POS Easy 1,4% di commissioni e il 70% di sconto sul POS! Scopri la promo

POS Easy 1,4% di commissioni e il 70% di sconto sul POS! Scopri la promo

Informativa sul trattamento dei dati personali per utilizzatori dei servizi di pagamento

(Regolamento UE 2016/679 di seguito “Regolamento”)

In questa pagina, Axerve S.p.A. (di seguito l’“Azienda”) informa gli interessati (gli utilizzatori di un servizio di pagamento) in merito al trattamento dei dati personali svolto nell’ambito dei servizi di autorizzazione, elaborazione e regolamento di pagamenti erogati dalla stessa. In particolare, sono qui fornite informazioni su:

  1. Chi è il Titolare del trattamento dei dati?
  2. Come contattare il Responsabile della protezione dei dati?
  3. Quali dati sono o possono essere oggetto del trattamento e quali sono le fonti dei dati?
  4. Su quali basi giuridiche e per quali finalità sono trattati i dati?
  5. Perché l’Azienda potrebbe trattare categorie particolari di dati?
  6. A chi possono essere comunicati i dati?
  7. I dati possono essere trasferiti al di fuori dello Spazio Economico Europeo?
  8. Per quanto tempo sono conservati i dati?
  9. Quali sono i diritti riconosciuti agli interessati?

1. Chi è il Titolare del trattamento dei dati?

Il Titolare del trattamento dei dati personali è Axerve S.p.A. (di seguito, il “Titolare”) con sede in Biella (BI) - 13900, in Piazza Gaudenzio Sella, n. 1 - Tel. 015 2526511.

2. Come contattare il Responsabile della protezione dei dati?

Il Responsabile della protezione dei dati (di seguito anche “DPO – Data Protection Officer”) può essere contattato ai seguenti recapiti:

  • indirizzo postale di Axerve S.p.A.: Piazza Gaudenzio Sella n. 1, 13900, Biella;
  • indirizzo e-mail: privacy@axerve.com

3. Quali dati sono o possono essere oggetto del trattamento e quali sono le fonti dei dati?

Il trattamento ha ad oggetto i dati personali dell’utente dei servizi di pagamento (di seguito, “Interessato”) svolto nell’ambito del servizio di autorizzazione, elaborazione e regolamento di pagamenti (di seguito, il “Servizio”) erogato dall’Azienda in favore dell’esercente presso il quale l’Interessato effettua un acquisto online (di seguito, l’Esercente).

In particolare, l’Azienda tratta dati appartenenti alle seguenti alle seguenti categorie:

  • dati identificativi e di contatto (quali: nome, cognome, indirizzo e-mail);
  • informazioni relative alle operazioni di pagamento (quali: oggetto dell’operazione, dati della carta della quale si avvale per il pagamento, beneficiario e importo dell’operazione di pagamento).

I sopraelencati dati sono personalmente conferiti all’Azienda mediante la compilazione di specifici form per l’inserimento dei dati per l’operazione di pagamento.

4. Su quali basi giuridiche e per quali finalità sono trattati i dati?

Il trattamento dei dati personali è effettuato esclusivamente in presenza di una delle seguenti basi giuridiche:

  • legittimo interesse del titolare del trattamento o di terzi di dare esecuzione al Servizio ai sensi dell’art. 6 par. 1 lett. f) del Regolamento, dopo aver appurato che il perseguimento dei propri interessi legittimi o di quelli di terzi non comprometta i diritti e le libertà fondamentali degli Interessati;
  • adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento, ai sensi dell’art. 6 par. 1 lett. c) del Regolamento.

Il trattamento, pertanto, è svolto nel rispetto delle condizioni di liceità previste dal Regolamento ed è limitato a quanto necessario allo svolgimento, da parte dell’Azienda e/o di terzi per conto della medesima, delle attività connesse e strumentali a:

  • l’esecuzione del Servizio;
  • l’adempimento degli obblighi legali connessi al Servizio (ad esempio, laddove applicabili: antifrode, gestione dei reclami, antiriciclaggio e antiterrorismo etc.);
  • gestione del contenzioso giudiziale e stragiudiziale.

Con riferimento alle finalità sopra indicate, il conferimento dei dati è obbligatorio e non è richiesto il consenso al trattamento da parte degli Interessati; la mancata comunicazione di uno o più dati renderà impossibile l’esecuzione del Servizio.

Il trattamento è effettuato attraverso strumenti manuali, informatici e telematici. L’Azienda adotta misure organizzative e tecniche adeguate a garantire la sicurezza e la riservatezza dei dati personali.

5. Perché l’Azienda potrebbe trattare categorie particolari di dati?

L’Azienda non tratta dati appartenenti a categorie particolari (ad esempio: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona).

Qualora, per la natura del servizio reso dall’Esercente, fosse necessario il trattamento di tale categoria di dati per l’esecuzione del Servizio (ad esempio: transazioni che prevedono la richiesta di pagamento di quote associative ad organizzazioni politiche/sindacali, pagamenti ad associazioni religiose, ecc.), d’intesa con l’Esercente, sarà richiesto agli Interessati specifico consenso al trattamento, ai sensi dell’art. 9 par. 2, lett. a) del Regolamento.

6. A chi possono essere comunicati i dati?

I dati personali potrebbero essere comunicati e/o trattati dalle seguenti categorie di soggetti, per le medesime finalità espresse al paragrafo 4:

  • soggetti pubblici nell’ambito di comunicazioni previste normativamente (es. Banca d’Italia, UIF);
  • soggetti indipendenti (c.d. Acquirer) che provvedono alla gestione delle autorizzazioni con carte di credito o di debito appartenenti a circuiti di credito e debito nazionali e internazionali;
  • società del Gruppo Sella, controllate o collegate ai sensi dell’art. 2359 c.c., nel caso di rilevazione di operazioni ritenute sospette, nonché società del Gruppo Sella che forniscono l’infrastruttura tecnologica per l’erogazione del Servizio e attività di assistenza tecnica;
  • qualora l’Esercente abbia aderito al servizio di prevenzione frodi offerto dall’azienda, la Società Riskified Ltd., la cui privacy policy è consultabile al seguente link https://www.riskified.com/privacy/.

Tali soggetti, qualora ne ricorrano i presupposti, sono nominati Responsabili del trattamento dei dati, ai sensi dell’art. 28 del Regolamento.

7. I dati possono essere trasferiti verso paesi al di fuori dello Spazio Economico Europeo?

L’Azienda può permettere l’accesso ai dati, in modalità tracciata, alla società Sella India Software Services Private Limited, con sede in India, sulla base di clausole contrattuali tipo, approvate della Commissione Europea, a garanzia dell'adeguatezza della protezione dei dati, per attività di assistenza tecnica, finalizzata all'approfondimento e risoluzione di situazioni anomale, segnalate dai clienti o dai dipendenti dell’Azienda. I dati personali non sono conservati presso la società estera, ma sono oggetto di accesso da remoto continuando, i medesimi, a risiedere presso il sistema informativo dell’Azienda.

Inoltre, qualora l’Esercente abbia aderito al servizio di prevenzione frodi, alcuni dati saranno trasferiti al di fuori dello Spazio Economico Europeo e, nello specifico, in Israele, alla società Riskified Ltd, per attività di verifica delle transazioni con finalità di prevenzione frodi. Il trasferimento è ammesso poiché la Commissione Europea ha riconosciuto l’Israele come Paese terzo che garantisce un livello di protezione adeguato ai dati personali. Tramite la società Riskified Ltd., i dati potrebbero inoltre essere trasferiti al di fuori dello Spazio Economico Europeo in presenza di adeguate garanzie o delle specifiche deroghe previste dal Regolamento (es. Stati Uniti, Svizzera, Regno Unito).

Qualora necessario, l’Azienda si riserva, infine, di trasferire ulteriormente i dati personali verso Paesi al di fuori dell’Unione Europea garantendo che il trasferimento avverrà esclusivamente verso Paesi per i quali la Commissione Europea abbia riconosciuto che essi garantiscono un livello di protezione adeguato, ovvero in presenza di adeguate garanzie o delle specifiche deroghe previste dal Regolamento.

8. Per quanto tempo sono conservati i dati?

I dati personali sono trattati e conservati per il periodo di tempo necessario al conseguimento della finalità di erogazione del Servizio, fatti salvi i termini di conservazione previsti dalla legge e per finalità difensive proprie o di terzi e fino alla scadenza del periodo di prescrizione di legge applicabile. In particolare, in ottemperanza alle disposizioni della Banca d’Italia per la conservazione e la messa a disposizione dei documenti, dei dati e delle informazioni per il contrasto del riciclaggio e del finanziamento del terrorismo, i dati inerenti all’esecuzione del Servizio (dati identificativi e di contatto e relativi alle operazioni di pagamento) sono conservati per 10 anni dalla chiusura del rapporto con l’Esercente.

Al termine del periodo di conservazione, i dati personali riferibili agli Interessati saranno conservati in una forma che non ne consenta l’identificazione (ad esempio: anonimizzazione irreversibile), a meno che il loro trattamento non sia necessario per uno o più dei seguenti scopi:

  • risoluzione di precontenziosi e/o contenziosi avviati prima della scadenza del periodo di conservazione;
  • dare seguito ad indagini/ispezioni da parte di funzioni di controllo interno e/o autorità esterne avviati prima della scadenza del periodo di conservazione;
  • dare seguito a richieste della pubblica autorità italiana e/o estera pervenute/notificate all’Azienda prima della scadenza del periodo di conservazione.

9. Quali sono i diritti riconosciuti agli interessati?

I soggetti Interessati dal trattamento possono esercitare specifici diritti sulla protezione dei dati, riportati nel seguente elenco:

  1. Diritto di accesso

    Diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali e in tal caso, di ottenere l’accesso ai dati personali ed informazioni di dettaglio riguardo l’origine, le finalità, le categorie di dati trattati, destinatari di comunicazione e/o trasferimento dei dati ed altro ancora.

  2. Diritto di rettifica

    Diritto di ottenere dal Titolare la rettifica dei dati personali inesatti senza ingiustificato ritardo, nonché l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

  3. Diritto alla cancellazione (“oblio”)

    Diritto di ottenere dal Titolare la cancellazione dei dati personali senza ingiustificato ritardo nel caso in cui:

    1. i dati personali non sono più necessari rispetto alle finalità del trattamento;

    2. il consenso su cui si basa il trattamento è revocato e non sussiste altro fondamento giuridico per il trattamento;

    3. i dati personali sono stati trattati illecitamente;

    4. i dati personali devono essere cancellati per adempiere un obbligo legale.

  4. Diritto alla limitazione del trattamento

    Diritto di ottenere dal Titolare la limitazione del trattamento, nei casi in cui sia contestata l’esattezza dei dati personali (per il periodo necessario al Titolare per verificare l’esattezza di tali dati personali), se il trattamento è illecito e/o l’interessato si è opposto al trattamento.

  5. Diritto di opposizione al trattamento

    Diritto di opporsi in qualsiasi momento al trattamento dei dati personali che hanno come base giuridica un interesse legittimo del Titolare.

  6. Diritto alla portabilità dei dati

    Diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali e di trasmettere tali dati ad altro Titolare del trattamento, se tecnicamente fattibile, solo per i casi in cui il trattamento sia basato sul consenso o sul contratto e per i soli dati trattati tramite strumenti elettronici.

  7. Diritto di proporre un reclamo a un’Autorità di controllo

    Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo all'Autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, ovvero dello Stato in cui si è verificata la presunta violazione.

La informiamo, inoltre, che ha il diritto di revocare in qualsiasi momento il consenso eventualmente prestato per specifici trattamenti, fermo restando la liceità del trattamento eseguito antecedentemente alla revoca.

Per esercitare i diritti e per qualsiasi informazione riguardo al trattamento dei dati personali, è possibile inoltrare una richiesta ai seguenti recapiti:

  • indirizzo postale di Axerve S.p.A.: Piazza Gaudenzio Sella n. 1, 13900, Biella;
  • indirizzo e-mail: privacy@axerve.com

L’Azienda fornisce informazioni relative all’azione intrapresa riguardo alla richiesta senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della stessa.

Documento aggiornato al 28/04/2022