INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI PER IL PROGRAMMA DI CASHBACK DI STATO AI SENSI E PER GLI EFFETTI DELGLI ARTT. 13 E 14 DEL REGOLAMENTO 2016/679 UE “REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI” (“INFORMAZIONI PRIVACY”)

Desideriamo informarLa che il Regolamento (UE) 2016/679 (“GDPR”) e la relativa normativa italiana di riferimento pro tempore vigente, i.e. D.Lgs. n. 196/2003, come modificato dal D.Lgs. n. 101/2018, (insieme al GDPR, “Normativa Privacy”) - ivi compresi i provvedimenti emanati dall’Autorità Garante per la Protezione dei Dati Personali (“Garante”) - dettano norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, tutelando i diritti e le libertà fondamentali delle stesse e, in particolare, il diritto alla protezione dei dati personali. Ai sensi degli artt. 13 e 14 del GDPR, La informiamo qui di seguito delle modalità e delle finalità con cui BANCOMAT S.p.A., con sede unica in Roma, Via Silvio D’Amico n. 53, 00145, in qualità di titolare del trattamento (“Titolare”), tratterà i dati personali dei fruitori del programma governativo di c.d. “cashback di Stato” - disciplinato dall’art. 73 del D.L. del 14 agosto 2020 n. 14, convertito con modificazioni dalla Legge 13 ottobre 2020 n. 126 e dai commi 288 - 290 della Legge 27 dicembre 2019 n. 160, cui è seguito il relativo decreto di attuazione (“Decreto”) del Ministero dell’Economia e delle Finanze (“MEF”) – che viene messo a disposizione dei cittadini attraverso i sistemi (App IO e relativa piattaforma tecnologica) di titolarità della società PagoPA S.p.A. (“PagoPA”) ovvero attraverso i canali di Banche e altri Prestatori di Servizi di Pagamento (“Aderenti”).

Il programma di cashback di Stato (“Programma”) è finalizzato all’incentivazione dei pagamenti elettronici effettuati mediante carte di debito e carte prepagate (“Strumenti di Pagamento Elettronici”) da parte di cittadini maggiorenni che effettuano acquisti al di fuori della propria attività professionale (“Compratori”) presso soggetti che svolgono attività di vendita di beni e di prestazioni di servizi (“Esercenti”). I Compratori, a seguito dell’iscrizione al Programma nei tempi e nei modi previsti dal Decreto, assunta la qualità di partecipanti al Programma stesso (“Partecipanti”) ed effettuato un certo numero di acquisti presso gli Esercenti mediante Strumenti di Pagamento Elettronici (“Transazioni”), possono vedersi riconoscere dallo Stato, ai sensi della normativa sopra richiamata, un rimborso in denaro (“Bonus Pagamenti Digitali” o “BPD”), in misura percentuale rispetto al numero di Transazioni effettuate.

Il corretto funzionamento del meccanismo descritto presuppone che vengano comunicate a PagoPA da parte dei soggetti legittimati, le informazioni relative agli Strumenti di Pagamenti Elettronici utilizzati dai Partecipanti e quelle relative alle Transazioni rilevanti nell’ambito del Programma, in quanto idonee a concorrere alla corresponsione del BPD (“Informazioni”). Il processo di recupero delle Informazioni è effettuato da parte degli Aderenti Issuer (detentori dei dati inerenti agli Strumenti di Pagamento Elettronici) e degli Aderenti Acquirer (detentori delle Transazioni rilevanti), anche attraverso la collaborazione di BANCOMAT S.p.A., in qualità di Governance Authority dei circuiti (“Circuiti”) sui quali operano gli Strumenti di Pagamento Elettronici a marchio PagoBANCOMAT® e BANCOMAT Pay® (“Carte”), con il compito – sulla base di specifici accordi con PagoPA e con gli Aderenti convenzionati da PagoPA - di agevolare i Partecipanti nelle operazioni di iscrizione al Programma e recupero delle Informazioni per ottenere il BPD, laddove non vi provvedessero autonomamente gli Aderenti stessi.

I dati personali (complessivamente “Dati”) trattati dal Titolare nell’ambito del Programma sono:

• i dati dei Partecipanti iscritti al Programma tramite App IO e trasmessi a BANCOMAT S.p.A. da PagoPA (codice identificativo del Partecipante – “ID” e Codice Fiscale – “F.”) in correlazione con quelli ricevuti dalle strutture tecniche incaricate dagli Aderenti Issuer che hanno emesso le Carte PagoBANCOMAT® (codice identificativo della Carta – “PAN”, con indicazione di data di scadenza e stato della Carta medesima, associato al C.F. indicato da PagoPA), che BANCOMAT S.p.A. restituisce a PagoPA per consentire a quest’ultima la corretta associazione della Carta al Partecipante;
• i dati dei Partecipanti iscritti al Programma tramite App IO e trasmessi a BANCOMAT S.p.A. da PagoPA (ID e C.F.) in correlazione con quelli contenuti all’interno della piattaforma sulla quale opera il Servizio BANCOMAT Pay® (numero di telefono, associato al C.F. indicato da PagoPA), che BANCOMAT S.p.A. restituisce a PagoPA per consentire a quest’ultima la corretta associazione della Carta (i.e. utenza BANCOMAT Pay®) al Partecipante;
• i dati delle Transazioni PagoBANCOMAT® (ricevute da BANCOMAT S.p.A. dagli Aderenti Acquirer) e BANCOMAT Pay® (conservate all’interno della piattaforma BANCOMAT Pay®) - associate alle Carte dei Partecipanti - che concorrono all’attribuzione del BPD e inviate giornalmente da BANCOMAT S.p.A. a PagoPA.
• i dati degli utenti del Servizio BANCOMAT Pay® che intendano iscriversi al Programma mediante App BANCOMAT Pay® e ciò nel solo caso di scelta da parte del Partecipante di BANCOMAT Pay® quale metodo di pagamento utile ai fini del riconoscimento del BPD (fermo restando che, per la registrazione di altri metodi di pagamento diversi da BANCOMAT Pay® gli utenti dovranno utilizzare l’App IO o i canali alternativi previsti nel DM). In tal caso BANCOMAT S.p.A. gestirà i soli dati richiesti per la corretta registrazione al Programma del Partecipante stesso (C.F. e numero di telefono), consentendo a quest’ultimo di interfacciarsi, per tutte le ulteriori attività inerenti al Programma (tra cui, in particolare, il numero di Transazioni concorrenti al cashback) di interfacciarsi con i sistemi di PagoPA (i.e. App IO) e di tenere dunque sotto controllo la propria situazione nell’ambito del Programma. Si ricorda che termini e condizioni di tale funzionalità sono reperibili nella sezione dedicata in App BANCOMAT Pay® e che l’informativa privacy completa relativa all’utilizzo dei dati degli utenti da parte di BANCOMAT S.p.A. nell’ambito dei propri servizi e, quindi, anche in relazione all’utilizzo dell’App BANCOMAT Pay®, è reperibile al seguente link: https://bancomat.it/it/bancomat/linformativa-privacy-ai-titolari-di-carte. Tali dati personali funzionali all’iscrizione la Programma verranno trattati da PagoPA in qualità di titolare autonomo del trattamento per le finalità dalla stessa indicate all’interno delle relative informazioni privacy.

Il trattamento dei Dati è necessario, in quanto, in caso di mancata comunicazione degli stessi e ove gli Aderenti non vi provvedano autonomamente, non sarà possibile consentire ai Cittadini di partecipare al Programma e, dunque, di concorrere all’attribuzione del BPD da parte dello Stato con una delle modalità normativamente previste e che prevede specificamente il coinvolgimento del Titolare.

I Dati sono trattati secondo le seguenti basi giuridiche e finalità di trattamento:

1. ex art. 6, paragr. 1, lett. c) del GDPR, per adempiere agli obblighi di legge e regolamentari previsti dalla normativa vigente, nonché per ottemperare a richieste e provvedimenti della Pubblica Amministrazione e/o delle ulteriori Pubbliche Autorità coinvolte;
2. ex art. 6, paragr. 1, lett. e) del GDPR, per l’esecuzione di un compito di interesse pubblico di cui il Titolare è investito per mezzo di Decreto del MEF e della convenzione stipulata con PagoPA;
3. ex art. 6, paragr. 1, lett. b) del GDPR, per dare corretta esecuzione alle previsioni contenute nelle condizioni di partecipazione al Programma rese note dalla Pubblica Amministrazione e accettate dal Partecipante in sede di adesione al Programma medesimo, che costituiscono – assieme al Decreto - l’unico accordo tra BANCOMAT S.p.A. e i Partecipanti stessi, finalizzato a disciplinare i reciproci rapporti, nonché per lo svolgimento delle attività connesse e conseguenti;
4. ex art. 6, paragr. 1, lett. f) del GDPR, per perseguire il legittimo interesse del Titolare:

• a esercitare o difendere un diritto in sede giudiziale o stragiudiziale in caso di eventuali contenziosi relativi all’attuazione del Programma, senza che ciò possa in alcun modo comportare un qualsivoglia pericolo per i diritti e delle libertà degli interessati;
• a svolgere attività istituzionali di monitoraggio e di controllo della correttezza delle transazioni nell’ambito dei Circuiti.

È in ogni caso espressamente esclusa qualsiasi finalità di marketing e/o marketing profilato nell’ambito dei trattamenti in questione.

I Dati saranno trattati con strumenti automatizzati e non automatizzati, da personale specificamente autorizzato e appositamente formato. Adeguate misure di sicurezza sono osservate per prevenire la perdita dei Dati, usi illeciti o non corretti ed accessi non autorizzati.

La durata del trattamento è strettamente correlata alle finalità perseguite dal Titolare. Pertanto, in linea generale, la cessazione del trattamento avverrà: i) a conclusione del Programma, le cui tempistiche saranno di volta in volta rese note mediante decreti o altri provvedimenti equivalenti emanati dalle autorità competenti, fermi restando i tempi amministrativi di gestione della chiusura del Programma; ii) in un momento antecedente rispetto alla conclusione del Programma, in relazione alla minore durata del coinvolgimento del Titolare nell’ambito dell’iniziativa governativa; iii) in un momento antecedente rispetto alla conclusione del Programma, in relazione all’esercizio dei diritti di cui agli artt. 15 e ss. del GDPR da parte dell’interessato che decida di non partecipare più al Programma.

I Dati non più necessari o per i quali sia cessato il presupposto giuridico per la conservazione potranno essere alternativamente anonimizzati irreversibilmente ed utilizzati per sole finalità statistiche ovvero cancellati in modo sicuro.

I Dati trattati per adempiere a qualsiasi obbligazione contrattuale prevista dal Programma potranno essere conservati anche oltre il termine del Programma stesso e, comunque, non oltre i successivi 10 (dieci) anni, ai fini dell’assolvimento degli obblighi di legge previsti dal codice civile e dalle leggi tributarie concernenti la conservazione dei documenti aziendali, fatte salve eventuali proroghe dovute a eventi interruttivi della prescrizione legale ivi incluso il contenzioso ovvero l’esercizio del diritto di cui all’art. 17 del GDPR nei casi previsti per legge.

Potranno venire a conoscenza dei Dati raccolti i dipendenti e i collaboratori di BANCOMAT S.p.A. che si occupano della gestione del Programma, nonché i dipendenti e i collaboratori che si occupano dell’assolvimento degli obblighi di legge in materia amministrativa e fiscale. Potranno, inoltre, venire a conoscenza degli stessi le seguenti categorie di soggetti, che -in qualità di fornitori esterni all’uopo nominati responsabili del trattamento ex art. 28 del GDPR ovvero, ove ne sussistano le condizioni previste dalla normativa vigente, di titolari, forniscono a BANCOMAT S.p.A. servizi strumentali allo svolgimento della propria attività: fornitori di servizi informatici (tra i quali rientrano il fornitore della piattaforma BANCOMAT Pay® - SIA S.p.A. - incaricato della gestione della stessa e il fornitore del sistema di conservazione delle transazioni – Jakala S.p.A. - incaricato della gestione dello stesso); fornitori di servizi gestionali; fornitori di servizi amministrativi; professionisti esterni e consulenti; società di revisione esterna, la cui denominazione aggiornata potrà sempre essere richiesta a BANCOMAT S.p.A. ai recapiti più avanti indicati.

Fatto salvo quanto sopra affermato, i Dati non saranno comunicati a terzi se non nell’ambito delle obbligazioni previste dal Programma e dalla normativa di riferimento e non saranno soggetti a “diffusione”, intendendosi per diffusione la trasmissione a soggetti indeterminati, tranne che per l’esecuzione di eventuali obblighi di legge.

In particolare, i Dati potranno essere comunicati ai seguenti soggetti terzi che li tratteranno quali autonomi titolari dei rispettivi trattamenti:

• a banche e istituti di pagamento, al fine di poter effettuare o ricevere pagamenti correlati al Programma;
• alle autorità competenti in materia fiscale e tributaria, ai sensi di quanto previsto dalla legge;
• all’autorità giudiziaria o a forze di polizia, nel caso in cui fosse necessario provvedere alla denuncia di un reato o, comunque, per perseguire il proprio legittimo interesse a esercitare o difendere un diritto in sede giudiziale;
• ad avvocati e/o consulenti, ove fosse necessario per perseguire il proprio legittimo interesse a esercitare o difendere un diritto in sede giudiziale e stragiudiziale.

Ciascun Interessato conserva il diritto di esercitare, nei casi consentiti dalla legge, in qualsiasi momento, gratuitamente e senza formalità, i diritti di cui agli artt. da 15 a 22 del GDPR fra i quali: il diritto di chiedere l'accesso ai dati personali (ovvero il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati stessi, ottenendone copia, e alle informazioni di cui all’art. 15 del GDPR); la rettifica (ovvero il diritto di ottenere la rettifica dei dati inesatti che lo riguardano o l'integrazione dei dati incompleti) o la cancellazione degli stessi (ovvero il diritto di ottenere la cancellazione dei dati che lo riguardano, se sussiste uno dei motivi indicati dall’art. 17 del GDPR); la limitazione del trattamento che lo riguarda (ovvero il diritto di ottenere, nei casi indicati dall’art. 18 del GDPR, il contrassegno dei dati conservati con l'obiettivo di limitarne il trattamento in futuro), nonché il diritto alla portabilità dei dati (ovvero il diritto, nei casi indicati dall’art. 20 del GDPR, di ricevere, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati che lo riguardano, nonché di trasmettere tali dati a un altro titolare del trattamento, senza impedimenti). Ciascun Interessato ha, inoltre, il diritto di opporsi, in qualsiasi momento, per motivi connessi alla propria situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'art. 6, paragr. 1, lett. f) del GDPR.

Le richieste inerenti all’esercizio dei diritti sopra descritti vanno rivolte a BANCOMAT S.p.A., con sede unica in Via Silvio D’Amico n. 53, 00145, Roma; e-mail: privacy@bancomat.it.

Al riscontro a detta istanza è deputato il Responsabile della Protezione dei Dati designato da BANCOMAT S.p.A. ai sensi degli artt. 37 e ss. del GDPR contattabile ai predetti recapiti.

L’Interessato che ritenga che il trattamento dei suoi dati personali contemplato dalla presente informativa avvenga in violazione di quanto previsto dal Regolamento ha il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, come previsto dall'art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

Ulteriori richieste non afferenti al trattamento dei dati personali da parte di BANCOMAT S.p.A. potranno essere inoltrate direttamene a PagoPA ovvero alla casella di posta assistenzaclienti@bancomat.it, che provvederà ad inoltrare tali richieste ai corretti destinatari.

Il Titolare

BANCOMAT S.p.A.