Informativa sul trattamento dei dati personali

La policy dedicata alla Cessione dei crediti IVA

L’uso che facciamo dei dati che condividi con noi sulla tua impresa.

Banca AideXa S.p.A. (di seguito, “Società” o “Titolare”) ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (di seguito, “GDPR”), Le rilascia le informazioni relative al trattamento dei Suoi dati personali che la Titolare effettua in relazione alla cessione dei crediti IVA da parte della Società Cliente, che comprendono operazioni di trattamento relative all’espletamento della procedura di onboarding (mediante apposita piattaforma) della due diligence e alla sottoscrizione dei relativi contratti. 

Titolare del trattamento

Il Titolare del Trattamento è Banca AideXa S.p.A. con sede legale in Via Cusani n. 10 – 20121, Milano; C.F. e P.IVA 00691500706, contattabile all’indirizzo e-mail aidexa@legalmail.it. 

Responsabile per la protezione dei dati personali 

I dati di contatto del Responsabile per la Protezione dei Dati (“DPO”) nominato dalla Società sono: 

  • posta elettronica certificata (PEC): dpo.aidexa@legalmail.it

  • Indirizzo postale: Banca AideXa S.p.A. - Data Protection Officer: Via Cusani n. 10 – 20121, Milano

Categorie di dati personali trattati

Tra i dati personali che la Società raccoglie e tratta rientrano, a titolo esemplificativo e non esaustivo: 

Dati identificativi e anagrafici del legale rappresentante 

  • nome, cognome, luogo e data di nascita, residenza; 

  • informazioni di contatto (es. numero di telefono fisso e mobile, indirizzo di posta e indirizzo e-mail o PEC); 

  • dati fiscali: codice fiscale/partita IVA; 

  • informazioni sul ruolo professionale ricoperto per la Società Cliente (es. professione e settore di attività, retribuzione, etc.) e sull’occupazione in caso di Persona Politicamente Esposta; 

  • dati relativi a documenti d’identità (es. numero, luogo, data ed ente di rilascio); 

  • classificazione come persona politicamente esposta o collegata a persona politicamente esposta. 

Informazioni sui comportamenti nelle relazioni con il comparto dei servizi finanziari

  • informazioni su eventi (es. protesti, pignoramenti, ecc.) e andamenti nei rapporti con terzi intermediari (es. sofferenze, sconfinamenti, ecc.); 

  • valutazioni sintetiche (es. scoring) emesse da terze parti (es. Centrale Rischi, CERVED, Experian Italia S.p.A) 

Fonte dei dati personali

 La raccolta dei dati personali da parte del Titolare può avvenire con la seguente modalità: 

  • presso l’interessato 

  • presso soggetti terzi, quali, ad esempio, la Società Cliente della quale Lei è legale rappresentante, procuratore o incaricato, intermediatori, fonti pubbliche, sistemi di informazioni creditizie, provider esterni e banche dati. 

Finalità e basi giuridiche del trattamento

I dati personali saranno trattati per le finalità e secondo le basi giuridiche di seguito indicate: 

 

FINALITÀ

 

BASE GIURIDICA

 

PERIODO DI CONSERVAZIONE DEI DATI

Finalità connesse alla gestione ed esecuzione degli obblighi derivanti dalle attività precontrattuali (onboarding e due diligence)

La condizione che rende lecito il trattamento dei Dati Comuni è quella di cui all’art. 6, par. 1, lett. b) del GDPR, ovverosia o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

I dati sono conservati

per 3 anni qualora la procedura di onboarding o di due diligence diano esito negativo

per 5 anni qualora siano effettuati i controlli antiriciclaggio

per 5 anni dalla conclusione del contratto negli altri casi

Finalità connesse perfezionamento del contratto e alla sua attuazione

La condizione che rende lecito il trattamento dei Dati Comuni è quella di cui all’art. 6, par. 1, lett. b) del GDPR, ovverosia o la conclusione e l’esecuzione del contratto

I dati sono conservati per 10 anni dal termine del rapporto contrattuale.

Finalità connesse agli adempimenti di obblighi previsti dalla legge, da regolamenti, dalla normativa comunitaria (es. obblighi di adeguata verifica, normativa antiriciclaggio e antiterrorismo, disposizioni di vigilanza per le banche, normative fiscali, etc.).

La condizione che rende lecito il trattamento dei Dati Comuni è quella di cui all’art. 6, par. 1, lett. c) del GDPR, ovverosia l’adempimento di un obbligo legale al quale è soggetto il Titolare.

I dati sono conservati per 10 anni dal termine del rapporto contrattuale.

Finalità connesse all’identificazione del LR per il rilascio della firma elettronica qualificata (“mini onboarding”)

La condizione che rende lecito il trattamento dei Dati Comuni è quella di cui all’art. 6, par. 1, lett. b) del GDPR, ovverosia l’attuazione del programma contrattuale

I dati sono conservati per 10 anni dal rilascio della firma

Se necessario, per finalità connesse ad accertare, esercitare e/o difendere i diritti della Società in sede giudiziaria.

La condizione che rende lecito il trattamento dei Dati Comuni è quella di cui all’art. 6, par. 1, lett. f) del GDPR, ovverosia il perseguimento del legittimo interesse del titolare del trattamento.

I dati sono conservati per tutta la durata del contenzioso giudiziale, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.

Decorsi i termini di conservazione sopra indicati, i dati sono distrutti, cancellati o resi anonimi, compatibilmente con le procedure tecniche di cancellazione e backup. 

Natura del conferimento dei dati 

Il conferimento dei dati personali è necessario per lo svolgimento delle attività precontrattuali, per la conclusione e/o per l’esecuzione del rapporto contrattuale. Il rifiuto di fornire i dati non consente, pertanto, di instaurare il rapporto contrattuale e/o di adempiere alle conseguenti obbligazioni. 

Destinatari di dati personali trattati 

I dati personali da Lei forniti o acquisiti potranno essere comunicati a soggetti operanti in qualità di titolari autonomi, quali autorità pubbliche o prestatori di servizi fiduciari, oppure trattati, per conto della Società, da soggetti designati quali responsabili del trattamento ex art. 28 del GDPR. 

Tra i responsabili del trattamento rientrano, a titolo esemplificativo e non esaustivo: 

  • soggetti che forniscono prestazioni professionali di consulenza e assistenza fiscale e legale; 

  • soggetti che supportano le attività di istruttoria, valutazione, cessione del credito IVA della Società Cliente; 

  • soggetti che si occupano della gestione del sistema informativo; 

  • soggetti che svolgono servizi bancari, finanziari o assicurativi; 

  • soggetti che svolgono attività di archiviazione della documentazione; 

  • imprese di servizi connessi e strumentali alla gestione dei rapporti con la clientela (ad esempio studi di consulenza, studi legali). 

Tra i soggetti che ricoprono il ruolo di titolari autonomi rientrano, a titolo esemplificativo e non esaustivo: 

  • soggetti che gestiscono i sistemi di informazioni creditizie; 

  • soggetti che elaborano dati e informazioni per la costruzione di credit scoring; 

  • soggetti che curano la revisione contabile e la certificazione del bilancio; 

  • autorità e organi di vigilanza (es. Banca d'Italia, Ministero dell'Economia e delle Finanze, EBA, ecc.); 

  • società di gestione dei sistemi nazionali e internazionali per il controllo delle frodi ai danni delle banche e degli intermediari finanziari (Centrale di Allarme Interbancaria); 

  • soggetti pubblici nell'ambito di comunicazioni previste normativamente (es. Agenzia delle Entrate); 

  • società di supporto alla prevenzione di frodi; 

  • soggetti che gestiscono agevolazioni pubbliche (ad es. Fondi di Garanzia); 

  • Centrale Rischi di Banca d'Italia e di altri soggetti privati per valutare il merito creditizio per le richieste di finanziamento; 

  • Soggetti che erogano servizi degli esercenti la professione notarile. 

Inoltre, i dati personali saranno trattati dal personale della Società appartenente alle funzioni aziendali deputate al perseguimento delle finalità sopra indicate, che è stato espressamente autorizzato al trattamento e che ha ricevuto adeguate istruzioni operative. 

Modalità di trattamento 

I Suoi dati personali potranno essere trattati a mezzo di dispositivi elettronici e/o manualmente a mezzo di archivi cartacei. La Società, nel trattamento dei dati personali, osserva questi principi così come enunciati dal GDPR: 

  • minimizzazione, ovvero i trattamenti effettuati utilizzano solo i dati strettamente necessari per perseguire le finalità per i quali sono stati raccolti; 

  • limitazione, ovvero i trattamenti sono limitati alle finalità descritte in precedenza; 

  • sicurezza, ovvero la Società garantisce l’applicazione delle misure di sicurezza previste dagli standard internazionali e suggerite dalle migliori pratiche del settore; 

  • correttezza, la Società mette a disposizione tutti gli strumenti per mantenere aderenti alla realtà i suoi dati (es. indirizzo di residenza/corrispondenza); 

  • integrità, la Società adotta le migliori pratiche di gestione dei dati affinché vengano ridotti al minimo gli errori nella gestione dei suoi dati. 

Processi decisionali automatizzati 

Il Titolare non effettua trattamenti che consistano in processi decisionali automatizzati sui dati personali trattati. 

Misure di sicurezza 

La Società adotta ai sensi dell’art. 32 del GDPR specifiche misure di sicurezza al fine di prevenire la perdita dei Suoi dati, usi illeciti o non corretti degli stessi o accessi non autorizzati. In particolare, nelle sezioni del sito in cui sono richiesti all’utente dati personali, il canale attraverso cui transitano i dati è cifrato tramite tecnologie di sicurezza chiamate Secure Sockets Layer & Transport Layer Security, (c.d. SSL/TLS). Tale tecnologia rende disponibile un canale cifrato nel quale viaggiano le informazioni prima che queste vengano scambiate via Internet tra il dispositivo dell'utente ed i sistemi di AideXa, in modo da renderle indecifrabili ai non autorizzati garantendo quindi la riservatezza delle informazioni trasmesse. L'utilizzo dell'SSL/TLS richiede l’utilizzo di un Browser compatibile e in grado di eseguire lo "scambio" di una chiave di sicurezza avente una lunghezza minima di 128 bit, necessaria per stabilire la connessione sicura con i sistemi centrali di AideXa. 

Trasferimento all’estero 

Alcuni trattamenti effettuati dalla Società, per le finalità elencate in precedenza, possono prevedere il trasferimento dei dati personali all’estero, all’interno e/o all’esterno dell’Unione Europea. Nel caso, la Società garantisce il rispetto del GDPR con particolare riferimento a quanto prescritto agli art. 44 e seguenti del GDPR, ovvero il trasferimento avverrà solo verso quei paesi che garantiscono un livello di protezione adeguato o utilizzando le clausole contrattuali standard approvate dalla Commissione europea. 

Diritti dell’interessato 

Lei può chiedere, in ogni momento: 

  • l’accesso ai dati personali che La riguardano (art. 15 del GDPR); 

  • la loro rettifica ed integrazione (art. 16 del GDPR); 

  • la cancellazione degli stessi (art. 17 del GDPR); 

  • la limitazione del trattamento (art. 18 del GDPR); 

  • l’opposizione al trattamento nelle ipotesi di legittimo interesse del Titolare (art. 21 del GDPR); 

  • la ricezione dei dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonché, se tecnicamente fattibile, di trasmetterli ad altro titolare senza impedimenti (“diritto alla portabilità dei dati”, art. 20 del GDPR); 

  • la revoca del consenso prestato, in qualsiasi momento (art. 7 del GDPR). Sul punto, si ricorda tuttavia che la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. 

Lei ha, inoltre, il diritto di proporre reclamo all’Autorità di controllo competente, ai sensi dell’art. 77 del GDPR, qualora ritenga che il trattamento dei Suoi dati personali sia in contrasto con la normativa in vigore. 

Per l’esercizio dei diritti suddetti, è possibile in ogni caso inviare una specifica richiesta al DPO scrivendo ai contatti riportati nella presente informativa o al seguente indirizzo clienti@aidexa.it. 

La Società, contattando il call center Le dà la possibilità di: 

  • accedere ai suoi dati personali; 

  • modificare i consensi ogni volta che lo desideri; 

  • modificare altri dati personali (es. indirizzo, numero cellulare, password).