Informativa sul trattamento dei dati personali per utilizzatori del servizio di pagamento

Versione 1Aggiornato al 04/2024

Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (di seguito, il “Regolamento”), c.d. GDPR, Fabrick S.p.A. (di seguito, il “Titolare”), fornisce le seguenti informazioni in merito alle caratteristiche del trattamento che la stessa svolge.

1) Chi è il Titolare del trattamento dei dati?

Il Titolare del trattamento dei dati personali è Fabrick S.p.A. con sede in Biella (BI) - 13900, in Piazza Gaudenzio Sella, n. 1.Il Titolare del trattamento dei dati personali è Fabrick S.p.A. con sede in Biella (BI) - 13900, in Piazza Gaudenzio Sella, n. 1.

2) Come contattare il Responsabile della protezione dei dati?

Il Responsabile della Protezione dei Dati (di seguito “RPD” o “DPO – Data Protection Officer”) può essere contattato ai seguenti recapiti:

  • indirizzo postale: Piazza Gaudenzio Sella n. 1, 13900 Biella - DPO
  • indirizzo e-mail: privacy@fabrick.com

3) Quali dati sono o possono essere oggetto del trattamento e quali sono le fonti dei dati?

Il trattamento ha ad oggetto i dati personali dell’utilizzatore dei servizi di pagamento (di seguito, “Interessato”) ed è svolto nell’ambito del servizio di abilitazione di servizi di autorizzazione, elaborazione e regolamento di pagamenti, tramite qualunque strumento di pagamento, tra l’esercente presso il quale è effettuato un acquisto online (di seguito, l’ “Esercente”) e l’Interessato che effettua l’acquisto, consentendo all’Esercente di accettare e incassare pagamenti elettronici (di seguito, il “Servizio”).

In particolare, il Titolare tratta dati personali appartenenti alle seguenti categorie:

  • identificativi, di contatto e contrattuali (quali: nome, cognome, indirizzo e-mail);
  • relativi alle operazioni di pagamento (quali: dati della carta utilizzata per il pagamento, beneficiario, oggetto e importo).

I sopraelencati dati sono personalmente conferiti dall’Interessato mediante la compilazione di specifici form, per l’inserimento dei dati dell’operazione di pagamento, del Titolare o dell’Esercente e successivamente da quest’ultimo comunicati al Titolare.

4) Su quali basi giuridiche e per quali finalità sono trattati i dati?

Il trattamento dei dati personali è effettuato, da parte del Titolare e/o di terzi per conto del medesimo, esclusivamente in presenza di una delle seguenti basi giuridiche ed è limitato al perseguimento delle correlate finalità:

  • esecuzione di un contratto di cui l'interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso, ai sensi dell’art. 6 par. 1 lett. b)del Regolamento, al fine di dare esecuzione al Servizio;
  • adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento, ai sensi dell’art. 6 par. 1 lett. c) del Regolamento e, in particolare, al fine di adempiere agli obblighi connessi al Servizio (ad esempio, laddove applicabili: gestione dei reclami, antiriciclaggio e antiterrorismo etc.)
  • qualora l’Esercente presso il quale è effettuato l’acquisto abbia aderito al servizio di prevenzione frodi, legittimo interesse del titolare del trattamento o di terzi alla prevenzione delle frodi nei pagamenti, ai sensi dell’art. 6 par. 1 lett. f) del Regolamento, al fine di analizzare il livello di rischio frode delle transazioni.

Con riferimento alle finalità sopra indicate, il conferimento dei dati è obbligatorio e non è richiesto il consenso al trattamento da parte degli Interessati; la mancata comunicazione di uno o più dati renderà impossibile l’esecuzione del Servizio.

5) A chi possono essere comunicati i dati personali?

I dati personali possono essere conosciuti dal personale del Titolare autorizzato al trattamento in ragione dello svolgimento delle proprie mansioni lavorative ovvero da soggetti che operano in qualità di responsabili – appositamente nominati ai sensi dell’art. 28 del Regolamento – o di titolari autonomi del trattamento. Di seguito si riportano le varie categorie di destinatari coinvolti:

  • soggetti pubblici nell’ambito di comunicazioni previste normativamente (es. autorità di vigilanza);
  • soggetti indipendenti (c.d. acquirer) che provvedono alla gestione dei pagamenti con carte di credito o di debito appartenenti a circuiti di credito e debito nazionali e internazionali;
  • società del Gruppo Sella, controllate o collegate ai sensi dell’art. 2359 c.c., nel caso di rilevazione di operazioni ritenute sospette, nonché società del Gruppo Sella che forniscono l’infrastruttura tecnologica per l’erogazione del Servizio e attività di assistenza tecnica;
  • qualora l’Esercente abbia aderito al servizio di prevenzione frodi offerto dal Titolare, Riskified Ltd. la cui privacy policy è consultabile al seguente link https://www.riskified.com/privacy/.

6) I dati possono essere trasferiti verso paesi al di fuori dello Spazio Economico Europeo?

Per attività di assistenza tecnica finalizzata all'approfondimento e risoluzione di situazioni anomale, e collaudo delle applicazioni, il Titolare potrebbe permettere l’accesso ai dati, in modalità tracciata, alla società del Gruppo Sella con sede in India. I dati personali non sono conservati presso la società estera, ma sono oggetto di accesso da remoto continuando a risiedere presso il sistema informativo della Società. Il trasferimento avviene sulla base di clausole contrattuali tipo, approvate della Commissione Europea.

Inoltre, qualora l’Esercente abbia aderito al servizio di prevenzione frodi, alcuni dati saranno trasferiti al di fuori dello Spazio Economico Europeo e, nello specifico, in Israele, alla società Riskified Ltd., per finalità di analisi del livello di rischio frode. Il trasferimento è ammesso poiché la Commissione Europea ha riconosciuto l’Israele come Paese terzo che garantisce un livello di protezione adeguato ai dati personali.

7) Per quanto tempo sono conservati i dati?

I dati personali sono trattati e conservati per il periodo di tempo necessario al conseguimento della finalità di erogazione del Servizio, fatti salvi i termini di conservazione previsti dalla legge e per finalità difensive proprie o di terzi e fino alla scadenza del periodo di prescrizione di legge applicabile. In particolare, in ottemperanza alle disposizioni della Banca d’Italia per la conservazione e la messa a disposizione dei documenti, dei dati e delle informazioni per il contrasto del riciclaggio e del finanziamento del terrorismo, laddove applicabile, i dati inerenti all’esecuzione del Servizio (dati identificativi e di contatto e relativi alle operazioni di pagamento) sono conservati per dieci anni dalla chiusura del rapporto con l’Esercente.

Al termine del periodo di conservazione, i dati personali riferibili agli Interessati saranno conservati in una forma che non ne consenta l’identificazione (ad esempio: anonimizzazione irreversibile), a meno che il loro trattamento non sia necessario per uno o più dei seguenti scopi:

  • risoluzione di precontenziosi e/o contenziosi avviati prima della scadenza del periodo di conservazione;
  • dare seguito ad indagini/ispezioni da parte di funzioni di controllo interno e/o autorità esterne avviati prima della scadenza del periodo di conservazione;
  • dare seguito a richieste della pubblica autorità italiana e/o estera pervenute/notificate al Titolare prima della scadenza del periodo di conservazione.

8) Quali sono i diritti riconosciuti agli interessati?

I soggetti Interessati dal trattamento possono esercitare specifici diritti sulla protezione dei dati, riportati nel seguente elenco:

  • diritto di accesso: diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali e in tal caso, di ottenere l'accesso agli stessi (fatto salvo che ciò non leda i diritti altrui);
  • diritto di rettifica: diritto di ottenere dal Titolare la rettifica dei dati personali inesatti senza ingiustificato ritardo, nonché l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
  • diritto alla cancellazione (“oblio"): diritto di ottenere dal Titolare la cancellazione dei dati personali senza ingiustificato ritardo. Il Titolare ha l’obbligo di procedere con la suddetta cancellazione qualora, a titolo meramente esemplificativo e non esaustivo:
    1. i dati personali non siano più necessari rispetto alla finalità del trattamento;
    2. i dati personali siano stati trattati illecitamente;
    3. i dati personali debbano essere cancellati per adempiere ad un obbligo legale;
  • diritto alla limitazione del trattamento: diritto di ottenere dal Titolare la limitazione del trattamento. Il Titolare ha l’obbligo di procedere con la suddetta limitazione qualora:
    1. sia contestata l'esattezza dei dati personali (per il periodo necessario al Titolare per verificare l'esattezza di tali dati personali);
    2. il trattamento sia illecito e l’Interessato si sia opposto alla cancellazione dei dati personali e ne abbia richiesto la limitazione;
    3. i dati personali (seppur non più necessari ai fini del trattamento) servano per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
    4. siano in corso le verifiche sull’eventuale prevalenza degli interessi del Titolare qualora l’interessato abbia esercitato il diritto all’opposizione di cui di seguito;
  • diritto alla portabilità dei dati: diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali e di trasmettere tali dati ad altro Titolare del trattamento, solo per i casi in cui il trattamento sia basato sul consenso o sul contratto e per i soli dati trattati tramite strumenti elettronici;
  • diritto di opposizione al trattamento: diritto di opporsi in qualsiasi momento al trattamento dei dati personali che hanno come base giuridica un interesse legittimo del Titolare, fatto salvo il caso in cui la Società dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, diritti e libertà dell’Interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Inoltre, di opporsi in qualsiasi momento al trattamento dei dati personali per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto;
  • diritto di proporre un reclamo a un'Autorità di controllo: fatto salvo ogni altro ricorso amministrativo o giurisdizionale, qualora l’interessato ritenga che il trattamento che lo riguarda violi il Regolamento, ha il diritto di proporre reclamo all'Autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, ovvero dello Stato in cui si è verificata la presunta violazione.

Per esercitare i diritti e per qualsiasi informazione riguardo al trattamento dei dati personali, è possibile inoltrare una richiesta ai seguenti recapiti:

  • indirizzo postale: Piazza Gaudenzio Sella n. 1, 13900 Biella;
  • indirizzi e-mail: privacy@fabrick.com

Il Titolare fornisce informazioni relative all’azione intrapresa riguardo alla richiesta senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della stessa.

Qualora dall'esercizio dei diritti sopra elencati possa derivare un pregiudizio effettivo e concreto agli interessi tutelati in base alle disposizioni in materia antiriciclaggio e antiterrorismo, ai sensi dell’art. 2-undecies Codice privacy, la portata di tali diritti e di alcuni obblighi connessi in capo al Titolare, potrebbe subire una limitazione. In tali circostanze l'esercizio dei medesimi diritti può essere ritardato, limitato o escluso, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata. Ove ne ricorrano i presupposti, Le verrà inviata senza ritardo una comunicazione motivata.