La presente informativa sulla protezione dei dati è disponibile in più lingue. Fa fede, ed è giuridicamente vincolante, esclusivamente la versione tedesca. Le altre versioni linguistiche sono fornite unicamente a titolo informativo.
finAPI GmbH (di seguito “finAPI”), Adams-Lehmann-Straße 44, D-80797 Monaco di Baviera (AG München, HRB
175250), e-mail: kontakt@finapi.io.
Il/la Responsabile della Protezione dei Dati di finAPI è raggiungibile al suddetto indirizzo (all'attenzione del
reparto Protezione dei dati)
oppure via e-mail all'indirizzo datenschutz@finapi.io.
a) finAPI è un istituto di pagamento soggetto alla vigilanza dell'Autorità federale di vigilanza finanziaria
tedesca (BaFin),
che fornisce servizi di informazione sui conti e servizi di iniziazione di pagamenti.
Con il servizio di informazione sui conti forniamo, tramite il vostro fornitore di servizi (ad es. commerciante
online,
banca erogatrice, piattaforma di gestione finanziaria, fornitore di valutazioni di solvibilità), un servizio che
vi consente
di recuperare le vostre informazioni di conto, prepararle, se del caso a seconda del servizio richiesto
(ad es. categorizzazione dei dati come determinazione di reddito, canone di locazione, numero di addebiti
respinti) e
metterle a disposizione del vostro fornitore di servizi. A tal fine effettuate l’accesso al vostro online
banking tramite la nostra interfaccia web
o tramite l’interfaccia web della vostra banca. finAPI quindi recupera le informazioni di conto
presso la vostra banca e trasmette al fornitore di servizi da voi selezionato le informazioni di conto
necessarie per l'erogazione della singola prestazione.
Con il servizio di iniziazione di pagamenti vi consentiamo di avviare ordini e operazioni di pagamento presso il
vostro
prestatore di conto. Prima dell’invio, il vostro limite disponibile può essere verificato.
Per fornire i servizi di informazione sui conti e di iniziazione di pagamenti è necessario trattare i vostri
dati personali.
La finalità del trattamento è, in primo luogo, l’adempimento dei nostri obblighi contrattuali
nei vostri confronti in qualità di utenti finali o interessati, nonché nei confronti dei nostri clienti (il
vostro fornitore di servizi).
b) In quanto istituto di pagamento, finAPI è soggetta a specifici requisiti di vigilanza e obblighi regolamentari quali prevenzione, individuazione e accertamento di frodi o prevenzione del finanziamento del terrorismo. Quando utilizzate i servizi di informazione sui conti e di iniziazione di pagamenti di finAPI, i vostri dati personali possono essere trattati anche da noi per adempiere a tali obblighi di legge.
c) Nell'ambito dei pagamenti e per aumentare la sicurezza delle vostre transazioni, eseguiamo una verifica del beneficiario (= Verification of Payee – VOP ai sensi del Regolamento UE sui pagamenti istantanei (UE) 2024/886). Il nome e l’IBAN del beneficiario vengono automaticamente confrontati con i dati conservati presso la banca del beneficiario. Ciò si applica ai bonifici SEPA e ai bonifici istantanei SEPA all’interno di UE/SEE; altri conti che non sono conti di pagamento sono esclusi (ad es. conti di risparmio). I clienti aziendali (imprese), in qualità di pagatori, possono escludere volontariamente la verifica del beneficiario per i bonifici cumulativi. Il trattamento di tali dati serve esclusivamente a consentire l’attribuzione e la verifica del beneficiario in conformità con le disposizioni di sicurezza per i servizi di pagamento.
d) Garantire la sicurezza e l’operatività IT può, in determinate circostanze, richiedere il trattamento dei vostri dati personali. Inoltre trattiamo i dati recuperati, nella misura consentita dalla legge e necessaria di volta in volta, per finalità interne. Ciò include il trattamento per l’assicurazione della qualità (ad es. svolgimento di valutazioni e analisi dei nostri servizi), il miglioramento e l’ampliamento dei nostri servizi (come l’addestramento della categorizzazione dei movimenti di conto) e le connesse attività di ricerca e sviluppo di finAPI o di società a essa collegate. Possiamo inoltre trattare i vostri dati personali, ove opportuno, per la nostra gestione dei crediti o per il marketing diretto dei nostri servizi. Se ci contattate, ad es. per e-mail, trattiamo i dati da voi forniti per la gestione della richiesta e per eventuale corrispondenza successiva. Se possibile, anonimizzamo o pseudonimizziamo i vostri dati.
e) I servizi finAPI sono disponibili anche per conti del Regno Unito (di seguito “conti UK”). Il collegamento dei conti UK avviene tramite il partner token.io Ltd. (di seguito “partner token”), che dispone dell’autorizzazione delle autorità britanniche a fornire servizi finanziari (servizi di informazione sui conti e servizi di iniziazione di pagamenti). Tramite il vostro fornitore di servizi selezionato venite indirizzati a un’interfaccia web finAPI che utilizza in background i servizi di token. Per utilizzare i servizi desiderati sarete reindirizzati al sito web della banca interessata per accedere al relativo online banking.
f) Il partner token recupera le informazioni di conto necessarie presso la vostra banca, le inoltra a finAPI per
l’ulteriore trattamento concordato (ad es. categorizzazione) e mette a disposizione del vostro fornitore di
servizi i dati
necessari al servizio.
Con il servizio di iniziazione di pagamenti vi consentiamo di avviare ordini e operazioni di pagamento presso il
vostro
prestatore di conto nel Regno Unito tramite il partner token. A tal fine inoltriamo i dati da voi forniti
al nostro partner token per l’iniziazione del pagamento.
Ulteriori informazioni sul trattamento dei dati con token sono disponibili alla Sezione 3 della presente
informativa.
g) Può rendersi necessario trattare i vostri dati personali qualora il vostro fornitore di servizi ci contatti in caso di problemi tecnici o quesiti relativi al nostro servizio. Saranno trattati solo i dati personali necessari a chiarire i fatti.
h) Se, in qualità di utente finale, ci contattate, i vostri dati verranno trattati esclusivamente per comunicare con voi. Ciò vale anche qualora, in qualità di consumatori, desideriate esercitare i vostri diritti ai sensi del RGPD (si veda la Sezione 4).
i) Se utilizzate i nostri servizi per pagare i vostri acquisti online, i vostri dati personali possono, in singoli casi e in occasione di verifiche da parte del nostro fornitore, essere trattati. Ciò al fine di verificare l’esattezza della rendicontazione delle commissioni sui pagamenti. Ove possibile, anonimizzamo i dati personali.
j) I vostri dati personali vengono inoltre comunicati ad autorità o istituzioni qualora sussista un obbligo legale in tal senso, oppure a terzi selezionati (ad es. in caso di consulenza legale).
Trattiamo i dati personali sulla base delle leggi applicabili in materia di protezione dei dati, in particolare
del Regolamento generale sulla protezione dei dati (RGPD) e della nuova Legge federale tedesca sulla protezione
dei dati (BDSGneu),
nonché in conformità con le disposizioni della Legge tedesca sulla vigilanza dei servizi di pagamento (ZAG).
I dati personali sono trattati sulla base dell’art. 6, par. 1, lett. b) RGPD e dell’§ 59, par. 2 ZAG
per l’esecuzione di misure precontrattuali, per adempiere agli obblighi contrattuali di finAPI nei confronti
dei nostri clienti (il vostro fornitore di servizi) e nei vostri confronti in qualità di utenti finali o
interessati. I dettagli
sono riportati nella nostra accordo di utilizzo che disciplina il vostro utilizzo dei nostri servizi di
informazione sui conti e
di iniziazione di pagamenti.
Inoltre trattiamo i vostri dati, nella misura strettamente necessaria, sulla base dell’art. 6, par. 1,
lett. c) RGPD per adempiere a obblighi legali, in particolare di vigilanza. Ai sensi dell’art. 6, par. 1,
lett. f) RGPD possiamo trattare i vostri dati personali qualora il trattamento sia necessario per perseguire
legittimi interessi
di finAPI o di terzi e tali interessi non siano prevalsi dai vostri interessi o diritti e libertà fondamentali
che richiedono la protezione dei dati personali. I dati personali sono trattati
solo se, dopo un bilanciamento di tutti gli interessi, ciò è ammissibile. L’interesse legittimo discende dalle
finalità
di cui alla Sezione 3.1 e può essere anche di natura economica.
Le informazioni di conto da mettere a disposizione del vostro fornitore di servizi possono contenere, se del
caso,
categorie particolari di dati personali (cfr. art. 9, par. 1 RGPD). Si può trattare di informazioni
sulla vostra origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche,
appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale.
Da causali di pagamento o beneficiari potrebbero, ad esempio, essere tratti corrispondenti indizi.
L’ammissibilità del trattamento di tali dati ai fini dell’erogazione del servizio è concordata tra voi
e il vostro fornitore di servizi.
Non siete obbligati a fornirci dati personali. Tuttavia, senza i vostri dati non possiamo eseguire
il rapporto contrattuale né fornire le prestazioni contrattualmente concordate.
Trattiamo i vostri dati personali nell’ambito dei servizi di informazione sui conti e di iniziazione di pagamenti. I dati personali generati in tale contesto provengono dagli istituti di credito e finanziari, dagli emittenti di carte e da altri fornitori di dati finanziari, ai quali si accede solo con il vostro consenso e dopo che avete effettuato l’accesso al vostro online banking tramite la nostra applicazione finAPI o, per i conti UK, tramite il partner token. La provenienza dei dati può quindi variare a seconda del servizio utilizzato. Poiché l’accesso ai conti richiede sempre il vostro consenso, siete a conoscenza dei conti abilitati all’accesso da finAPI e dei dati personali in essi contenuti. I vostri dati personali possono pervenirci anche tramite il vostro fornitore di servizi (ad es. in caso di problemi tecnici) o direttamente da voi (ad es. dalla vostra richiesta via e-mail).
Trattiamo i vostri dati personali in Germania o nell'UE; ulteriori informazioni sono riportate alla Sezione 3.6.
a) Destinatari per le finalità di cui alla Sezione 3.1(a) sono clienti di finAPI stabiliti nello Spazio economico europeo e in Svizzera nonché, se del caso, in altri paesi terzi (purché per tali paesi esista una decisione di adeguatezza della Commissione europea o siano state concordate clausole contrattuali tipo, consultabili all’indirizzo https://www.finapi.io/datenschutz-dsgvo/) (vale a dire il fornitore da voi scelto). Ulteriori destinatari per le finalità di cui alla Sezione 3.1(b) possono essere responsabili del trattamento esterni di finAPI ai sensi dell’art. 28 RGPD nonché unità esterne e interne di finAPI. Inoltre, per le finalità di cui alla Sezione 3.1(b), finAPI può comunicare dati dei clienti a terzi, nella misura necessaria e legalmente consentita (ad es. fornitori di servizi esterni quali fornitori IT, gestori di applicazioni per utenti finali basate sui servizi finAPI, società collegate o partner commerciali, nonché istituti detentori dei conti). I dati di accesso sensibili che consentono l’accesso alle informazioni di conto presso i vostri prestatori di conto sono comunicati da finAPI esclusivamente all’istituto detentore del conto interessato e non ad altri terzi. finAPI è inoltre soggetta ai poteri d’intervento previsti dalla legge per le autorità pubbliche.
b) Trattiamo i vostri dati personali in data center situati in Germania o nell’UE tramite l’hosting di
Amazon Web Services. Il fornitore di servizi è Amazon Web Services EMEA SARL, 5 rue
Plaetis, Luxembourg, L-2338, Lussemburgo. Con tale fornitore abbiamo concluso un contratto di trattamento dei
dati
ai sensi dell’art. 28 RGPD.
La sede del fornitore è negli Stati Uniti, pertanto in casi eccezionali può avvenire un trasferimento di dati
tra
Amazon Web Services EMEA SARL e la società madre. Per il trattamento utilizziamo un sistema di cifratura
multilivello.
I dati personali non sono in nessun momento accessibili in chiaro sui server AWS e non possono essere
visualizzati da AWS né da terzi
(inclusa la società madre statunitense). La cifratura è eseguita secondo lo stato dell’arte e soddisfa i
requisiti
del RGPD.
Ulteriori informazioni sui dati trattati tramite l’uso di Amazon Web Services (AWS) sono disponibili
nell’informativa sulla privacy: https://aws.amazon.com/de/privacy/.
c) Per il collegamento di alcuni conti bancari dell’UE trattiamo i dati tramite token GmbH, c/o
Industrious, Schicklerstraße 5, 10179 Berlino. Per il collegamento di conti UK utilizziamo
token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, Inghilterra, il cui trattamento dei dati avviene
contrattualmente
nell’UE. Con tale fornitore abbiamo concluso un contratto di trattamento dei dati ai sensi dell’art. 28 RGPD.
In casi eccezionali può avere luogo un trasferimento di dati tra token GmbH e token.io Ltd. con la società
collegata
token Inc., 548 Market Street, STE 57805, San Francisco, CA, 94104-5401, USA. Per qualsiasi trasferimento del
genere
sono state concluse tra token GmbH, token.io Ltd. e token Inc. clausole contrattuali tipo quali garanzie
adeguate
ai sensi dell’art. 46, par. 1 e par. 2, lett. c) RGPD. Ulteriori informazioni sulla protezione dei dati del
partner token: https://token.io/policies/privacy-policy
d) I nostri servizi GiroIdent Plus, GiroIdent Protezione dei minori e GiroIdent GwG offrono un’ulteriore verifica di nome, indirizzo e data di nascita; per GiroIdent GwG anche dell’IBAN. A tal fine utilizziamo un confronto con la banca dati di SCHUFA Holding AG, Komoranweg 5, 65201 Wiesbaden. SCHUFA Holding AG è un’agenzia di informazioni creditizie affidabile e sicura. Al fornitore vengono trasmessi solo i dati personali necessari per il servizio. Ulteriori informazioni sulla protezione dei dati presso SCHUFA: https://www.meineschufa.de/de/datenschutzhinweis.
e) Per fornire assistenza rapida ed efficace in caso di problemi tecnici o quesiti, utilizziamo, per la
gestione, il nostro sistema di ticketing, una soluzione software di Zendesk, 989 Market St, San Francisco, CA
94103,
USA. Non appena il vostro fornitore di servizi contatta il nostro supporto, viene creato automaticamente un
ticket.
Con il fornitore abbiamo concordato contrattualmente che il trattamento dei dati personali avvenga
esclusivamente nell’UE.
Per eventuali trasferimenti di dati negli USA, Zendesk utilizza clausole contrattuali tipo che, quali garanzie
adeguate ai sensi
dell’art. 46, par. 1 e par. 2, lett. c), sono conformi alla normativa in materia di protezione dei dati. Con il
fornitore
abbiamo concluso un contratto di trattamento ai sensi dell’art. 28 RGPD.
Ulteriori informazioni sulla protezione dei dati presso Zendesk: https://www.zendesk.de/company/agreements-and-terms/privacy-notice/
In caso di quesiti tecnici o malfunzionamenti delle interfacce FinTS delle banche che otteniamo tramite B+S
Banksysteme
Aktiengesellschaft, contattiamo l’assistenza clienti di B+S (Banksysteme Aktiengesellschaft,
Elsenheimerstraße 45, 80687 Monaco di Baviera, oppure B+S Banksysteme Salzburg GmbH, Siezenheimer Straße 39a,
A-5020
Salisburgo). Il cliente, cioè il vostro fornitore di servizi, riceve informazioni tramite il sistema di
ticketing Zendesk se
è stato necessario un ulteriore trattamento tramite B+S. Con tale fornitore abbiamo concluso un contratto di
trattamento
ai sensi dell’art. 28 RGPD. Ulteriori informazioni sulla protezione dei dati di
B+S Banksysteme Aktiengesellschaft: https://bs-ag.com/wir-uber-uns/datenschutz/
Conserviamo i dati personali solo per un determinato periodo. Criterio decisivo per la definizione di tale periodo è la necessità. I dati personali sono pertanto conservati e trattati per il tempo richiesto dalle rispettive finalità. Si noti che il rapporto commerciale con voi può essere di lunga durata e che finAPI tratta i dati almeno fino alla fine di tale rapporto contrattuale. Inoltre, possono applicarsi obblighi di conservazione, documentazione e informazione di natura commerciale, fiscale e di vigilanza, ai quali finAPI è vincolata. Tali periodi sono in genere fino a dieci anni. Inoltre, il trattamento può essere necessario più a lungo, ad es. per finalità di controllo della protezione dei dati, backup dei dati e difesa legale. Se i dati non sono più necessari per le finalità del trattamento, essi vengono cancellati.
I servizi di informazione sui conti e di iniziazione di pagamenti relativi a conti UK sono forniti tramite il
partner token
(si veda la Sezione 3.1(c) della presente informativa), in quanto esso dispone della necessaria autorizzazione
delle autorità britanniche.
Per l’accesso ai conti e il recupero delle informazioni di conto, nonché per i servizi di iniziazione di
pagamenti, token.io Ltd.,
4th Floor, 70 St Mary Axe, London, EC3A 8BE, Inghilterra, è il titolare del trattamento ai sensi del RGPD; si
applicano i Termini e condizioni
del partner token (ulteriori informazioni sono fornite nelle Condizioni d’uso).
finAPI svolge le attività di messa a disposizione dell’interfaccia web o di reindirizzamento
all’interfaccia web della vostra banca (per l’accesso all’online banking per i conti UK) nonché la ricezione
delle
informazioni di conto recuperate in qualità di responsabile del trattamento ai sensi del RGPD. A tal fine
esiste un contratto di trattamento dei dati tra il partner token e finAPI.
L’ulteriore trattamento delle informazioni di conto (ad es. categorizzazione) in relazione ai conti UK è
effettuato
da finAPI in qualità di titolare del trattamento ai sensi del RGPD. Il trattamento dei dati descritto alla
Sezione 2
si applica in via analogica nella presente sezione.
In tale contesto può rendersi necessario un trasferimento di dati da finAPI al partner token, ad esempio
per questioni di supporto. Tali trasferimenti avvengono nel vostro interesse ai sensi dell’art. 6, par. 1,
lett. b) RGPD. Per il Regno Unito esiste una decisione di adeguatezza dell’UE, pertanto
un eventuale trasferimento verso il Regno Unito offre lo stesso livello di protezione dei dati dell’UE.
Ulteriori informazioni sulla protezione dei dati del partner token: https://token.io/policies/privacy-policy
Nei casi in cui finAPI agisce come titolare del trattamento, avete il diritto di accesso ai sensi dell’art. 15
RGPD, il diritto di rettifica ai sensi dell’art. 16 RGPD, il diritto alla cancellazione ai sensi dell’art. 17
RGPD, il diritto
alla limitazione del trattamento ai sensi dell’art. 18 RGPD e il diritto alla portabilità dei dati ai sensi
dell’art. 20
RGPD. Potete esercitare tali diritti in qualsiasi momento contattando finAPI (per i recapiti si veda la Sezione
1). Avete inoltre la possibilità di rivolgervi a un’autorità di controllo. L’autorità competente per finAPI
è il Bayerisches Landesamt für Datenschutzaufsicht (Autorità bavarese di controllo della protezione dei
dati).
Potete revocare in qualsiasi momento i consensi eventualmente prestati. Ciò vale anche per
i consensi prestati prima dell’entrata in vigore del RGPD. La revoca non pregiudica
la liceità del trattamento effettuato sulla base del consenso prima della revoca.
Siamo tenuti a informarvi che, ai sensi dell’art. 21, par. 1 RGPD, potete opporvi al trattamento dei dati basato sull’art. 6, par. 1, lett. e) e f) RGPD per motivi connessi alla vostra situazione particolare. Potete opporvi in qualsiasi momento, in tutto o in parte, all’uso dei vostri dati personali per finalità di marketing ai sensi dell’art. 21, par. 2 RGPD. L’opposizione può essere presentata in forma libera e deve essere indirizzata a finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Monaco di Baviera.
Se richiesto dal vostro fornitore di servizi selezionato, a seguito di un accesso al conto da voi avviato,
informazioni dal vostro conto di online banking possono essere elaborate tramite la nostra applicazione mediante
trattamento automatizzato
(categorizzazione) e trasmesse al vostro fornitore di servizi, consentendo di trarre conclusioni sulla vostra
situazione personale ed economica (ad es. reddito medio, canone di locazione, obbligazioni di credito,
numero di addebiti respinti). Il trattamento automatizzato può essere effettuato, per i servizi indicati, anche
tramite
i nostri sistemi che utilizzano algoritmi di intelligenza artificiale. Tali sistemi sono
implementati all’interno dell’architettura finAPI, vale a dire che nessun dato viene trasferito a terzi, in
particolare a
fornitori di intelligenza artificiale.
Non prendiamo alcuna decisione in merito a un’eventuale conclusione di prodotto da voi desiderata (ad es.
concessione di un prestito). Ciò rientra esclusivamente nella responsabilità del vostro fornitore di servizi. Il
vostro fornitore vi informerà
in merito a eventuali profilazioni e a eventuali decisioni automatizzate adottate dal medesimo.