ES
Aprovecha las oportunidades de la PSD2
Agregación de cuentas - AISP
Accede a datos transaccionales y crea servicios de valor añadido
Pagos Open Banking - PISP
Acepta pagos A2A con la licencia Fabrick
Cobertura de bancos
Descubre todos los bancos con los que estamos conectados
Gestiona pagos de extremo a extremo
Fabrick Payment Orchestra
Impulsa tu sistema de gestión de pagos y los flujos de información
Fabrick Payment Gateway
Acepta pagos en tu web y app
Fabrick Advice
Aprovecha las exenciones de la SCA y realiza análisis de riesgos en tiempo real
Fabrick Guaranteed payments
Proteje tus pagos con verificaciones de fraude post-autorización y garantía de devolución de cargos
Facilita servicios bancarios a las empresas
Lending Place
Ofrece un acceso rápido y fácil al crédito
Industrias
Servicios bancarios y financieros
Moda
Fintech
Ho.Re.Ca.
Seguros
Casos de éxito
Recursos
Blog
Libros blancos
Desarrolladores
Nuestras API
Fabrick Producers
TPP Portal
Iniciar sesión en Customer Portal Fabrick
Corporate
Ecosistema Fabrick
Nuestra historia
Nuestra misión
Equipo directivo
Plataforma Open Finance
Fabrick People
Nuestro equipo
Por qué Fabrick
Trabaja con nosotros
Media Hub
Comunicados de prensa
Reseña de prensa
Eventos
Media kit
PrivacidadServicio de pago

Información sobre el tratamiento de datos personales usuarios del servicio de pago

Versión 1Última actualización el 04/2024

De conformidad con los Artículos 13 y 14 del Reglamento UE 2016/679 (en adelante, el "Reglamento"), así llamado GDPR, Fabrick S.p.A. (en adelante, el "Responsable") facilita la siguiente información relativa a las características del tratamiento de los datos personales que lleva a cabo.

1) ¿Quién es el Responsable del tratamiento de los datos?

El Responsable del tratamiento de los datos personales es Fabrick S.p.A. - con domicilio social en Biella (BI) - 13900, Piazza Gaudenzio Sella, 1, Italia.

2) ¿Cómo contactar con el Delegado de protección de datos?

Es posible contactar con el Delegado de protección de datos (en adelante, “DPD” o “DPO – Data Protection Officer”) a través de los siguientes datos de contacto:

  • dirección postal: Piazza Gaudenzio Sella n. 1, 13900 Biella, Italia - DPO
  • dirección de correo electrónico: privacy@fabrick.com

3) Qué datos son o pueden ser tratados y cuáles son las fuentes de los datos?

‌El tratamiento se realiza sobre los datos personales del usuario de servicios de pago (en adelante, el "Interesado") como parte del proceso de habilitación de servicios para la autorización, procesamiento y liquidación de pagos, a través de cualquier instrumento de pago, entre el comerciante al que se efectúa una compra online (en adelante, el "Comerciante") y el Interesado que realiza la compra, permitiendo al Comerciante aceptar y cobrar pagos electrónicos (en adelante, el "Servicio").

En particular, el Responsable trata datos personales pertenecientes a las siguientes categorías:

  • datos de identificación, contacto y contractuales (como: nombre, apellidos, dirección de correo electrónico);
  • datos relativos a las operaciones de pago (como: datos de la tarjeta utilizada para el pago, beneficiario, concepto e importe).

El Interesado facilita personalmente los datos mencionados mediante la cumplimentación de formularios específicos para la introducción de datos de operaciones de pago y pertenecientes al Responsable del tratamiento o al Comerciante, que, posteriormente, los comunica al Responsable.

4) ¿Con qué finalidad se tratan los datos y sobre qué base jurídica?

El tratamiento de los datos personales se realiza, por parte del Responsable del tratamiento y/o de terceros en su nombre, exclusivamente sobre una de las siguientes bases jurídicas y se limita a la persecución de las finalidades correspondientes:

  • ejecución de un contrato en el que el Interesado sea parte o ejecución de medidas precontractuales adoptadas por su petición, de conformidad con el Art. 6(1)(b) del Reglamento, con el fin de implementar el Servicio;
  • cumplimiento de una obligación legal a la que esté sujeto el Responsable del tratamiento, de conformidad con el Art. 6(1)(c) del Reglamento y, en particular, para cumplir las obligaciones relacionadas con el Servicio (por ejemplo, cuando proceda: tramitación de reclamaciones, lucha contra el blanqueo de capitales y el terrorismo, etc.);
  • si el Comerciante al que se efectúa la compra se ha suscrito al servicio de prevención del fraude, interés legítimo del Responsable del tratamiento o de terceros en la prevención del fraude en los pagos, de conformidad con el Art. 6(1)(f) del Reglamento, con el fin de analizar el nivel de riesgo de fraude de las transacciones.

En relación con las finalidades mencionadas, el suministro de los datos es obligatorio y no se requiere obtener el consentimiento de los Interesados para su tratamiento; la negativa a facilitar uno o más datos imposibilitará ofrecer el Servicio.

5) ¿A quién pueden comunicarse los datos personales?

Los datos personales pueden comunicarse al personal del responsable del tratamiento autorizado a tratarlos por el ejercicio de sus funciones, o a personas que actúen como Encargados del tratamiento – designadas de conformidad con el Art. 28 del Reglamento – o como Responsables del tratamiento autónomos. A continuación se enumeran las categorías de destinatarios implicados:

  • sujetos públicos en el ámbito de las comunicaciones previstas por la ley (por ejemplo, autoridades de control);
  • sujetos independientes (así llamados entidades adquirentes) que gestionan pagos con tarjetas de crédito o débito pertenecientes a redes nacionales e internacionales de crédito y débito;
  • empresas del grupo Sella, subsidiarias o afiliadas de conformidad con el Art. 2359 del Código Civil italiano, al detectarse transacciones consideradas sospechosas, así como empresas del grupo Sella que proporcionan la infraestructura tecnológica para la prestación del Servicio y actividades de asistencia técnica;
  • si el Comerciante se ha suscrito al servicio de prevención del fraude ofrecido por el Responsable, Riskified Ltd., cuya política de privacidad puede consultarse en el siguiente enlace https://www.riskified.com/privacy/.

6) ¿Se pueden transferir los datos a países fuera del Espacio Económico Europeo?

El Responsable del tratamiento puede permitir el acceso a los datos, con seguimiento, a la empresa del grupo Sella con sede en la India, para actividades deasistencia técnica destinadas a investigar y resolver situaciones anómalas, así como para probar aplicaciones. Los datos personales no se almacenan en la empresa extranjera, sino que son accesibles a distancia mientras siguen guardados en el sistema de información de la Empresa. La transferencia de datos se realiza sobre la base de cláusulas contractuales tipo, aprobadas por la Comisión Europea.

Además, si el Comerciante se ha suscrito al servicio de prevención del fraude, algunos datos se transferirán fuera del Espacio Económico Europeo y, concretamente, a Israel, a la empresa Riskified Ltd. con el fin de analizar el nivel de riesgo de fraude. La transferencia de datos está permitida porque la Comisión Europea ha reconocido a Israel como país tercero que garantiza un nivel adecuado de protección de los datos personales.

7) ¿Durante cuánto tiempo se conservan los datos?

Los datos personales se procesan y conservan durante el periodo de tiempo necesario para alcanzar el objetivo de la prestación del Servicio, de conformidad con los plazos de conservación previstos por la ley y a efectos de defensa propia o de terceros y hasta el vencimiento del plazo de prescripción legal aplicable. En particular, en cumplimiento de las disposiciones del Banco de Italia para la conservación y suministro de documentos, datos e información a efectos de la lucha contra el blanqueo de capitales y la financiación del terrorismo, cuando proceda, los datos relativos a la prestación del Servicio (datos de identificación y contacto y datos relativos a las operaciones de pago) se conservarán durante diez años a partir de la finalización de la relación con el Comerciante.

Al vencer el plazo de conservación, los datos personales relativos a los Interesados se conservarán en una forma que no permita su identificación (por ejemplo, anonimización irreversible), salvo que su tratamiento sea necesario para uno o más de las siguientes finalidades:

  • resolución de precontenciosos y/o contenciosos iniciados antes del vencimiento del plazo de conservación;
  • seguimiento de investigaciones/inspecciones por parte de funciones de control interno y/o autoridades externas iniciadas antes del vencimiento del período de conservación;
  • seguimiento de solicitudes de autoridades públicas italianas y/o extranjeras recibidas/notificadas al Responsable del tratamiento antes del vencimiento del periodo de conservación.

8) ¿Qué derechos tienen los Interesados?

Los Interesados pueden ejercer derechos específicos sobre la protección de datos, que se exponen a continuación: 

  • derecho de acceso: derecho a obtener de los Responsables del tratamiento la confirmación de si se están tratando Sus datos personales y, en caso afirmativo, a acceder a los mismos (salvo que con ello no se vulneren derechos de terceros);
  • derecho de rectificación: derecho a obtener de los Responsables del tratamiento la rectificación de los datos personales inexactos sin dilación indebida, así como la integración de los datos incompletos, inclusive mediante una declaración adicional;
  • derecho de supresión ("al olvido"): derecho a obtener de los Responsables del tratamiento la supresión de los datos personales sin dilación indebida. El Responsable del tratamiento está obligado a proceder a la supresión siempre que, a título enunciativo y no limitativo:
    1. los datos ya no sean necesarios para las finalidades del tratamiento;
    2. los datos hayan sido tratados de forma ilícita;
    3. los datos deban suprimirse para cumplir una obligación legal;
  • derecho a la limitación del tratamiento: derecho a obtener de los Responsables la limitación del tratamiento. El Responsable del tratamiento está obligado a proceder a la limitación siempre que:
    1. se impugne la exactitud de los datos personales (durante un plazo que permita al Responsable verificar la exactitud de los mismos);
    2. el tratamiento sea ilícito y el Interesado se oponga a la supresión de Sus datos personales y solicite en su lugar la limitación de su uso;
    3. los datos ya no se necesiten para las finalidades del tratamiento, pero se requieran para la formulación, el ejercicio o la defensa de reclamaciones;
    4. se esté verificando si los motivos legítimos de los Responsables prevalecen mientras el Interesado haya ejercido su derecho de oposición, tal como se expone a continuación;
  • derecho a la portabilidad de los datos: derecho a recibir los datos personales que incumban en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro Responsable del tratamiento, únicamente en los casos en que el tratamiento esté basado en el consentimiento o en la ejecución de un contrato y solo para los datos tratados por medios electrónicos;
  • derecho a la oposición al tratamiento: derecho a oponerse en cualquier momento al tratamiento de datos personales cuya base jurídica sea un interés legítimo de los Responsables, salvo que acrediten motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del Interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. Además, derecho a oponerse en cualquier momento al tratamiento de datos que tenga por objeto la mercadotecnia directa, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
  • derecho a presentar una reclamación ante una Autoridad de control: sin perjuicio de cualquier otro recurso administrativo o acción judicial, el Interesado tendrá derecho a presentar una reclamación ante una Autoridad de control en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el Reglamento.

Para ejercer los derechos mencionados y solicitar información relativa al tratamiento de datos personales, es posible enviar una solicitud a las siguientes direcciones:

  • dirección postal: Piazza Gaudenzio Sella n. 1, 13900 Biella, Italia;
  • dirección de correo electrónico: privacy@fabrick.com

El Responsable del tratamiento facilitará información sobre las medidas adoptadas en relación con la solicitud concreta sin dilación indebida y, a más tardar, en el plazo de un mes a partir de su recepción.

En caso de que el ejercicio de los derechos mencionados suponga un perjuicio real y concreto para los intereses protegidos bajo las disposiciones relativas a la lucha contra el blanqueo de capitales y el terrorismo, de conformidad con el Art. 2-undecies del Código de Privacidad, el alcance de dichos derechos y de algunas obligaciones del Responsable podrá verse limitado. En estas circunstancias, el ejercicio de estos derechos podrá ser aplazado, limitado o excluido, por el tiempo y en la medida en que sea necesario y proporcionado. Si se cumplen las condiciones, se enviará sin dilación una notificación motivada.