Privacy Policy
INDICE
1. Premessa
2. Quale è la fonte dei dati trattati?
3. Quali dati trattiamo?
4. Per quali finalità trattiamo i dati?
5. Come trattiamo i dati e quali misure di sicurezza adottiamo?
6. Quali altri soggetti possono venire a conoscenza dei dati?
7. Dove possono essere trasferiti i dati?
8. Quanto tempo conserviamo i dati?
9. Quali sono i diritti degli Interessati?
10. Chi è possibile contattare per maggiori informazioni?
1. Premessa
Ai sensi della normativa in materia di protezione dei dati personali, come il Reg. (UE) 2016/679 (General Data Protection Regulation - GDPR) e il D.Lgs. 196/2003 (Codice per la Protezione dei Dati Personali – CPDP) e successive modifiche e integrazioni, ING BANK N.V. - Milan Branch (la “Banca” o “ING”) con sede in Milano alla via F. Testi n. 250, P.IVA 11241140158, in qualità di titolare del trattamento, è tenuta a fornire informazioni in merito all’utilizzo dei dati personali. La presente informativa è diretta agli Utenti, in qualità di Interessati, del sito web www.ing.it (il “Sito”) ovvero di altri domini di titolarità della Banca tramite i quali si verrà reindirizzati al presente documento. Gli Utenti che si autenticano e accedono all’area riservata del Sito sono già clienti della Banca e, pertanto, potranno trovare tutte le informazioni relative ai trattamenti svolti nelle apposite informative rilasciate in fase di attivazione dei prodotti.
2. Quale è la fonte dei dati trattati?
I dati trattati sono acquisiti direttamente tramite gli Utenti mediante le informazioni generate in fase di navigazione sul Sito (ad es. indirizzo IP). Per raccogliere e trattare i dati degli Utenti potrebbero essere utilizzati anche cookies. Per maggiori informazioni si invita a consultare la relativa sezione presente sul Sito.
3. Quali dati trattiamo?
Per conseguire le finalità indicate nel paragrafo successivo, la Banca potrebbe trattare informazioni che includono:
- a) dati idonei a tracciare il comportamento in fase di navigazione del sito web, come l'indirizzo IP del dispositivo impiegato, l'orario di accesso al Sito e le pagine visitate, le preferenze di navigazione, parametri relativi al sistema operativo impiegato dall'utente, anche tramite appositi log;
- b) dati identificativi e di contatto, come nome, cognome, email, codice fiscale, qualora comunicati dagli Utenti per richiedere informazioni e nell’interazione con la Banca tramite i canali di contatto (telefonici, posta cartacea, email, fax, ecc.) indicati nel Sito; nel caso di contatto telefonico le telefonate potrebbero essere registrate ai fini dell’eventuale tutela in giudizio di un diritto della Banca o di un terzo, come previamente segnalato agli Utenti durante la chiamata;
- c) ogni altro dato personale reso noto alla Banca mediante le richieste degli Utenti; resta inteso che - salvo che per il rispetto di obblighi di legge o dietro specifico consenso o per altri specifici casi resi preventivamente noti all’interessato - la Banca non tratta dati particolari o giudiziari, dunque qualora venissero comunicati saranno prontamente cancellati ovvero anonimizzati.
4. Per quali finalità trattiamo i dati?
I dati personali sono trattati nell’ambito della normale attività della Banca per le seguenti finalità e relative basi giuridiche di trattamento:
- a) esecuzione/replica a specifiche richieste, anche informative; la base di trattamento è l’art. 6.1.b GDPR (ovvero assimilabile all’esecuzione contrattuale); in mancanza del trattamento dei dati non si potrà dare esecuzione alle Sue richieste;
- b) adempimento di obblighi previsti dalla legge, da regolamenti o dalla normativa comunitaria (es. in ambito di cybersecurity ai sensi della Direttiva NIS); la base di trattamento è l’art. 6.1.c GDPR (obbligo di legge); trattandosi di obbligo, in mancanza non si potrà adempiere alla normativa e si incorrerà nelle sanzioni di legge;
- c) legittimo interesse prevalente della Banca o di terzi (base di trattamento è l’art. 6.1.f GDPR), nei seguenti casi:
- (i) tutela (accertamento, esercizio o difesa) di un diritto della Banca o di terzi, in giudizio o stragiudizialmente, ritenuto interesse prevalente ai sensi dal Considerando 47 GDPR;
- (ii) per garantire la sicurezza delle reti e dell'informazione, nella misura strettamente necessaria e proporzionata vale a dire la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali; ciò potrebbe, ad esempio, includere misure atte a impedire l'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica, ritenuto interesse prevalente ai sensi del Considerando 49 GDPR;
- (iii) la comunicazione ad altre società del gruppo ING per finalità amministrative interne, ritenuto interesse prevalente ai sensi del Considerando 48 GDPR.
Ulteriori informazioni in merito al bilanciamento degli interessi predetti possono essere richieste alla Banca, ai contatti indicati all’art. 10 della presente informativa.
5. Come trattiamo i dati e quali misure di sicurezza adottiamo?
In relazione alle finalità descritte nel precedente paragrafo, il trattamento dei dati personali avviene mediante strumenti informatici e telematici con logiche strettamente correlate alle finalità sopra evidenziate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi (con particolare riguardo al caso di utilizzo di tecniche di comunicazione a distanza). Per proteggere i dati degli Utenti la Banca adotta una serie di policy interne aggiornate periodicamente per rimanere allineati alle migliori best practice internazionali. Conformemente alla normativa in materia di protezione dei dati personali, la Banca adotta le misure tecniche e organizzative (procedure e politiche aziendali, misure di sicurezza IT etc.) per garantire la confidenzialità e l’integrità dei dati personali.
6. Quali altri soggetti possono venire a conoscenza dei dati?
I dati degli Utenti potranno essere oggetto di comunicazione e trasferimento per le finalità di cui al paragrafo 4. In particolare, potranno essere comunicati ai seguenti destinatari o categorie di destinatari:
- altre società del Gruppo di cui è parte ING BANK N.V. - Milan Branch, o società controllanti, controllate o collegate in forza delle vigenti Binding Corporate Rules (BCR);
- professionisti o società di servizi per l’amministrazione e gestione aziendale che operino per conto della Banca;
- Autorità Giudiziaria e forze di polizia;
- autorità e organi di vigilanza e controllo ed in generale soggetti, pubblici o privati, con funzioni di rilievo pubblicistico (es.: UIF, Banca d’Italia), dai quali i dati possono essere conosciuti (anche per la prevenzione delle frodi);
- soggetti che forniscono servizi per la gestione del sistema informativo della Banca e delle reti di telecomunicazioni (ivi compresa la posta elettronica e il CRM – Customer Relationship Management);
- soggetti che svolgono attività di archiviazione della documentazione e data entry;
- soggetti che svolgono attività di comunicazione al pubblico (es.: call center, help desk, etc.);
- soggetti che svolgono attività di informazione commerciale e promozionale;
- studi o società nell’ambito di rapporti di assistenza e consulenza, anche legale e fiscale;
- terzi che offrono servizi web social media, nel caso di richieste e commenti a pagine web gestite dalla Banca.
I soggetti appartenenti alle categorie sopra riportate operano in totale autonomia come distinti titolari del trattamento o in qualità di responsabili del trattamento nominati dalla Banca. L'elenco (quanto ai responsabili) è costantemente aggiornato e reperibile nell’apposita sezione Privacy presente sul Sito. Informazioni circa i titolari autonomi e altri terzi destinatari sono disponibili a richiesta verso la Banca.
Inoltre, i dati potrebbero essere conosciuti dai dipendenti della Banca i quali sono stati appositamente nominati persone autorizzate al trattamento.
7. Dove possono essere trasferiti i dati?
I dati degli Utenti potrebbero essere trasferiti anche in Paesi extra-Ue nei confronti delle categorie dei soggetti indicati nel precedente paragrafo. Le basi per tali trasferimenti sono le seguenti:
- a) garanzie adeguate del trasferimento al di fuori dell’Unione Europea (art. 46 GDPR), ovvero mediante norme vincolanti d’impresa (Binding Corporate Rules - BCR), per quanto concerne le comunicazioni infra Gruppo. Le informazioni relative alle BCR sono disponibili a richiesta degli Utenti secondo le modalità specificate al successivo par. 10;
- b) nel caso, invece, di comunicazioni a soggetti terzi, le informazioni aggiornate sui trasferimenti (e relative basi di trasferimento, come apposite clausole contrattuali idonee ad assicurare un livello di protezione adeguato e Paesi di destinazione) sono disponibili a richiesta dell’interessato secondo le modalità specificate al successivo par. 10.
8. Quanto tempo conserviamo i dati?
Come regola generale, i dati degli Utenti sono conservati soltanto per il tempo necessario per conseguire le finalità indicate al paragrafo 4 della presente informativa nel rispetto del principio di proporzionalità e necessità previsti dalla normativa in materia di protezione dei dati personali. Nel determinare il periodo di conservazione, la Banca si basa sulle leggi applicabili alle attività e ai settori in cui opera (ad esempio leggi antiriciclaggio, leggi in materia di tenuta dei registri contabili) nonché alle indicazioni fornite dal Garante per la protezione dei dati personali attraverso i provvedimenti (a titolo esemplificativo, tempistiche di conservazione per finalità di marketing e di profilazione, ecc.).
Le tempistiche per le varie finalità indicate al precedente paragrafo 4 sono le seguenti:
- a) par. 4.a (richieste dell’interessato) e 4.c.iii (legittimo interesse – amministrazione del Gruppo): per tutta la durata necessaria a soddisfare le richieste degli Utenti, in particolare, per quanto necessario a consentire la navigazione del Sito;
- b) par. 4.b (obbligo di legge): per tutta la durata prevista dalle norme applicabili;
- c) par. 4.c.i (legittimo interesse – tutela di un diritto): fino al termine di prescrizione applicabile, ad es. 10 anni ex art. 2946 c.c.;
- d) par. 4.c.ii (legittimo interesse – sicurezza delle reti e dei sistemi informativi): fino a 6 mesi dalla raccolta dei dati;
Una volta trascorsi i termini di conservazione sopra esposti, la Banca provvederà alla cancellazione o alla trasformazione in forma anonima dei dati.
9. Quali sono i diritti degli Interessati?
La normativa in materia di protezione dei dati personali conferisce agli Interessati la possibilità di esercitare specifici diritti. In particolare, ove pertinente e applicabile, gli Utenti hanno il diritto di ottenere:
- a) conferma dell’esistenza o meno di dati che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile - (diritto di accesso);
- b) informazioni circa l’origine dei dati personali, le finalità e le modalità del trattamento nonché la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici - (diritto di accesso);
- c) indicazione degli estremi identificativi del titolare e del DPO, nonché dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza - (diritto di accesso);
- d) la cancellazione, la trasformazione in forma anonima dei dati trattati in violazione di legge, l’aggiornamento, la rettificazione o, quando vi ha interesse, l’integrazione dei dati - (diritti di rettifica e cancellazione);
- e) la limitazione, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta - (diritto di limitazione);
- f) in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali forniti e di trasmetterli, direttamente o per mezzo del titolare, ad un altro titolare del trattamento se tecnicamente possibile - (diritto alla portabilità dei dati);
- g) l’Interessato può, inoltre, opporsi in qualsiasi momento, per motivate ragioni connesse alla situazione particolare dell’interessato stesso, al trattamento dei Suoi dati personali basati sul legittimo interesse (come indicati al par. 4), a fronte di una valutazione della Banca sull’ammissibilità di tali ragioni - (diritto di OPPOSIZIONE);
- h) qualora l’Interessato ritenga che i suoi diritti siano stati violati dal Titolare del trattamento e/o da un terzo avrà, inoltre, il diritto di proporre reclamo al Garante per la protezione dei dati personali e/o ad altra autorità di controllo competente (ai sensi dell’art. 77 GDPR, quindi ove l’Interessato risiede abitualmente, lavora oppure ove si è verificata la presunta violazione).
10. Chi è possibile contattare per maggiori informazioni?
Il Titolare del trattamento dei dati personali di cui alla presente Informativa è ING BANK N.V. - Milan Branch, con sede in Milano, Viale Fulvio Testi 250, CAP 20126, iscritta all’Albo delle banche al n. 5229. Un Responsabile della protezione dei dati personali (Data Protection Officer - DPO) è stato nominato dalla Banca ed è domiciliato presso la sua sede.
In caso di esercizio dei diritti di cui al paragrafo 9, le richieste possono essere presentate al Titolare per iscritto alla sede o mediante messaggio di posta elettronica inviato alla casella privacy.it@ing.com, indicando nell’oggetto “Esercizio dei diritti dell’interessato” o simile dicitura. Le comunicazioni indirizzate al DPO possono essere presentate ai medesimi recapiti e con gli stessi mezzi, indicando nell’oggetto “All’attenzione del DPO” o simile dicitura. Le richieste di cui al precedente paragrafo 9, lett. a), b) e c) possono essere formulate anche oralmente.