Il seguente testo è una traduzione dal tedesco. In caso di contraddizione tra le versioni linguistiche, prevarrà la versione tedesca.

finAPI l'API bancaria intelligente

Informativa sulla protezione dei dati di finAPI GmbH per i servizi di informazione sui conti e di disposizione di ordine di pagamento
Stato: giugno 2021

1. Nome e dati di contatto del titolare del trattamento e dati di contatto del responsabile della protezione dei dati aziendale

finAPI GmbH (di seguito "finAPI"), Adams-Lehmann-Strasse 44, D-80797 Monaco (Iscrizione nel Registro delle Imprese presso il Tribunale di Monaco di Baviera, HRB 175250), e-mail: kontakt@finapi.io.
Il o la responsabile della protezione dei dati aziendale di finAPI può essere contattato all'indirizzo sopra indicato, all'attenzione del Dipartimento per la protezione dei dati o via e-mail all'indirizzo datenschutz@finapi.io.

2. Trattamento dei dati da parte di finAPI GmbH

2.1 Finalità del trattamento dei dati e interessi legittimi perseguiti da finAPI o da una terza parte

a) finAPI è un istituto di pagamento controllato dalla Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin - Autorità federale tedesca di vigilanza finanziaria).
Con il servizio di informazioni sui conti, vi forniamo un servizio che vi consente di recuperare le informazioni sul vostro conto, di elaborarle, se necessario, a seconda del servizio che desiderate (ad esempio, categorizzazione dei dati come determinazione del reddito, costi di affitto, numero di note di riaccredito) e quindi di metterle a disposizione del vostro fornitore (ad esempio, commerciante online, banca di prestito, piattaforma di gestione finanziaria, fornitore di credit scoring). A tal fine, accedete al vostro online banking tramite la nostra interfaccia web. finAPI recupera quindi le informazioni sul vostro conto dalla vostra banca e le trasmette al fornitore da voi selezionato, le informazioni sul conto di volta in volta necessarie per la fornitura del servizio.

Con il servizio di disposizione di ordine di pagamento, vi consentiamo di disporre ordini di pagamento e transazioni di pagamento con la vostra Banca/il vostro Intermediario. Prima dell'invio, è possibile verificare il proprio limite di credito.

La fornitura dei servizi di informazione sui conti e di disposizione di ordine di pagamento richiede il trattamento dei vostri dati personali. Lo scopo del trattamento è quindi in primo luogo l'adempimento dei nostri obblighi contrattuali nei vostri confronti in qualità di utente finale o dell'interessato, nonché dei nostri clienti (la vostra Banca/il vostro Intermediario).

b) Essendo un istituto di pagamento, finAPI è soggetta a particolari requisiti di vigilanza e obblighi normativi, quali la prevenzione, l'indagine e l'individuazione di frodi o la prevenzione del finanziamento del terrorismo. Se utilizzate i servizi di informazione sui conti e di disposizione di ordine di pagamento di finAPI, i vostri dati personali possono essere trattati da noi anche per ottemperare a tali obblighi legali. Anche per garantire la sicurezza informatica e le operazioni informatiche, in determinate circostanze può essere necessario trattare i vostri dati personali. Inoltre, elaboriamo i dati recuperati nella misura consentita dalla legge e necessaria caso per caso per scopi interni. Ciò include il trattamento a fini di garanzia della qualità (ad esempio, per condurre valutazioni e analisi dei nostri servizi), per migliorare e potenziare i nostri servizi (ad esempio, per imparare a classificare i movimenti del conto) e per le relative attività di ricerca e sviluppo di finAPI. Inoltre, possiamo trattare i vostri dati personali per la nostra gestione dei crediti o anche per la pubblicità diretta dei nostri servizi. Se ci contattate, ad esempio via e-mail, trattiamo i dati che ci trasmettete per l'elaborazione della richiesta e per un'eventuale corrispondenza successiva. Ove possibile, i dati vengono anonimizzati o pseudonimizzati.

2.2 Basi giuridiche del trattamento dei dati

Trattiamo i dati personali sulla base delle pertinenti leggi in materia di protezione dei dati, in particolare delle disposizioni del Regolamento generale sulla protezione dei dati (RGPD) e della Legge federale tedesca sulla protezione dei dati (BDSG), nonché in conformità alle disposizioni della Legge tedesca sulla vigilanza dei servizi di pagamento (ZAG).
I dati personali vengono da noi trattati sulla base dell'art. 6, comma 1, lett. b) RGPD e del § 59 comma 2 ZAG, per l'attuazione di misure precontrattuali, per l'adempimento degli obblighi contrattuali di finAPI nei confronti dei nostri clienti (il vostro fornitore) e vostri in qualità di utenti finali o interessati. I dettagli sono contenuti nel nostro Accordo d'uso, che si applica all'uso dei nostri servizi di informazione sui conti e di disposizione di ordine di pagamento.
Inoltre, trattiamo i vostri dati nella misura strettamente necessaria sulla base dell'art. 6, comma 1, lettera c) RGPD per adempiere agli obblighi di legge, in particolare agli obblighi di vigilanza. Ai sensi dell'art. 6, comma 1, lettera f) RGPD, possiamo trattare i vostri dati personali nella misura in cui il trattamento sia necessario ai fini della tutela dei legittimi interessi di finAPI o di terzi e nella misura in cui non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali. I dati personali vengono elaborati solo se ciò è consentito dopo aver ponderato tutti gli interessi. A questo proposito, il legittimo interesse al trattamento deriva dalle rispettive finalità di cui al punto 2.1 e può peraltro anche essere di natura economica.

Eventualmente le informazioni sul conto da fornire al vostro fornitore possono contenere categorie particolari di dati personali (cfr. art. 9, comma 1 RGPD. Ciò può includere informazioni sull'origine razziale ed etnica, sulle opinioni politiche, sulle convinzioni religiose o filosofiche, sull'appartenenza a sindacati, su dati sanitari o sulla vita sessuale o sull'orientamento sessuale. Ad esempio, si potrebbero trarre conclusioni dalle finalità di utilizzo o dai destinatari dei bonifici. L'utente concorda sulla liceità del trattamento di questi dati per la fornitura del servizio con il proprio fornitore.

Non avete alcun obbligo di fornirci dati personali. Tuttavia, senza i vostri dati non è possibile per noi adempiere al rapporto contrattuale e quindi fornire i servizi concordati contrattualmente.

2.3 Origine dei dati

Trattiamo i vostri dati personali nell'ambito dei servizi di informazione sui conti e di disposizione di ordine di pagamento. I dati personali generati in questo processo provengono dagli istituti di credito e di servizi finanziari, dalle società di carte di credito e da altri fornitori di dati finanziari, ai quali si accede esclusivamente con il vostro consenso e dopo aver effettuato l'accesso al vostro online banking nella nostra applicazione finAPI. L'origine dei dati può quindi variare a seconda del servizio utilizzato. Poiché l'accesso al conto richiede sempre il vostro consenso, sarete a conoscenza dei conti abilitati all'accesso da finAPI e dei dati personali in essi contenuti.

2.4 Categorie di dati personali che possono essere trattati

• Dati personali (ad es. dati anagrafici del conto, cognome, nome, data di nascita, indirizzo, sesso)
• Dati di contatto (ad es. numeri di telefono, numeri di cellulare, indirizzi e-mail)
• Informazioni correnti e storiche sul conto (ad esempio, saldi del conto, movimenti, beneficiari, limiti di prelievo o di scoperto, ordini permanenti, bonifici posticipati)
• Dati di accesso o dati di login alla vostra Banca/al vostro Intermediario (ad es. ID utente, PIN o password) | I nostri servizi si basano sulle funzionalità del vostro online banking. Abbiamo quindi bisogno di accedere al vostro conto online. A tal fine, i dati di accesso all'online banking associati al vostro conto vengono richiesti e trasmessi alla vostra banca tramite i nostri sistemi utilizzando una procedura criptata. Per alcune banche utilizziamo a tal fine speciali interfacce standard della vostra banca (ad esempio FinTS o un'interfaccia dedicata per fornitori di servizi terzi). Con le altre banche, l'accesso avviene tramite l'interfaccia utente del vostro online banking, come se vi accedeste personalmente. I dati di accesso vengono utilizzati solo per stabilire la connessione al vostro online banking e vengono archiviati da finAPI solo se avete acconsentito attivamente alla loro archiviazione. La trasmissione a noi e alla vostra banca avviene tramite una connessione criptata conforme agli standard bancari.
• Dati elaborati attraverso il trattamento dei dati in forma elettronica e combinati in varie categorie (ad esempio, reddito medio, affitto, debiti creditizi, numero di note di riaccredito)
• Dati personali specifici come descritto nel punto 2.2.
• Dati di log (file di log) come la data e l'ora di accesso, l'indirizzo IP (se richiesto dalla vostra banca), il tipo e la versione del browser, il sistema operativo utilizzato, le pagine visitate e le transazioni tramite online banking.

2.5 Categorie di destinatari dei dati personali

I destinatari secondo le finalità di cui al punto 2.1, lettera a) sono clienti di finAPI (vale a dire i fornitori di vostra scelta) residenti nello Spazio Economico Europeo e in Svizzera, nonché in altri paesi terzi, (a condizione che per questi esista una corrispondente decisione di adeguatezza della Commissione Europea o che siano state concordate clausole contrattuali standard, che possono essere consultate su https://www.finapi.io/datenschutz-dsgvo/). Ulteriori destinatari possono essere mandatari esterni di finAPI ai sensi dell'art. 28 RGPD, nonché organi esterni e interni di finAPI per le finalità di cui al punto 2.1, lettera b). Inoltre, finAPI può anche trasmettere i dati del cliente a terzi (ad esempio, fornitori di servizi esterni come fornitori di servizi IT, operatori di applicazioni per l'utente finale basate sui servizi finAPI, società collegate come SCHUFA Holding AG o partner commerciali, nonché a istituti bancari) nella misura di volta in volta necessaria e legalmente consentita per le finalità indicate nel punto 2.1, lettera b). I dati di accesso sensibili che consentono l'accesso alle informazioni sul conto presso le vostre Banche/i vostri Intermediari sono trasmessi da finAPI solo all'istituto bancario in questione, ma non ad altre terze parti. finAPI è inoltre soggetta ai poteri di intervento delle autorità statali previsti dalla legge.

2.6 Durata dell'archiviazione dei dati

Archiviamo i dati personali solo per un certo periodo di tempo. Il criterio decisivo per determinare tale periodo è la necessità. I dati personali vengono pertanto archiviati e trattati per il tempo necessario alle rispettive finalità. Si noti che il rapporto commerciale con voi può essere permanente e finAPI tratterà i dati almeno fino alla fine di tale rapporto contrattuale. Possono essere applicati anche obblighi commerciali, fiscali e di vigilanza in materia di conservazione, documentazione e accessibilità, che finAPI è tenuta a rispettare. Tali periodi si estendono normalmente fino a dieci anni. Inoltre, il trattamento può essere necessario per un periodo più lungo, ad esempio per finalità di controllo e backup dei dati nonché per la difesa legale. Se i dati non sono più necessari ai fini del trattamento, saranno cancellati.

3. Diritti degli interessati

Nei confronti di finAPI potete esercitare il diritto di accesso ai sensi dell'art. 15 RGPD, il diritto di rettifica ai sensi dell'art. 16 RGPD, il diritto alla cancellazione ai sensi dell'art. 17 RGPD, il diritto di limitazione di trattamento ai sensi dell'art. 18 RGPD e il diritto alla portabilità dei dati ai sensi dell'art. 20 RGPD. Per esercitare tali diritti, potete contattare finAPI in qualsiasi momento (per i dati di contatto, vedere il punto 1). Inoltre, esiste la possibilità di rivolgersi a un'autorità di controllo. L'autorità di controllo responsabile per finAPI è il Bayerisches Landesamt für Datenschutzaufsicht, l'Ufficio statale bavarese per il controllo della protezione dei dati.
Potrete revocare in qualsiasi momento i consensi concessi a finAPI. Questo vale anche per i consensi già concessi prima dell'entrata in vigore del RGPD. La revoca del consenso non pregiudica la liceità dei dati personali trattati fino alla revoca.

Siamo tenuti a informarvi che, ai sensi dell'art. 21, comma 1 RGPD, potete opporvi al trattamento dei dati sulla base dell'art. 6, comma 1, lettera e) e f) RGPD per motivi derivanti dalla vostra situazione particolare. Potete opporvi in qualsiasi momento all'utilizzo dei vostri dati personali a fini di marketing, sia per intero che per singole misure, ai sensi dell'art. 21, comma 2 RGPD. L'opposizione può essere presentata informalmente e deve essere indirizzata a finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Monaco di Baviera.

4. Profilazione

Se richiesto dal fornitore che avete scelto, le informazioni del vostro conto di online banking possono essere elaborate (categorizzazione) dopo un accesso al conto da parte vostra tramite la nostra applicazione, mediante un trattamento dei dati automatizzato e trasmesse al vostro fornitore, che consente di trarre conclusioni sulla vostra situazione personale ed economica (ad es. reddito medio, affitto, debiti creditizi, numero di note di riaccredito).

Non prendiamo decisioni in merito a qualsiasi transazione di prodotto che desideriate concludere (ad esempio, un prestito). Questo è di esclusiva responsabilità del vostro fornitore. Il fornitore vi informerà su eventuali processi di profilazione e di decisione automatizzata che debba applicare.