Informativa relativa al sito web
Dati personali e riservatezza: come ce ne occupiamo.
Il trattamento dei dati
INFORMATIVA RESA AI SENSI DELL’ART. 13 E 14 DEL REGOLAMENTO UE 2016/679 E DELLA NORMATIVA NAZIONALE VIGENTE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
I tuoi dati personali raccolti attraverso questo sito vengono trattati da Compass Banca S.p.A. (di seguito, “Compass”), con sede in Via Caldera, 21 - 20153 Milano, in qualità di Titolare del trattamento, ai sensi del Regolamento UE 2016/679 (di seguito, “Regolamento” o “GDPR”) e della normativa nazionale vigente in materia di protezione di dati personali (di seguito, unitamente al GDPR, “Normativa Privacy”).
Fonte dei dati personali
I dati personali sono raccolti in occasione:
- della compilazione on-line di una richiesta di appuntamento, di finanziamento, di un servizio di pagamento o di una polizza assicurativa,
- dell'accesso all'area riservata ai clienti Compass,
- della ricezione da parte di Compass di richieste di informazioni da te effettuate anche mediante il servizio telefonico di assistenza alla clientela,
- della partecipazione ad iniziative promozionali,
- dell'accesso all'area del sito "diventa dealer", al fine di un'eventuale instaurazione di un rapporto commerciale con Compass.
Finalità del trattamento e natura facoltativa o obbligatoria del conferimento dei dati personali
I tuoi dati personali, raccolti nelle occasioni descritte dal punto 1 al punto 4, vengono trattati, anche con riferimento a contratti con Compass, per le seguenti finalità:
a) evasione della tua richiesta di fissa appuntamento e/o di ricevere informazioni.
b) adempimento degli obblighi previsti dalla legge, da regolamenti, dalla normativa comunitaria (es. legge antiriciclaggio, istruzioni di vigilanza per le banche che impongono ai gruppi bancari la gestione accentrata e il controllo di tutti i rischi del gruppo a livello consolidato e riguardo al rischio di credito prevedono l’adozione di una base informativa comune che consenta a tutte le società appartenenti al gruppo di conoscere l’esposizione
dei clienti nei confronti del gruppo nonché le valutazioni inerenti alle posizioni dei soggetti affidati; disposizioni sull’adesione degli intermediari finanziari ad un sistema pubblico di prevenzione delle frodi connesse al furto dell’identità; Il Titolare informa la clientela interessata che i dati personali trattati possono essere oggetto di comunicazione ad altri Titolari del trattamento nell'ambito del medesimo Gruppo bancario; disposizioni di
vigilanza informativa con obblighi di segnalazioni alla Centrale dei Rischi, adempimenti relativi al sistema informativo sull’indebitamento della clientela, valutazione del merito creditizio sulla base di informazioni adeguate, e banche dati pertinenti, rispetto della direttiva sui servizi di pagamento).
Esecuzione delle attività necessarie e strettamente connesse e strumentali alla gestione dei rapporti contrattuali (es. valutazione del merito creditizio e connessa elaborazione statistica, prevenzione delle frodi, anche attraverso strumenti di accertamento dell’identità, prevenzione del sovraindebitamento, tutela e recupero dei crediti, gestione dei rapporti contrattuali, verifica dell’adempimento agli obblighi di informativa precontrattuale
e contrattuale da parte degli addetti autorizzati al trattamento e degli intermediari del credito; verifica del grado di soddisfazione della clientela; cessione del credito). Si ricorda che il conferimento dei dati personali funzionale alla trattativa, alla conclusione e all’esecuzione dei rapporti contrattuali è obbligatorio e non richiede il consenso dell’Interessato. Il mancato conferimento dei dati per queste finalità, potrebbe comportare l’impossibilità di dare seguito alla richiesta dell’Interessato e rendere non esercitabile né garantito il diritto dell’Interessato derivante dal contratto. Diversamente occorrerà il consenso dell'Interessato qualora vengano trattati dati particolari che lo caratterizzino per appartenenza politica, religiosa, razziale o altra tra quelle indicate nell'art. 9 GDPR.
Per il perseguimento di dette finalità contrattuali, i dati personali possono essere comunicati a società appartenenti al Gruppo Mediobanca e da queste ultime acquisiti, sempre
e solo secondo il principio di essenzialità e minimalità del trattamento (Provv. Garante n. 192 del maggio 2011).
Il conferimento dei dati personali per queste finalità è obbligatorio.
c) ricerche di mercato, attività commerciali e promozionali relative a prodotti e servizi di Compass, nonché di Società appartenenti al Gruppo Mediobanca, alle quali i dati personali potrebbero essere comunicati e la cui identità è conoscibile presso le filiali, anche sulla base di valutazioni di adeguatezza volte a prevenire il sovraindebitamento e verificando la coerenza dei prodotti offerti, in adempimento alle disposizioni di vigilanza.
Le comunicazioni commerciali e promozionali potranno essere veicolate mediante strumenti tradizionali (posta cartacea) e anche mediante l’uso di tecniche di comunicazione a distanza, quali telefono, anche senza operatore, posta elettronica, mms, applicazioni informatiche (APP), area riservata, sms, altri servizi di messaggistica, fax, motori di ricerca, siti web, piattaforme web, ovvero attraverso social network. In adempimento delle disposizioni di vigilanza sono utilizzati strumenti anche informatici per verificare la coerenza dei prodotti
allo stesso offerti. Il conferimento dei dati per questa finalità è facoltativo e il trattamento richiede il consenso dell’Interessato. In caso di rifiuto non ci saranno conseguenze per le eventuali richieste e i rapporti esistenti dell’interessato.
d) svolgimento di attività di profilazione (mediante sistemi tecnologici automatizzati gestiti con procedure di sicurezza a garanzia della riservatezza dei dati) consistenti nell'individuazione di preferenze, gusti, abitudini, necessità e scelte di consumo volti alla definizione del profilo dell’Interessato al fine di migliorare i prodotti o servizi offerti e soddisfare le esigenze dell’Interessato medesimo, nonché grazie alle quali effettuare, in
relazione allo specifico consenso, comunicazioni a carattere promozionale, pubblicitario o commerciale personalizzate, da parte dei soggetti sopra indicati e con i mezzi precedentemente indicati.
La profilazione ai fini di marketing viene effettuata incrociando dati personali e comportamentali in possesso del Titolare, con possibilità di tenere in considerazione anche l’esperienza digitale dell’utente rilevata tramite cookies di Prima Parte (ma solo se l’utente ha rilasciato lo specifico consenso al loro utilizzo).
Il conferimento dei dati per questa finalità è facoltativo e il trattamento richiede il consenso dell’Interessato. In caso di rifiuto non ci saranno conseguenze per le eventuali richieste e i rapporti esistenti dell’interessato.
I dati personali raccolti in occasione di quanto descritto al precedente punto 5) sono necessari per poter essere contattati da Compass al fine di un'eventuale instaurazione di un rapporto commerciale. Il conferimento dei dati richiesti per tale finalità è obbligatorio per attivare il processo di contatto da parte di Compass e un'eventuale rifiuto a fornirli comporta l'impossibilità di attivare tale contatto.
Nel caso di compilazione on-line di una richiesta di finanziamento o di una carta di credito/linea di fido l'informativa prevista dall'art. 13 del Regolamento e dall'art. 5 del codice deontologico sui sistemi di informazioni creditizie (G.U.n.300 del 23 dicembre 2004) è resa da Compass all'inizio della procedura di compilazione del form di inserimento dei dati.
La riservatezza e l'integrità dei dati conferiti durante la compilazione on-line è protetta mediante l'utilizzo del protocollo SSL (Secure Socket Layer) a 128 bit e di chiavi e certificati rilasciati da GlobalTrust Certification Authority.
In caso di richieste di informazioni effettuate anche mediante il servizio telefonico di assistenza alla clientela l'acquisizione dei tuoi dati personali costituisce presupposto indispensabile per le conseguenti operazioni di tuo interesse nonchè per effettuare eventuali verifiche e/o indagini/sondaggi sulla qualità del servizio offerto, al fine di migliorarlo e personalizzarlo. Precisiamo che, a tal fine, il contenuto delle comunicazioni o conversazioni telefoniche potrà essere appreso da altri incaricati di Compass oltre che dall'operatore telefonico, essendo utilizzati dispositivi che consentono l'eventuale ascolto della conversazione da parte di altri soggetti.
Base giuridica
La base giuridica è costituita:
- per il trattamento di cui al punto a) e b) dall'obbligo di legge, dall'esecuzione del contratto e dal consenso espresso;
- per il trattamento di cui ai punti c) e d) dal consenso espresso
Laddove il trattamento sia necessario per il perseguimento del legittimo interesse di Compass o di terzi, esso potrà essere svolto a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’Interessato.
Modalità di trattamento dei dati
Il trattamento dei dati personali, che possono essere raccolti anche attraverso specifiche dichiarazioni, format online o questionari, avviene mediante strumenti manuali, informatici e telematici, e consiste in elaborazione elettronica, consultazione, raffronto con criteri prefissati, trasmissione e comunicazione, con esclusione della diffusione, dei dati ai soggetti terzi sotto indicati e in ogni altra opportuna operazione relativa al conseguimento delle predette finalità, anche mediante trattamenti continuativi.
Inoltre i dati personali trattati in modo automatizzato possono essere alla base di verifiche e decisioni per l'accesso ai servizi richiesti, tra cui, a titolo esemplificativo, l'acquisizione del credito. Tali processi laddove utilizzati (per determinate categorie di finanziamenti e/o classi di importo richiesto) sono obbligatori per la conclusione del contratto. I criteri adottati per tali valutazioni tengono conto dei dati personali forniti, di quelli eventualmente in possesso di Compass e di quelli raccolti attraverso terzi tra cui i Sistemi di Informazioni Creditizie. Il Titolare dà atto di avere adottato idonee procedure e misure connesse al trattamento automatizzato a garanzia e tutela
dell’Interessato che può esercitare i suoi diritti mediante comunicazione scritta da inviarsi a: info@compass.it.
Categorie di dati personali e fonte dei dati.
Compass tratta i dati personali forniti liberamente dall'Interessato o raccolti presso terzi quali, a titolo meramente esemplificativo:
a. dati identificativi (es. nome, cognome, indirizzo, data e luogo di nascita, nazionalità. Codice fiscale, sesso, indirizzo IP qualora usufruisse dei servizi per via telematica);
b. dati relativi all'immagine dell’Interessato (es. foto su carta d'identità) al fine di accertare manualmente per scopi antifrode l’identità tra il soggetto che richiede la stipula del Contratto (come di seguito definito) e quella indicata sul documento d’identità fornito e ottenuti consultando le banche dati istituite per valutare il rischio creditizio e di frodi ed eventuali registrazioni vocali ;
c. Informazioni di contatto (indirizzo di domicilio e residenza, indirizzo email e/o PEC, numero telefonico);
d. Situazione famigliare (es. stato civile, numero dei figli);
e. dati relativi alla formazione e occupazione (es. livello di formazione, impiego, nome del datore di lavoro, retribuzione);
f. informazioni finanziarie e dati trasnazionali (es. dettagli del conto corrente, numero carta di credito, debiti e spese, trasferimenti di denaro, storia del credito, valore delle attività);
g. dati relativi alla situazione fiscale;
h. dati relativi alle preferenze dell'interessato;
i. dati relativi all'utilizzo dei prodotti e servizi di Compass o del Gruppo Mediobanca;
j. dati forniti per interazioni con il Gruppo Mediobanca: presso succursali (rapporti di contatto), sui siti internet, le app, pagine di social media, registrazioni telefoniche;
k. dati relativi alle immagini registrati mediante sistema di Videosorveglianza (comprese le telecamere a circuito chiuso).
l. Categorie particolari di dati: per le Finalità Funzionali allo svolgimento dell'istruttoria preliminare comprensiva di valutazione del merito creditizio, di una richiesta di inanziamento, Compass può raccogliere e trattare categorie particolari di dati personali (art. 9 Regolamento) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
I Dati, non appartenenti alle categorie particolari, potrebbero essere forniti e/o raccolti da e/o presso Terzi, in caso ad esempio di:
a. pubblicazioni/database messi disposizione dalle Autorità e fonti pubbliche;
b. società alle quali l'Interessato ha fornito il consenso per la comunicazione dei dati;
c. soggetti terzi quali Sistemi di informazioni Creditizie o Sistemi di prevenzione delle frodi o intermediari di dati in conformità con la normativa vigente;
d. Siti web, pagine di social media contenenti informazioni rese pubbliche dall'Interessato.
Qualora i dati provengano da terzi Compass fornisce all’interessato le informazioni di cui all’art. 14 comma 1 e 2 del GDPR salvo esse siano già conosciute dall’Interessato (art. 14 comma 5 lettera a).
Soggetti ai quali possono essere comunicati i dati personali
Ogni informazione resa a soggetti terzi è improntata ai principi di correttezza, liceità, trasparenza e tutela dei diritti dell’Interessato e connessa finalità specifiche nonché alle singole basi giuridiche già indicate.
I dati personali possono essere comunicati da Compass ai seguenti soggetti, anche esteri, che li tratteranno in qualità di autonomi titolari del trattamento o responsabili del trattamento:
- per obblighi di legge, di regolamenti e normativa comunitaria ovvero per le attività connesse e strumentali all’esecuzione degli obblighi contrattuali:
Sistemi di Informazioni Creditizie (per il trattamento effettuato da tali enti si veda la specifica Informativa); soggetti che forniscono informazioni commerciali; società che svolgono servizi di pagamento; società che gestiscono circuiti internazionali di servizi di pagamento; soggetti privati e pubblici dai quali i dati possono essere conosciuti (anche per la prevenzione delle frodi).
In particolare, Compass: i) partecipa al Sistema pubblico di prevenzione del Ministero dell’Economia e delle Finanze e conseguentemente accede all’archivio centrale informatizzato gestito dalla CONSAP, al fine di consultare/comunicare i dati di cui all’art. 30-ter, commi 7 e 7-bis del D.lgs. 141/2010 ii) può comunicare/consultare banche dati gestite da soggetti privati ai fini dell’accertamento dell’identità dei clienti); UIF (Unità di Informazione Finanziaria) e intermediari finanziari appartenenti al Gruppo Mediobanca, in base a quanto disposto dalla normativa antiriciclaggio (cfr. articolo 39, co. 3 del Decreto Legislativo n. 231/2007 e successive modifiche e integrazioni), che prevede la possibilità di procedere alla comunicazione dei dati personali relativi alle segnalazioni considerate sospette tra gli intermediari finanziari facenti parte del medesimo Gruppo; Centrale dei Rischi; società del Gruppo Mediobanca anche per l’adozione di una base informativa comune che consenta a tutte le società appartenenti al Gruppo di conoscere l’esposizione dei clienti nei confronti del Gruppo nonché le valutazioni inerenti alle posizioni dei soggetti affidati; imprese di assicurazioni; rivenditori convenzionati; società di recupero crediti; outsourcers; associazioni di categoria; agenti; mediatori; promotori; agenzie o filiali; società di factoring; banche; intermediari finanziari e intermediari del credito, ai quali, tra l’altro, può essere ceduto il credito; soggetti che curano la revisione contabile e la certificazione del bilancio;
- per attività commerciali e promozionali relative a prodotti e servizi di Compass, di Società appartenenti al gruppo Mediobanca, di Società terze, nel caso abbia espresso lo specifico consenso:
società del Gruppo Mediobanca; Società terze che potrebbero consultare banche dati esterne ai fini dell’individuazione dei prodotti e servizi da promuovere; società che svolgono attività di spedizione; outsourcers; società che svolgono attività commerciali e promozionali per finalità di marketing; agenzie pubblicitarie; associazioni di categoria.
I dati personali saranno trasferiti all’esterno dell’Unione europea esclusivamente in presenza di una decisione di adeguatezza della Commissione Europea o di altre garanzie adeguate previste dal GDPR (fra cui le norme vincolanti d'impresa, Scudo UE-USA e le Clausole Contrattuali Tipo di Protezione). I nominativi dei soggetti appartenenti alle suddette categorie, che possono essere situati anche all’estero, sono riportati in un elenco aggiornato disponibile presso le filiali Compass.
Responsabili e addetti autorizzati al trattamento
Per il trattamento dei dati Compass si avvale di dipendenti e collaboratori delle unità preposte alle relative attività autorizzati al trattamento.
Essi operano sotto il controllo operativo e gestionale del Titolare stesso con cui hanno contatto diretto per assumere le Direttive in relazione alle procedure interne e ai casi concreti di tutela della riservatezza dei dati personali che si presentano.
Diversamente, per altre attività che necessitano servizi esterni professionali (es. servizi informatici; attività di trasmissione, imbustamento, trasporto e smistamento della corrispondenza; servizi di registrazione tramite scansione, fotoriproduzione e archiviazione della documentazione; servizi amministrativi) Compass si avvale di soggetti terzi designati responsabili del trattamento (fra i quali M.I.S S.c.p.A., via Siusi, 7, 20132 Milano, alla quale sono affidate le attività di gestione del sistema informativo aziendale e del centro stampa).
Per il servizio crm (customer relationship management) Compass si avvale di una società responsabile del trattamento che ha sede negli USA, il cui corretto trattamento dei dati avviene secondo le modalità previste dalla normativa privacy tempo per tempo vigente (es. adesione allo scudo UE – USA, sottoscrizione di Clausole Contrattuali Tipo di Protezione). L’elenco aggiornato e completo di tutti i responsabili del trattamento può essere richiesto presso le filiali Compass o consultabile dal sito www.compass.it.
Data retention (periodo di conservazione)
Nel rispetto dei principi di proporzionalità e necessità, i dati personali saranno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali gli stessi sono trattati, (salvo il caso in cui non siamo intervenute cause di interruzione, es. causa, reclamo in corso, e salvo che la legge pro-tempore vigente non fissi termini diversi), ossia tenendo in considerazione:
- la necessità di continuare a conservare i dati personali raccolti per offrire i servizi concordati con l’utente o per tutelare l’interesse legittimo del Titolare, così come descritto nelle finalità sopraindicate, per finalità statistiche interne ai fini dei calcoli tecnici relativi alla sostenibilità dei finanziamenti e dei tassi applicabili e da applicare in ottemperanza alle valutazioni svolte da parte di Compass; in questi casi, la conservazione potrà avvenire con forme e strumenti di pseudonimizzazione e anonimizzazione previsti dalla legge.
- l’esistenza di specifici obblighi normativi (i.e. normativa codicistica, normativa in materia di antiriciclaggio, normativa fiscale, ecc.) o contrattuali che rendono necessario il trattamento e la conservazione dei dati per determinati periodi di tempo.
Trasferimento di dati personali extra – UE
I dati personali, in conformità a quanto precede e per le finalità indicate, possono essere trasferiti in Paesi extra-UE.
In tal caso, il Titolare assicura sin d'ora che il trasferimento dei dati extra-UE sarà regolato in conformità a quanto previsto dal Capo V del Regolamento e autorizzato in base a specifiche decisioni dell'Unione Europea. Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei dati basando tale trasferimento: a) su decisioni di adeguatezza dei Paesi terzi destinatari espressi dalla Commissione europea; b) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell'art. 46 del Regolamento; c) sull'adozione di norme vincolanti d'impresa.
Diritti dell’interessato
I soggetti cui si riferiscono i dati personali hanno diritto, in qualunque momento, di ottenere da Compass la conferma dell’esistenza dei dati, di un loro trattamento, il contenuto l’origine, l’esattezza, chiedendone, se del caso, l’integrazione o l’aggiornamento o la rettifica (artt. 15 e 16 del Regolamento) tramite accesso agli stessi.
Essi possono chiedere la cancellazione, la limitazione al trattamento, revocare il consenso, chiedere la portabilità dei dati, proporre reclamo all’autorità di controllo e opporsi in ogni caso, per motivi legittimi, al loro trattamento (art. 17 e ss. del Regolamento).
Il Titolare provvederà, anche tramite apposite strutture designate, a prendere in carico la richiesta e a fornire, senza ingiustificato ritardo e comunque, al più tardi, entro un mese dal ricevimento della stessa, le informazioni relative all’azione intrapresa riguardo alla richiesta.
L'Interessato potrà in qualsiasi momento esercitare i diritti a lui attribuiti anche inviando una raccomandata a.r. a Compass Banca S.p.A con sede in Via Caldera, 21 -20153, Milano ovvero una comunicazione scritta a: info@compass.it.
Compass adotta misure ragionevoli per garantire che i dati personali inesatti siano rettificati o cancellati.
Titolare del trattamento e Data Protection Officer
Titolare del trattamento
Il Titolare del trattamento è Compass Banca S.p.A. Con sede in Via Caldera, 21 – 20153, Milano, nella persona del legale rappresentante pro tempore.
Responsabile della Protezione dei dati (Data Protection Officer)
Compass ha nominato il “responsabile della protezione dei dati” previsto dal Regolamento (c.d. DPO). Per tutte le questioni relative al trattamento dei Suoi Dati Personali e/o per esercitare i diritti previsti dal Regolamento stesso può contattare il DPO ai seguenti indirizzi email: