consenta l’identificazione (ad esempio: anonimizzazione irreversibile), a meno che il loro trattamento non sia necessario per uno o più dei seguenti scopi:
I soggetti Interessati dal trattamento possono esercitare specifici diritti sulla protezione dei dati, riportati nel seguente elenco:
Diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali e in tal caso, di ottenere l’accesso ai dati personali ed informazioni di dettaglio riguardo l’origine, le finalità, le categorie di dati trattati, destinatari di comunicazione e/o trasferimento dei dati ed altro ancora.
Diritto di ottenere dal Titolare la rettifica dei dati personali inesatti senza ingiustificato ritardo, nonché l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto di ottenere dal Titolare la cancellazione dei dati personali senza ingiustificato ritardo nel caso in cui:
i dati personali non sono più necessari rispetto alle finalità del trattamento;
il consenso su cui si basa il trattamento è revocato e non sussiste altro fondamento giuridico per il trattamento;
i dati personali sono stati trattati illecitamente;
i dati personali devono essere cancellati per adempiere un obbligo legale.
Diritto di ottenere dal Titolare la limitazione del trattamento, nei casi in cui sia contestata l’esattezza dei dati personali (per il periodo necessario al Titolare per verificare l’esattezza di tali dati personali), se il trattamento è illecito e/o l’interessato si è opposto al trattamento.
Diritto di opporsi in qualsiasi momento al trattamento dei dati personali che hanno come base giuridica un interesse legittimo del Titolare.
Diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali e di trasmettere tali dati ad altro Titolare del trattamento, se tecnicamente fattibile, solo per i casi in cui il trattamento sia basato sul consenso o sul contratto e per i soli dati trattati tramite strumenti elettronici.
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo all'Autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, ovvero dello Stato in cui si è verificata la presunta violazione.
La informiamo, inoltre, che ha il diritto di revocare in qualsiasi momento il consenso eventualmente prestato per specifici trattamenti, fermo restando la liceità del trattamento eseguito antecedentemente alla revoca.
Per esercitare i diritti e per qualsiasi informazione riguardo al trattamento dei dati personali, è possibile inoltrare una richiesta ai seguenti recapiti:
L’Azienda fornisce informazioni relative all’azione intrapresa riguardo alla richiesta senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della stessa.