Privacy policy

 

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 679/2016 in materia di protezione dei dati personali (in seguito GDPR) la Associazione di Mutua Assistenza fra il Personale della Banca Monte dei Paschi di Siena S.p.a. (ovvero, la Società), in qualità di Titolare del trattamento dei Suoi dati personali, La informa sul loro utilizzo e sui Suoi diritti, affinché Lei possa manifestare in maniera libera e consapevole il Suo consenso, ove richiesto.

1. Fonte dei dati personali

I Suoi dati personali (consistenti, a titolo esemplificativo, in nome, cognome, residenza, codice fiscale, numero di telefono fisso e mobile, indirizzo di posta elettronica, indirizzo IP, geolocalizzazione) vengono raccolti dalla Società direttamente da Lei – anche tramite mezzi di comunicazione a distanza nel caso in cui, ad esempio, siano forniti via web o tramite telefonata - ovvero presso terzi nell’ipotesi in cui la Società, nel rispetto delle disposizioni di legge, acquisisca i dati da soggetti esterni, al fine di adempiere alla normativa vigente (ad esempio, in materia di antiriciclaggio, o per adempimenti in materia di FATCA - Foreign Account Tax Compliance Act – e CRS - Common Reporting Standard).

In ogni caso, tutti i dati comunque acquisiti dalla Società vengono trattati in ossequio alle disposizioni impartite dal GDPR, nonché agli obblighi di riservatezza cui si è sempre ispirata l’attività della medesima. Tra i dati oggetto di raccolta e trattamento rientra anche il numero di un documento d’identità: ciò avviene talora a seguito di disposizione normativa, talora per l’esercizio di obblighi derivanti dal contratto o per adempiere a richieste precontrattuali; può essere richiesta anche la fotocopia del documento di riconoscimento nel caso in cui una disposizione normativa ne preveda espressamente l’acquisizione e la conservazione, oppure qualora la Società debba poter dimostrare di avere identificato l’interessato con modalità più accurate, stante il particolare contesto della propria operatività.

 

2. Categorie particolari di dati

In relazione a specifiche operazioni o servizi da Lei richiesti la Società può venire in possesso di dati definiti

“particolari” perché da essi possono desumersi l’eventuale Sua appartenenza ad associazioni o informazioni sul Suo stato di salute, la Sua origine razziale o etnica. Per il loro trattamento, Le chiediamo una Sua specifica manifestazione di consenso che troverà nell’apposita sezione del modulo riprodotto di seguito alla presente informativa.

Rientrano nella categoria di dati particolari anche i dati biometrici, ovvero i dati ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

 

3. Finalità del trattamento dei dati

I Suoi dati personali sono trattati nell’ambito dell’attività della Società per:

  • finalità connesse agli obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di Vigilanza e di Controllo (ad esempio, raccolta e registrazione dei dati in ottemperanza a quanto richiesto dalla vigente normativa in materia di usura, antiriciclaggio, FATCA e CRS, tenuta della contabilità, trasparenza, ecc.). Per tale finalità non è richiesto il Suo preventivo consenso al trattamento dei dati, dal momento che la base giuridica che ne legittima il trattamento è la necessità di disporre di dati personali per adempiere ad un obbligo di legge al quale è soggetto il Titolare del trattamento: il conferimento dei dati, pertanto, è necessario;
  • finalità strettamente connesse e strumentali alla gestione dei rapporti con Lei instaurati, nonché adempimenti connessi a specifiche Sue richieste (ad esempio, acquisizione di informazioni preliminari alla conclusione di un contratto, adempimento degli obblighi e tutela dei diritti derivanti dai contratti con Lei stipulati, adempimento di operazioni da lei richieste anche di natura occasionale). Per tale finalità non è richiesto il Suo preventivo consenso al trattamento dei dati, dal momento che la base giuridica che ne legittima il trattamento è la necessità di eseguire un contratto con Lei intercorrente o dar seguito a Sue specifiche richieste. In tal caso il conferimento dei Suoi dati non è obbligatorio ma un eventuale rifiuto a fornirli, anche parzialmente, comporterebbe per la Società l’impossibilità di effettuare le operazioni nonché fornire i servizi da Lei richiesti.

La normativa prevede altre finalità collaterali all’attività della Società per le quali è richiesto il Suo preventivo consenso, dal momento che la base giuridica che ne legittima il trattamento è proprio la manifestazione del Suo consenso, libero ed informato: tuttavia si tratta di attività che la Società non pone in essere, quali l’elaborazione di studi e ricerche di mercato, la rilevazione del grado di soddisfazione dei Soci sulla qualità dei servizi resi e sull’attività svolta dalla Società, eseguita direttamente ovvero attraverso l’opera di società specializzate, invio di newsletter, inviti ad eventi organizzati dalla Società, iniziative di marketing, analisi dei dati relativi ai rapporti e ai comportamenti dei clienti per l’individuazione e lo studio di loro profili di interesse o di preferenza.

 

4. Modalità di trattamento dei dati

In relazione alle finalità indicate, il trattamento dei Suoi dati personali avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità stesse e comunque in modo da garantire la sicurezza e la riservatezza dei dati stessi, con l’utilizzo di strumenti tradizionali.

 

5. Categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza

  1. La Società – attraverso Banca MPS S.p.a., a cui si appoggia per talune operazioni - può comunicare i Suoi dati a determinati soggetti, anche esteri (al riguardo, si veda il successivo paragrafo 6 relativo al trasferimento dei dati all’estero), in quanto vi è un preciso obbligo normativo che impone tale comunicazione;
  2. In altri casi, invece, la comunicazione è necessaria in quanto la Società - nell’esecuzione delle operazioni richieste dagli Associati - può avvalersi della collaborazione e dei servizi resi da società o soggetti terzi che svolgono trattamenti correlati a quelli effettuati dalla Società;
  3. Non viene invece utilizzata l’opportunità, da parte della Società, di controllare sé stessa e la qualità dei propri servizi nonché di espandere la propria offerta di servizi e quindi non comunica i dati riferiti agli interessati a società che offrono questo tipo di prestazioni affinché verifichino presso gli interessati medesimi se la Società abbia soddisfatto le loro esigenze e le loro aspettative o se esista una potenziale domanda per altri prodotti o servizi.

I soggetti ai quali i Suoi dati possono essere comunicati o che possono venirne a conoscenza appartengono alle seguenti categorie e utilizzano i dati ricevuti in qualità di autonomi Titolari, ovvero come Responsabili del trattamento ex art. 28 del GDPR. L’elenco completo ed aggiornato contenente, tra l’altro, la loro denominazione o categoria di appartenenza può essere richiesto, in maniera gratuita, alla Società, ai recapiti indicati al successivo punto 9 – Titolare e Responsabile della Protezione Dati:

soggetti a cui la comunicazione debba essere effettuata in adempimento di un obbligo previsto dalla legge: per esempio, per finalità connesse all’esercizio delle funzioni di gestione, accertamento e riscossione dei tributi, come le attività effettuate dall’Agenzia delle Entrate; per finalità connesse all’amministrazione della giustizia: ad esempio, Autorità Giudiziaria; per finalità connesse all’esercizio delle funzioni di vigilanza, di controllo e delle altre funzioni specificatamente previste dalla normativa: ad esempio, Banca d’Italia, Consob e ISVAP, IVASS;, archivio informatizzato istituito presso Banca d’Italia per finalità connesse al regolare funzionamento dei sistemi di pagamento; per finalità di prevenzione delle frodi come il MEF – UCAMP; Sistema pubblico di prevenzione del Ministero dell’economia e delle Finanze, gestito da CONSAP, che tratta i dati contenuto nella documentazione fornita dai richiedenti le operazioni previste dall’art. 30-ter, commi 7 e 7 bis del decreto legislativo 13 agosto 2010 n. 141, al fine di verificare l’autenticità degli stessi;

agenzie o filiali della Banca MPS S.p.a., che eseguono materialmente le operazioni deliberate dalla Società;

soggetti che svolgono servizi per la Banca MPS S.p.a. di acquisizione e trattamento dei dati rivenienti da documenti o supporti (pagamenti, effetti, assegni e altri titoli);

società che svolgono per la Banca MPS S.p.a. attività di lavorazione, stampa, trasmissione, imbustamento, trasporto e smistamento delle comunicazioni agli Associati;

società che svolgono per la Banca MPS S.p.a. servizi di elaborazione e trasmissione dati, o, in generale, servizi informatici, gestione del sistema informativo e dei servizi amministrativi accentrati; la Banca MPS S.p.a. si avvale, in particolare, del Consorzio Operativo Gruppo Montepaschi S.p.a., con sede in Siena, via Ricasoli 60, appartenente al Gruppo Montepaschi, al quale è stata affidata, in qualità di Responsabile esterno del trattamento dei dati ai sensi dell’art. 28 del GDPR, la gestione del sistema informativo;

altre imprese di servizi connessi e strumentali alla gestione dei rapporti con gli Associati (ad esempio, studi di consulenza, studi legali, pubblici funzionari, società ed enti convenzionati).

Infine, possono venire a conoscenza dei dati in qualità di persone autorizzate al trattamento dei dati sotto l’autorità diretta del Titolare o del Responsabile, persone fisiche appartenenti alle seguenti categorie che, relativamente allo svolgimento delle mansioni loro assegnate, hanno necessità di accedere e trattare i dati: - lavoratori dipendenti della Banca MPS S.p.a. distaccati presso la Società;

- componenti organi sociali;

 

6. Trasferimento dati all’estero

La Società, per talune attività, si appoggia alla Banca MPS S.p.a. che, a sua volta, utilizza soggetti di fiducia

- operanti talvolta anche al di fuori dell’Unione Europea - che svolgono per conto della Banca MPS S.p.a. stessa compiti di natura tecnica, organizzativa o gestionale. In tal caso, il trasferimento dei dati avviene sulla base delle ipotesi previste dalla vigente normativa (capo V - Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali del GDPR), tra cui l’applicazione di clausole contrattuali standard definite dalla Commissione Europea per i trasferimenti verso società terze o la verifica della presenza di un giudizio di adeguatezza del sistema di protezione dei dati personali del paese importatore.

 

7. Tempo di conservazione dei dati

I Suoi dati vengono conservati per il tempo strettamente necessario all’adempimento delle finalità per cui sono stati raccolti, nel rispetto dei termini prescrizionali o dei diversi termini eventualmente stabiliti dalla legge per la relativa conservazione o, per un tempo maggiore, nel caso in cui sia necessario conservarli per esigenze di tutela dei diritti del Titolare.

 

8. Diritti dell’interessato

In relazione ai trattamenti descritti al precedente punto 3 – Finalità del trattamento dei dati, Le è riconosciuto l’esercizio dei diritti previsti dagli artt. 15 e seguenti del GDPR, in particolare il diritto di:

  • accesso, ovvero di ottenere la conferma dell'esistenza o meno di dati personali che La riguardano, di conoscerne l'origine, nonché la logica e le finalità su cui si basa il trattamento, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati, la determinazione del periodo di conservazione qualora sia possibile definirlo, ed, infine, l’esistenza di un processo decisionale automatizzato con indicazione delle informazioni sulla logica utilizzata e le conseguenze previste di tale trattamento;
  • rettifica dei dati inesatti; - cancellazione (c.d. diritto all’oblio), nel caso in cui i dati non siano più necessari rispetto alle finalità della raccolta e successivo trattamento, ovvero nel caso in cui l’interessato abbia revocato il consenso al trattamento (laddove detto consenso sia previsto come facoltativo ovvero non sussista altro fondamento giuridico per il trattamento);
  • limitazione, il diritto di ottenere da parte della Società la limitazione dell'accesso ai dati personali da parte di tutti i soggetti che svolgono attività di lavoro presso la Società. In alcuni casi la Società si riserva di consentire l'accesso ad un ristretto numero di persone allo scopo di garantire comunque la sicurezza, l'integrità e la correttezza dei suddetti dati;
  • portabilità, il diritto di ricevere in un formato strutturato e di uso comune e leggibile da dispositivo automatico i dati personali che riguardano l’interessato, con possibilità di trasmetterli ad un altro Titolare. Tale diritto non si applica ai trattamenti non automatizzati (ad esempio, archivi o registri cartacei); inoltre, sono oggetto di portabilità solo i dati trattati con il consenso dell’interessato e solo se i dati sono stati forniti dall’interessato medesimo;
  • - opposizione, cioè il diritto di opporsi al trattamento per motivi connessi alla Sua situazione particolare; - reclamoda inviare al Garante per la Protezione dei dati personali, piazza di Monte Citorio n. 121 – 00186 Roma (garante@gpdp.it; telefono + 39 06 69677.1; fax + 39 06 69677.3785).

Inoltre, ai sensi dell’art. 7, comma 3 del GDPR è riconosciuto il diritto di revocare il consenso in qualsiasi momento; la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

Per l’esercizio dei diritti di cui sopra potrà rivolgersi direttamente alla Sede amministrativa della Società Piazza Gramsci n. 2 - 53100 Siena (fax + 39 0577 295960; e-mail: cassamutua@mps.it). Presso la Sede amministrativa è disponibile l'elenco completo ed aggiornato dei Responsabili, interni ed esterni alla Società, nonché degli altri soggetti terzi a cui sono comunicati i dati.

 

9. Titolare e Responsabile della Protezione dei Dati

Titolare del trattamento è l’Associazione di Mutua Assistenza fra il Personale della Banca Monte dei Paschi di Siena S.p.a. con sede a Siena, Piazza Salimbeni n. 3 (Sede legale) e Piazza Gramsci n. 2 (Sede amministrativa).

Presso tale Funzione è disponibile l'elenco completo ed aggiornato dei Responsabili, interni ed esterni alla Società.

Il Responsabile della Protezione dei Dati (o, Data Protection Officer-DPO) è il Responsabile pro tempore della Funzione ICT Compliance della Banca MPS, contattabile ai recapiti di posta certificata: responsabileprotezionedeidati@postacert.gruppo.mps.it; e mail ordinaria responsabileprotezionedeidati@mps.it, a cui l’interessato può rivolgersi per tutte le questioni relative al trattamento dei propri dati personali e per l’esercizio dei diritti previsti dal GDPR.