Informazioni legali

Privacy

1. Introduzione

1.1 Al fine di offrire i propri servizi ai clienti, BG Saxo SIM S.p.A. (di seguito "BG Saxo", "noi" oppure "nostro") ha la necessità di raccogliere i dati personali di clienti attuali o potenziali e dipendenti.

Alla luce di quanto affermato in precedenza, BG Saxo desidera assicurare un livello elevato di protezione, in quanto la riservatezza è cruciale per guadagnare e mantenere la fiducia di clienti, dipendenti e fornitori, garantendo, in tal modo il futuro dell'attività di BG Saxo.

La protezione dei dati personali richiede l'adozione di appropriate misure tecniche e organizzative per dimostrare un livello elevato di protezione dei dati. BG Saxo ha adottato una serie di politiche interne ed esterne sulla protezione dei dati, alle quali i dipendenti di BG Saxo sono tenuti ad aderire.

Inoltre, BG Saxo monitorerà, controllerà e documenterà la conformità interna alle politiche nonché ai requisiti obbligatori in materia di protezione dei dati, incluso il Regolamento UE 2016/679 - regolamento generale sulla protezione dei dati ("GDPR").

Oltre a ciò, BG Saxo adotterà le misure necessarie al fine di incrementare la conformità alla protezione dei dati all'interno dell'organizzazione. Le suddette misure includono l'assegnazione di responsabilità, l'aumento della consapevolezza e della formazione del personale coinvolto nelle operazioni di trattamento. Nota: la presente Politica sulla privacy sarà oggetto di revisioni periodiche, al fine di tener conto di nuovi obblighi, nonché di garantire che i dati personali che conserviamo siano disciplinati dalla politica più recente.

La presente Politica sulla privacy, unitamente alle linee guida per il trattamento dei dati personali, costituisce il quadro complessivo per il trattamento dei dati personali da parte di BG Saxo.

1.2 L'espressione "dati personali" va intesa con il significato d’informazioni correlate a una persona fisica identificata o identificabile ("Soggetto interessato"). Una persona fisica identificabile è un soggetto che può essere identificato, in modo diretto o indiretto, in particolare facendo riferimento a un identificatore, quali nome, dati sulla posizione, numero di telefono, età, genere, posizione (dipendente, candidato all'impiego, cliente, fornitore e partner commerciale di altro tipo). La suddetta categoria comprende categorie speciali di dati personali (dati personali sensibili) e informazioni riservate, quali informazioni sanitarie, numero di conto, numero di identificazione, dati sulla posizione, identificativo online oppure ulteriori fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale relative alla persona fisica.

1.3 Benché le informazioni correlate a persone giuridiche o attività non siano considerate dati personali, è opportuno notare che le informazioni inerenti ai contatti all'interno delle persone giuridiche/attività, ad es., nome, titolo, email di lavoro numero telefonico di lavoro, ecc. sono considerati dati personali.

1.4 BG Saxo raccoglie e utilizza i dati personali per una gamma di finalità commerciali legittime, inclusi l'instaurazione e la gestione dei rapporti con clienti e fornitori, il completamento degli ordini di acquisto, la selezione e la gestione di tutti gli aspetti relativi a termini e condizioni di assunzione, comunicazione, rispetto degli obblighi o dei requisiti legali, esecuzione dei contratti, fornitura dei servizi ai clienti, ecc.

1.5 I Dati personali devono sempre essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1 - GDPR, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
  • esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
  • conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1 - GDPR, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);
  • trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

1.6 BG Saxo è responsabile ed è tenuta a dimostrare la conformità alle normative sopra indicate, come parte dell'affidabilità di BG Saxo.

2. Il fondamento giuridico del trattamento dei dati personali

2.1 Il trattamento dei dati personali richiede un fondamento giuridico. Il fondamento giuridico maggiormente predominante per il trattamento dei dati personali all'interno di BG Saxo include:

  • il consenso da parte dei Soggetti interessati per una o più finalità specifiche;
  • l'esecuzione di un contratto di cui il Soggetto interessato è parte;
  • un obbligo o un requisito legale;
  • interessi legittimi perseguiti da Saxo Bank.

2.2 Consenso

2.2.1 Nel caso in cui la raccolta, la registrazione e l'ulteriore trattamento dei dati personali di clienti, fornitori, altre relazioni commerciali e dipendenti siano basati sul consenso di un soggetto al trattamento dei propri dati personali per una o più finalità specifiche, BG Saxo deve essere in grado di dimostrare che il soggetto interessato ha concesso il consenso al trattamento dei dati personali.

2.2.2 Il consenso deve essere: concesso liberamente, specifico, informato e privo di ambiguità. 
Il Soggetto interessato deve attivamente concedere il consenso al trattamento dei dati personali mediante una dichiarazione o un'azione evidentemente affermativa.

2.2.3 Una richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

2.2.4 Inoltre, al fine di trattare le categorie speciali di dati personali (i dati personali sensibili), il consenso a tal riguardo deve essere esplicito.

2.2.5 Il Soggetto interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. In virtù di tale revoca, BG Saxo interromperà la raccolta e il trattamento dei dati personali relativi al suddetto soggetto, a meno che BG Saxo sia obbligata oppure titolare del diritto di procedere con tali attività sulla base di un altro fondamento giuridico.

2.3 Necessario per l'esecuzione di un contratto:

2.3.1 La raccolta e il trattamento dei dati personali pertinenti per ottemperare all'obbligo legale al quale il titolare del trattamento è soggetto o della necessità di esecuzione di un contratto di cui l'interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso. Tali principi si applicano a tutti gli obblighi contrattuali e agli accordi sottoscritti con BG Saxo, inclusa la fase precontrattuale, indipendentemente dall'esito della negoziazione del contratto.

2.4 Conformità a un obbligo legale

2.4.1 BG Saxo deve conformarsi con vari obblighi e requisiti legali, che hanno fondamento nella normativa dell'Unione Europea e/o dello Stato Italiano. I suddetti obblighi legali, a cui BG Saxo è soggetta, potrebbero essere un fondamento legittimo per il trattamento dei dati personali.

2.4.2 I suddetti obblighi legali comprendono gli obblighi di acquisire, registrare e/o rendere disponibili determinate tipologie d’informazioni correlate a dipendenti, clienti, ecc. Di conseguenza, i requisiti legali costituiranno il fondamento giuridico per il trattamento dei dati personali. Tuttavia, è importante considerare se le disposizioni consentano o richiedano a BG Saxo di trattare determinati dati personali oppure definiscono requisiti in relazione a conservazione, divulgazione ed eliminazione.

2.5 Legittimi interessi

2.5.1 I dati saranno trattati solo nei casi in cui ciò sia necessario per il soddisfacimento delle finalità di legittimo interesse perseguite da BG Saxo e ove gli interessi dei Soggetti interessati non superino i suddetti interessi o diritti fondamentali. Quando deciderà di trattare i dati, BG Saxo garantirà che i legittimi interessi siano superiori ai diritti e alle libertà del soggetto e che il trattamento non causerà danni ingiustificati. Ad esempio, è un interesse legittimo di BG Saxo trattare i dati personali del potenziale cliente, al fine di espandere l'attività e sviluppare nuovi rapporti commerciali. Al Soggetto interessato devono essere fornite informazioni in merito allo specifico interesse legittimo, se il trattamento è basato su una disposizione (cfr. Sezione 4.1 sottostante).

3. Trattamento e trasferimento dei dati personali

3.1 BG Saxo nel ruolo di titolare dei dati

3.1.1 BG Saxo sarà considerata titolare dei dati nella misura in cui decidiamo mediante quali mezzi i dati personali dei Soggetti interessati devono essere trattati, ad es., quando un Soggetto interessato sottoscrive un accordo con BG Saxo.

3.2 Il ricorso ai responsabili dei dati

3.2.1 Per responsabile dei dati esterno s’intende una società che tratta i dati personali per conto di BG Saxo, in conformità alle sue indicazioni, ad es., per quanto attiene a sistemi delle Risorse umane, fornitori IT di parti terze, ecc. Nel caso in cui BG Saxo esternalizzi il trattamento dei dati personali, BG Saxo garantirà che la suddetta società, come minimo, applichi il medesimo grado di protezione dei dati di BG Saxo. Nel caso in cui ciò non possa essere garantito, BG Saxo sceglierà un altro responsabile dei dati.

3.3 Accordi sul trattamento dei dati

3.3.1 Prima del trasferimento dei dati personali al responsabile dei dati, BG Saxo sottoscriverà un accordo scritto sul trattamento dei dati con il responsabile dei dati. L'accordo sul trattamento dei dati assicura che BG Saxo controllerà il trattamento dei dati personali che sarà svolto all'esterno di BG Saxo e di cui quest'ultima è responsabile.

3.3.2 Nel caso in cui il responsabile/subresponsabile dei dati abbia sede al di fuori dell'UE/SEE, si applicheranno le condizioni della clausola 3.4.4sottostante.

3.4 Divulgazione dei dati personali

3.4.1 Prima di divulgare i dati personali ad altri soggetti, BG Saxo ha la responsabilità di considerare se il destinatario sia un  dipendente di BG Saxo. Peraltro, BG Saxo potrà condividere i dati personali al suo interno solo se la divulgazione rappresenta una legittima finalità commerciale.

3.4.2 BG Saxo ha la responsabilità di garantire che il destinatario abbia una finalità legittima a ricevere i dati personali, nonché di assicurare che la condivisione dei dati personali sia limitata e mantenuta al minimo.

3.4.3 BG Saxo deve esibire cautela prima di condividere i dati personali con individui, Soggetti interessati o enti esterni a BG Saxo. I dati personali devono essere divulgati unicamente a parti terze che agiscono come titolari singoli di dati, qualora vi sia una finalità legittima al trasferimento. Nel caso in cui il destinatario agisca in qualità di responsabile dei dati, si deve far riferimento al clausola 3.2 di sopra.

3.4.4 Nel caso in cui il destinatario terzo abbia sede al di fuori dell'UE/SEE, in un Paese che non assicuri un adeguato livello di protezione dei dati, il trasferimento può essere completato unicamente se BG Saxo e la parte terza abbiano sottoscritto un accordo per il trasferimento. L'accordo sul trasferimento deve essere fondato sulle clausole contrattuali tipo dell'UE.

4. Diritti dei Soggetti interessati

4.1 Obbligo d’informazione

4.1.1 Quando raccoglie e registra i dati personali, BG Saxo è obbligata a informare i soggetti in merito a:

  • finalità del trattamento dei dati personali, nonché fondamento giuridico del trattamento;
  • le categorie di dati personali in questione;
  • i legittimi interessi perseguiti da BG Saxo, qualora il trattamento sia basato su una ponderazione degli interessi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l'intenzione del titolare di BG Saxo di trasferire dati personali a un paese terzo e il fondamento giuridico di tale trasferimento;
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l'esistenza del diritto dell'interessato di chiedere a BG Saxo l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), GDPR oppure sull'articolo 9, paragrafo 2, lettera a), GDPR, l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a BG Saxo mediante la procedura oppure l'autorità di vigilanza corretta;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l'esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Nella gran parte dei casi, le suddette informazioni saranno fornite mediante una comunicazione sulla privacy sulla home page di BG Saxo.

4.2 Diritto all'accesso

4.2.1 Gli individui, di cui BG Saxo tratta i dati, inclusi, ma non limitati a, dipendenti, candidati all'impiego, fornitori esterni, clienti attuali o potenziali, partner commerciali, ecc., sono titolari del diritto di richiedere l'accesso ai propri dati personali che BG Saxo tratta o conserva.

4.2.2 Nel caso in cui BG Saxo tratta o conserva i dati personali relativi a un Soggetto interessato, quest'ultimo è titolare del diritto di accedere ai dati personali e alle motivazioni per il trattamento dei dati in relazione ai criteri definiti al punto 4.1.1.

4.3 L'interessato ha il diritto di ottenere da BG Saxo la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.

4.4 L'interessato ha il diritto di ottenere da BG Saxo la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e BG Saxo ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, a meno che BG Saxo sia tenuta per legge a mantenere le informazioni per il periodo prescritto, ad esempio, da regolatori finanziari o autorità fiscali.

4.5 Il Soggetto interessato ha il diritto di ottenere da BG Saxo la limitazione del trattamento se applicabile.

4.6 Il Soggetto interessato ha il diritto di ricevere i dati registrati in un formato strutturato, comunemente utilizzato e leggibile da dispositivo automatico.

4.7 L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione in conformità a tali disposizioni.

4.8 Alle richieste presentate da un Soggetto interessato di esercitare i propri diritti, ai sensi della presente clausola, dovrà essere fornita replica non appena ragionevolmente possibile e non oltre i 30 giorni dalla ricezione. Le richieste devono essere inoltrate senza ritardo al Centro assistenza BG Saxo. Il Centro assistenza sarà supportato dal Responsabile della protezione dei dati di BG Saxo al fine di elaborare la richiesta e rispettare la scadenza per la risposta.

5. La protezione dei dati fin dalla progettazione e della protezione dei dati di default

5.1 Nuovi prodotti, servizi, soluzioni tecniche, ecc., devono essere sviluppati in modo tale da soddisfare i principi della protezione dei dati attraverso la progettazione e la protezione dei dati predefinita.

5.1.1 La protezione dei dati mediante la progettazione implica che nella concezione di nuovi prodotti o servizi è assunta adeguata considerazione alla questione della protezione dei dati.

  • BG Saxo terrà conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche associati al trattamento.
  • Sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

5.1.2 La protezione dei dati di default richiede l'attuazione di tecniche pertinenti di minimizzazione dei dati.

  • BG Saxo mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
  • Il requisito della minimizzazione vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità.
  • Dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica senza attenta valutazione.

6. Registri delle attività di trattamento

6.1 In qualità di responsabile dei dati, BG Saxo tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

  • il nome e i dati di contatto;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

6.1.1 Dietro richiesta, BG Saxo è tenuta a rendere disponibili i registri ai garanti della protezione dei dati.

7. Eliminazione dei dati personali

7.1 I dati personali devono essere eliminati quando BG Saxo non ha più la finalità legittima di proseguire nel trattamento o nella conservazione dei dati personali oppure quando non è più richiesta la conservazione dei dati personali, ai sensi dei requisiti legali applicabili.

7.2 I periodi di conservazione puntuali relativi alle diverse categorie di dati personali sono specificate nella Politica di conservazione dei dati e condivisione delle informazioni di BG Saxo.

8. Valutazione del rischio

8.1 Qualora BG Saxo tratti dati personali che implichino un probabile rischio elevato per gli individui di cui i dati personali sono oggetto di trattamento, dovrà essere eseguita una valutazione d'impatto sulla protezione dei dati.

8.1.1 Una valutazione d'impatto sulla protezione dei dati implica che, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche associati al trattamento, Saxo Bank adotterà le appropriate misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento sia eseguito in conformità ai requisiti per la protezione dei dati.

8.2 Le misure tecniche e organizzative saranno revisionate e aggiornate, ove necessario, e almeno ogni sei mesi.

8.2.1 Il rispetto dei codici di condotta approvati o i meccanismi di certificazione approvati potrebbe essere impiegato come elemento per dimostrare la conformità alle adeguate misure tecniche e organizzative, ai sensi della presente clausola.

9. Requisiti nazionali

9.1 BG Saxo è tenuta a conformarsi sia al GDPR sia alla legislazione nazionale in materia di protezione dei dati.

9.2 Nel caso in cui la legislazione nazionale applicabile richieda un livello di protezione per i dati personali più elevato rispetto a politiche/linee guida, dovranno essere rispettati i requisiti più rigorosi. Le politiche/linee guida di BG Saxo prevarranno se quest’ultime dovessero risultare più rigorose della legislazione locale.

10. Contatto e denunce

10.1 In caso di domande in merito al contenuto della presente politica, contatta il Responsabile della protezione dei dati di BG Saxo all'indirizzo DPO@bgsaxo.it.  

10.2 Nel caso in cui desideri presentare una denuncia in merito al trattamento dei dati personali di BG Saxo, contatta il Garante per la protezione dei dati personali.