Privacy - Trattamento dei dati personali raccolti tramite App Digital Banking
Informativa ai sensi dell’art. 13 Regolamento UE 2016/679 “Regolamento generale sulla protezione dei dati personali”, in seguito GDPR.
Banca Monte dei Paschi di Siena S.p.A. (nel prosieguo anche la Banca) in qualità di Titolare del trattamento, fornisce la presente informativa in merito al trattamento dei dati personali connessi all’utilizzo della App relativa al Digital Banking (in seguito, il Servizio).
Tipologia dei dati trattati
La Banca, sempre attenta agli aspetti di sicurezza e protezione dei dati della propria clientela, ha implementato la propria App tramite la quale accedere al Digital Banking con software in grado di proteggere i servizi online dagli attacchi come il dirottamento delle credenziali, la manomissione delle transazioni e le frodi nei pagamenti.
Per garantire che il Servizio sia erogato in assoluta sicurezza, la Banca ha necessità di acquisire durante l'uso dell'App, alcune informazioni, di seguito dettagliate, le quali possono identificare in modo univoco il suo smartphone:
- posizione del dispositivo: la geolocalizzazione non avviene con la funzionalità GPS dell’apparato, bensì tramite la geolocalizzazione dell’indirizzo IP a cui è collegato il dispositivo; ciò allo scopo di verificare eventuali collegamenti provenienti da aree geografiche diverse (e potenzialmente “sospette”) rispetto a quelle dalle quali l’utente svolge la propria consueta operatività;
- informazioni sul dispositivo: vengono acquisite informazioni sul device utilizzato dall’utente, ossia modello, impostazioni, versione del sistema operativo, versione bluetooth, IMEI, device UUID, IMSI, ICCID della SIM card, al fine di verificare eventuali accessi al servizio effettuati con strumenti difformi da quelli usualmente utilizzati dal cliente;
- informazioni sulle applicazioni in esecuzione: il sistema di sicurezza adottato permette di verificare se altre applicazioni in esecuzione sul dispositivo dell’utente, al momento dell’utilizzo dell’App Banca MPS, sono riconosciute come malevole e potenzialmente pericolose. Questo avviene senza tuttavia poter accedere ad eventuali dati personali in esse specificatamente utilizzati o a dati memorizzati sul dispositivo. In caso di rilevazione di App malevoli o pericolose l’accesso all’App Banca MPS viene inibito.
- informazioni sulla connessione Wi-Fi: vengono raccolte informazioni tecniche sulla rete Wi-Fi utilizzata dal dispositivo dell’utente per verificare la sicurezza della connessione.
I suddetti dati che possono identificare puntualmente il soggetto fruitore del Servizio, sono considerati dati personali ai sensi dell’art. 4, comma 1 del GDPR (per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, anche indirettamente, mediante l’associazione con altre informazioni in possesso del titolare del trattamento).
Ciò potrebbe accadere sia nel caso in cui Lei sia già cliente della Banca (in quanto i dati acquisiti con il Servizio potrebbero essere associati ad altri già in possesso della Banca), o anche nel caso in cui non lo fosse, poiché i dati in questione potrebbero essere condivisi con il suo gestore di rete.
Qualora Lei fosse già cliente della Banca, Le precisiamo che la presente informativa, specifica per il Servizio, integra le informazioni sul trattamento dei dati personali già fornite ai sensi degli artt. 13 e 14 del GDPR in occasione del rapporto con lei instaurato.
Finalità del trattamento dei dati
I dati sopra indicati sono utilizzati dalla Banca esclusivamente per finalità di sicurezza nella fruizione del Servizio erogato e specificatamente per proteggere i) l’operatività che l’utente stesso può effettuare tramite le reti informatiche, ii) i sistemi e i data base della Banca ove sono custoditi i dati personali, da potenziali attacchi come il dirottamento delle credenziali, la manomissione delle transazioni e le frodi nei pagamenti. La Banca non utilizzerà le informazioni così acquisite per ulteriori scopi. Le precisiamo che non è necessaria l'acquisizione del Suo consenso al trattamento dei dati raccolti, dal momento che la base giuridica che ne legittima il trattamento, da parte della Banca è l’esecuzione del contratto con Lei instaurato. Qualora, invece, Lei non sia cliente e volesse comunque scaricare e tentare l’accesso all’App - sebbene la stessa non sia fruibile in mancanza di rapporti accesi con la Banca - la base di liceità è la manifestazione del consenso, da intendersi rilasciata mediante il tasto “autorizzo l’accesso alle informazioni”.
Modalità di trattamento dei dati
I Suoi dati sono trattati con strumenti manuali, informatici e telematici, con logiche strettamente correlate alle suddette finalità, in modo da garantirne la sicurezza e riservatezza. Le suddette informazioni, acquisite esclusivamente per ragioni di sicurezza e conservate in ambiente segregato e distinto rispetto ad altri repository nei quali sono detenuti differenti tipologie di dati personali afferenti all’interessato (ad esempio, dati concernenti la situazione economica del cliente, le operazioni bancarie effettuate, i dati anagrafici e di contatto) sono trattate in conformità all’art. 32 del GDPR atteso che la Banca, in qualità di titolare del trattamento – anche ai sensi dell’art. 5, comma 1, lettera f del GDPR – è tenuta a garantire un livello di sicurezza adeguato al rischio, tenuto conto del contesto riferito all’App “Banca MPS” del servizio Digital Banking tramite la quale l’utente può impartire o effettuare operazioni anche di natura economica sui propri rapporti.
Tempo di conservazione dei dati
I Suoi dati vengono conservati per il tempo strettamente necessario all’adempimento delle finalità per cui sono stati raccolti, nel rispetto dei termini prescrizionali o dei diversi termini eventualmente stabiliti dalla legge per la relativa conservazione o, per un tempo maggiore, nel caso in cui sia necessario conservarli per esigenze di tutela dei diritti del Titolare. Le precisiamo che per il servizio di sicurezza integrato all’interno della App i dati sopra indicati sono conservati per 30 giorni, trascorsi i quali gli stessi sono cancellati.
Diritti dell'interessato
In relazione alle finalità del trattamento, Le è riconosciuto l’esercizio dei diritti previsti dagli artt. 15 e seguenti del GDPR, in particolare il diritto di:
- accesso, ovvero di ottenere la conferma dell'esistenza o meno di dati personali che La riguardano, di conoscerne l'origine, nonché la logica e le finalità su cui si basa il trattamento, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati, la determinazione del periodo di conservazione qualora sia possibile definirlo;
- rettificare i dati inesatti;
- cancellazione (c.d. diritto all’oblio), nel caso in cui i dati non siano più necessari rispetto alle finalità della raccolta e successivo trattamento, ovvero nel caso in cui l’interessato abbia revocato il consenso al trattamento (laddove detto consenso sia previsto come facoltativo ovvero non sussista altro fondamento giuridico per il trattamento);
- limitazione, il diritto di ottenere da parte della Banca la limitazione dell'accesso ai dati personali da parte di tutti i soggetti che hanno un contratto di servizio ovvero un contratto di lavoro con la Banca. In alcuni casi la Banca si riserva di consentire l'accesso ad un ristretto numero di persone allo scopo di garantire comunque la sicurezza, l'integrità e la correttezza dei suddetti dati;
- portabilità, il diritto di ricevere in un formato strutturato e di uso comune e leggibile da dispositivo automatico i dati personali che riguardano l’interessato, con possibilità di trasmetterli ad un altro Titolare. Tale diritto non si applica ai trattamenti non automatizzati (ad esempio, archivi o registri cartacei); inoltre, sono oggetto di portabilità solo i dati trattati con il consenso dell’interessato e solo se i dati sono stati forniti dall’interessato medesimo;
- opposizione, cioè il diritto di opporsi al trattamento per motivi connessi alla Sua situazione particolare;
- reclamo da inviare al Garante per la Protezione dei dati personali, piazza Venezia n. 11 – 00187 Roma (garante@gpdp.it; telefono + 39 06 69677.1; fax + 39 06 69677.3785).
Per l’esercizio dei diritti di cui sopra potrà rivolgersi direttamente alla filiale presso la quale sono intrattenuti i rapporti e/o qualsiasi altra filiale a Lei più vicina, ovvero allo Staff DPO e Advisory Privacy, Via A. Moro 11/13 - 53100 Siena (fax + 39 0577 296520; email: privacy@mps.it).
Presso tale Funzione è disponibile l'elenco completo ed aggiornato dei Responsabili, interni ed esterni alla Banca.
Titolare del trattamento e Responsabile della Protezione dei Dati
Titolare del trattamento è la Banca Monte dei Paschi di Siena S.p.A. con sede a Siena in Piazza Salimbeni n. 3.
Il Responsabile della Protezione dei Dati (o Data Protection Officer-DPO) è il Responsabile pro tempore dello Staff DPO e Advisory Privacy, contattabile ai seguenti recapiti di posta certificata responsabileprotezionedeidati@postacert.gruppo.mps.it e di posta ordinaria responsabileprotezionedeidati@mps.it, a cui l’interessato può rivolgersi per tutte le questioni relative al trattamento dei propri dati personali e per l’esercizio dei diritti previsti dal GDPR.