Regolamento Europeo 679/16 in materia di Protezione dei Dati Personali e Informazioni ai sensi dell'art. 7 del d.lgs 70/2003
Informativa sul trattamento dei dati personali ex artt. 13 e 14 reg. UE 679/16
In ottemperanza a quanto previsto dal Regolamento europeo sulla privacy (General Data Protection Regulation, cd. GDPR) nr. 679 del 2016, intendiamo fornirle alcune informazioni sul trattamento dei dati personali in tema di accesso ed utilizzo di siti web, portali, software ed applicazioni di CGN Fintech Srl, nonché nel contesto dei servizi da questa contrattualmente resi.
CGN Fintech Srl è una società che svolge attività di servizio di disposizione di ordini di pagamento (PIS) e servizio di informazione sui conti (AIS) in qualità di Istituto di pagamento autorizzato da Banca d’Italia in data 12 aprile 2022 ed iscritta all’albo IP art. 114-septies TUB al numero 106.
Il cd. “Account Information Service” (AIS) è il servizio di pagamento che prevede l’accesso ai conti di pagamento, utilizzabile prevalentemente attraverso API con integrazioni M2M (“Machine to machine”, ossia tra sistemi e senza presenza umana).
L’utente può ottenere un’informazione completa su tutti i propri conti di pagamento accessibili on-line, anche se intrattenuti con molteplici PSP, interrogando con immediatezza lo stato di tutti i propri conti di pagamento e monitorando le transazioni business tramite appositi cruscotti informativi.
L’obiettivo del servizio di aggregazione dati dei conti progettato da CGN Fintech è di consentire alla clientela business (aziende e Professionisti) di disporre tempestivamente di tutte le informazioni bancarie attraverso funzioni integrate in servizi di gestionali Desktop, Web, Mobile e/o un “oggetto IoT” (“Internet of Things” ovvero internet applicata agli oggetti).
Diversamente, il cd. “Payment Initiation Service” (PIS) è il servizio in cui CGN Fintech si interpone tra il pagatore ed il suo conto di pagamento online, avviando la transazione a favore di un terzo beneficiario. Prestando apposito consenso, il pagatore autorizza il PISP (CGN Fintech) ad effettuare l’operazione senza che quest’ultimo entri mai in possesso dei fondi del pagatore. Il prestatore di servizi di pagamento presso cui è radicato il conto del pagatore (ASPSP - Account Servicing Payment Service Provider) è tenuto a garantire al PISP l’accesso al conto online del pagatore senza che vi sia la necessità di accordo contrattuale tra loro.
Obiettivo del servizio di disposizione di ordini di pagamento progettato da CGN Fintech è consentire alla clientela business (aziende e Professionisti) di disporre ordini di pagamento a valere sul proprio conto di pagamento, attraverso funzioni integrate in servizi di gestionali Desktop, Web, Mobile e/o un “oggetto IoT” (“Internet of Things” ovvero internet applicata agli oggetti).
Il valore distintivo del servizio PIS di CGN Fintech non è il pagamento in sé, quanto l’efficienza di processo che si verrà a creare sulle attività che precedono e poi seguono il pagamento, gestite dalle varie applicazioni software (es. dei Tenant) che integreranno il pagamento o un’altra operazione bancaria che lasci una traccia in “dare” o “avere” sul conto.
L’effetto immaginato attraverso il futuro piano di integrazioni diffuse, è generare una forte semplificazione operativa e un miglioramento informativo che modificano profondamente le logiche che caratterizzavano il settore.
Per tali servizi è CGN Fintech a determinare i mezzi e le finalità del trattamento, pertanto è indubbio che la stessa rivesta il ruolo di Titolare del trattamento in conformità con quanto previsto dal provvedimento dell’Autorità Garante della privacy dd. 22 maggio 2014.
Tali servizi vengono erogati in proprio e con la collaborazione di partner debitamente nominati responsabili del trattamento ex art. 28 GDPR.
Per poter aderire all’offerta di CGN Fintech Srl e utilizzare i servizi da questa offerti, è indispensabile concludere positivamente la procedura di adesione da questa proposta all’interno degli Applicativi dei Tenant con cui CGN Fintech Srl ha stretto apposite collaborazioni.
Evidenziamo che la base giuridica del trattamento per l’adesione a CGN Fintech è rappresentata dal consenso dell’interessato e che i dati personali saranno trattati per le seguenti finalità:
- gestione di ogni aspetto tecnico, amministrativo, organizzativo necessario a fornire i prodotti ed i servizi offerti da CGN Fintech Srl;
- adempimento delle obbligazioni nascenti dal Contratto PSU sottoscritto in sede di attivazione attraverso le apposite procedure previste (es. gestione fase precontrattuale, contrattuale e di tutela dei diritti in via giudiziale e stragiudiziale ecc.);
- eventuale assistenza tecnica con risposte a domande, quesiti, richieste, informazioni relative a fattispecie concrete originate dall’utilizzo dei Servizi di CGN Fintech Srl;
- gestione delle attività svolte all'interno del sito web e della piattaforma telematica denominata “Piattaforma CGN Fintech PSD2” di proprietà di CGN Fintech Srl, mediante salvataggio dei log degli Utenti registrati in forma sicura per finalità di gestione tecnica ed eventuale verifica delle attività svolte dagli Utenti autorizzati (ad esempio, se legittimamente richiesto dal Titolare del trattamento, dall’interessato, dall'Autorità giudiziaria o se necessario per garantire i diritti di azione o difesa ovvero per poter fornire prova in giudizio dell'attività erogata o effettuata tramite i rispettivi Servizi);
- gestione e conservazione degli archivi dei dati, documenti ed informazioni caricate dall'Utente registrato;
- rilevazione delle modalità di utilizzo dei servizi al fine di rilevarne, anche in forma anonima, il grado di soddisfazione, per scopi statistici, elaborazione di dati, schede e questionari;
- gestione tecnica della navigazione (vedi sul punto la sezione "INFORMATIVA SULL'USO DEI COOKIES");
- adempimento degli obblighi antifrode e antiriciclaggio imposti dalla normativa nazionale ed europea e dalle Autorità di vigilanza.
Come meglio specificato di seguito, parte di tali trattamenti potrà essere svolto da soggetti debitamente nominati ai sensi dell’art. 28 GDPR.
Per soddisfare le finalità sopradescritte CGN Fintech Srl si riserva la facoltà di richiedere periodicamente l’aggiornamento dei dati personali necessari per l’erogazione
dei servizi, nonché per un’efficace comunicazione nei confronti dell’interessato.
Nel rispetto della normativa esistente in materia, si informa che tutti i dati acquisiti tramite i canali di assistenza (sintetizzati in brevi report delle comunicazioni
effettuati in tempo reale dagli operatori telefonici) laddove fornita, verranno trattati, anche per tempi superiori ex art. 5 Reg. UE 679/16, per finalità d’archivio, di
studi statistici e ai fini probatori dell’adempimento degli obblighi contrattuali e, in conformità con la normativa, verranno messi a disposizione su richiesta delle
Pubbliche Autorità.
Per ulteriori informazioni in merito al trattamento dei dati personali nell’erogazione dei servizi PIS e AIS si rimanda a quanto indicato nell’”Informativa sul trattamento dei dati personali ai sensi del Regolamento Europeo 679/2016 (GDPR) per i servizi PIS e AIS” disponibile anche sul sito del Titolare del trattamento nella sezione “Privacy policy”.
In ogni caso i suoi dati non verranno diffusi o venduti a terzi e non saranno oggetto di trasferimento in paesi extra-UE, salvo l'esistenza di una decisione di adeguatezza della Commissione UE che garantisca per tali paesi il rispetto e la protezione dei dati personali come previsto dal Reg. UE 679/16. Tuttavia, come da apposta informativa, il trattamento dei dati personali potrà avvenire anche al di fuori del territorio europeo a seguito dell’espletamento, su richiesta dell’interessato della procedura di video identificazione.
Il trattamento dei dati per le finalità precedentemente indicate ha come base giuridica i requisiti di liceità previsti dall'articolo 6 Reg. UE 679/16, in
particolare: a) trattamenti effettuati con il consenso dell'interessato, b) attività necessaria per l'esecuzione di un contratto di cui Lei è parte, come a
porre in essere misure precontrattuali su sua richiesta, c) trattamento previso da un obbligo di legge o regolamento.
Con l'occasione le ricordiamo che l'art. 130 comma IV del D. Lgs 196/03 consente al Titolare di inviarle comunicazioni anche elettroniche per promozioni di
servizi ANALOGHI a quelli contrattualmente da Lei attivati, sempre che Lei non abbia manifestato espressamente un diniego esplicito inizialmente o in occasione
di specifiche comunicazioni (opt-out). Allo stesso modo l'eventuale inoltro di comunicazioni, ancorché commerciali, inerenti servizi analoghi a quelli già acquisiti
contrattualmente dall'interessato viene ad essere considerato legittimo interesse del titolare ai sensi dell'art. 6 comma 1 lett. f) GDPR. Si informa, altresì,
che nel corso dell’attività di comunicazione e marketing interverrà anche l'esame del c.d. Open rate (tasso di apertura) in relazione alle comunicazioni
effettuate nell'ambito delle sopracitate attività di mail marketing, al fine di poter trarre informazioni sull’efficacia della campagna, miglioramento del
servizio e di pulizia degli utenti inattivi; per tale attività, CGN Fintech Srl si potrà avvalere di partner tecnici che restituiscono dati aggregati e
quantitativi esclusivamente per le finalità sopra descritte.
I suoi dati personali, ancorché particolari, potranno essere conosciuti solo da soggetti specificatamente incaricati al trattamento dal Titolare interessato,
dagli eventuali Responsabili del trattamento debitamente nominati ai sensi dell’art. 28 GDPR, da propri partner tecnologici esclusivamente per finalità tecniche,
eventuali società deputate al recupero del credito e/o specializzate nell’ambito dei pagamenti digitali e/o autorizzate ai sensi della normativa vigente alla
raccolta delle informazioni commerciali, ovvero da Assicurazioni e/o Studi professionali. I suoi dati personali saranno conservati in conformità con quanto
previsto dalla normativa e fino a quando Lei non richiederà formalmente al titolare del trattamento l'eliminazione del suo account/utenza e dei relativi dati,
salvo obblighi di conservazione in capo a CGN Fintech in virtù di Leggi e Regolamenti.
La conservazione dei dati avverrà in conformità con quanto previsto dalla normativa di settore e per il tempo previsto dalla legge. CGN Fintech Srl la
possibilità di conservare i dati per un periodo superiore per finalità statistiche, di studio e ricerca scientifica, nonché per la prova dell’avvenuto
adempimento in conformità con quanto previsto dall’art. 5 GDPR.
Si precisa, inoltre, che l'erogazione di parte dei servizi offerti da CGN Fintech Srl può essere effettuata per il tramite di un browser web, "CGNBrowser",
la cui creazione è intervenuta grazie al progetto open source Chromium e ad altri software open source. Nel caso di suo utilizzo l'Amministratore di sistema
può entrate nella disponibilità di alcuni dati legati alle caratteristiche software (es: versione del sistema operativo), di altri legati alle caratteristiche
hardware (es: tipologia RAM), come di alcune informazioni di carattere statistico (es: avvio/chiusura): tutto solo ed esclusivamente per curare il corretto
funzionamento dell'applicativo e per poter migliorare l'esperienza utente. L'Amministratore di sistema in alcun modo può entrate in contatto con i dati tipici
di un web browser (es: cronologia, cache), i quali rimangono allocati in locale e possono essere eliminati su discrezione del singolo fruitore del servizio,
fatta eccezione per gli interventi di manutenzione per i quali si potrebbe entrare in contatto con alcuni di questi dati, ma solamente a seguito di suo
esplicito consenso, debitamente manifestato.
Il Titolare del trattamento è CGN Fintech Srl, con sede in Pordenone (PN) via Pietro Bassani 4, CAP 33170, C.F. 01875790931, in persona del legale
rappresentante pro tempore, cui lei potrà rivolgersi per far valere i diritti previsti dagli articoli 15, 16, 17, 18, 20, 21, 77 del Reg. UE 679/16.
Il titolare ha altresì nominato l’Avv. Vicenzotto Paolo del for di Pordenone quale Data Protection Officer ex art. 39 del Reg. UE 679/16. Lei potrà
contattare liberamente il DPO per ogni questione legata al trattamento dei suoi dati personali, nonché per maggiori informazioni sul contenuto dei diritti
sopraelencati e sulle modalità di esercizio degli stessi scrivendo all’indirizzo dpo@studiolegalevicenzotto.it oppure consultando la sezione “Privacy policy” del sito cgnfintech.it.
Ad ogni modo l'esercizio di tali diritti è subordinato ai limiti, alle regole e procedure previste dal suindicato Regolamento che l'Interessato deve conoscere e porre in essere. Concordemente a quanto previsto dall'articolo 12 comma 3, inoltre, il Titolare fornirà all'interessato le informazioni relative all'azione intrapresa senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine potrà essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare del trattamento informa l'Interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.
SCA (Strong Customer Authentication)
La SCA (Strong Customer Authentication) è il processo di autenticazione “forte” che gli istituti bancari devono fornire ai propri utenti qualora questi abbiano la necessità di operare online tramite il proprio conto. La SCA è diventato uno strumento obbligatorio per gli Istituti di pagamento che intendano consentire ai propri utenti di eseguire pagamenti tramite home-banking o app. La ratio di tale previsione normativa sta nell’aumento della sicurezza e nella conseguente diminuzione del rischio di frodi causate, ad esempio, dal furto di credenziali, potendo autenticare l’esecutore delle operazioni in modo univoco e sicuro. La “forza” che caratterizza il processo di SCA è da attribuire alla combinazione degli elementi che costituiscono una autenticazione valida. La SCA si basa infatti su due o più fattori che sono indipendenti tra loro in quanto la violazione di uno non compromette l’affidabilità degli altri. Per portare a termine in modo corretto il processo è necessario che vengano verificati almeno due dei seguenti elementi, ecco perché spesso si sente parlare anche di “Autenticazione a doppio fattore”: • “Conoscenza” ovvero qualcosa che si conosce. Per questo elemento l’utente deve essere in grado di inserire, durante la procedura di autenticazione, un codice PIN o una risposta ad una domanda di sicurezza o un altro dato simile che solo lui è in grado di conoscere. • “Possesso” ovvero qualcosa che si possiede, come uno smartphone o altro device previamente autorizzato dalla banca in fase di adesione al servizio digitale. • “Inerenza”, ovvero qualcosa che caratterizza l’utente stesso, come le impronte digitali o il viso.
Ogni istituto bancario può prevedere in modo autonomo quale combinazione far utilizzare ai propri utenti e quali dispositivi o processi di verifica dei fattori implementare. Ai fini dell’erogazione dei servizi offerti e attraverso determinate applicazioni (cd. API), CGN Fintech Srl ha integrato la propria Piattaforma CGN Fintech PSD2 con quelle degli istituti di pagamento del proprio cliente per consentire a quest’ultimo di effettuare la SCA direttamente sui sistemi della propria banca. Tuttavia, alcune banche non consentono tale procedura ed impongono che il cliente di CGN Fintech inserisca le proprie credenziali presso i sistemi di quest’ultima e che, successivamente, CGN Fintech le trasmetta alla banca stessa. In tale ipotesi, CGN Fintech svolge un ruolo analogo a quello di un “postino”, in quanto si limita a trasmettere le informazioni ricevute senza utilizzarle in alcun modo, senza memorizzarle e adottando tutte le misure e procedure di sicurezza opportune per limitare al minimo il trattamento di tali dati.
DEVELOPER PORTAL
Fermo restando quanto sopra decritto, il sito del Titolare del trattamento offre la possibilità di visualizzare le APIs necessarie per integrare i servizi di CGN Fintech Srl all’interno dei software di potenziali partners; a tal fine questi ultimi potranno accedere ed iscriversi alla sezione “Developers Portal” presente su cgnfintech.it. Le APIs saranno disponibili previa iscrizione e tutti i dati raccolti in tale sede verranno trattati esclusivamente dal Titolare del trattamento per finalità di assistenza tecnica e commerciali, nel rispetto ed in conformità con quanto sopra indicato. I dati verranno conservati per 24 mesi; CGN Fintech Srl si riserva la possibilità di conservare i dati per un periodo superiore per finalità statistiche, di studio e ricerca scientifica, anche solo in forma aggregata.
Per ulteriori informazioni in merito all’esercizio dei diritti riconosciuti dalla normativa si rimanda a quanto indicato nella sezione “Privacy policy” del sito cgnfintech.it.
INFORMATIVA SULL’USO DEI COOKIES
INFORMAZIONI AI SENSI DELL'ART. 7 DEL D.LGS 70/2003
Ai sensi dell'art. 7 del D.Lgs 70/03 "Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società
dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico" si forniscono le seguenti informazioni:
Denominazione prestatore: CGN Fintech Srl, C.F. 01875790931
Sede legale: via Pietro Bassani 4, CAP 33170 Pordenone (PN)
Contatti: Indirizzo e-mail: fintech@cgn.it - Indirizzo PEC: cgnfintech@cgn.legalmail.it
Data Protection Officer: Studio Legale Avv. Paolo Vicenzotto, presso sede legale.