Privacy policy

Il Titolare del trattamento dei dati personali è Utego s.r.l., c.f/p.iva 11038990963, con sede legale in Milano alla via Carlo Giuseppe Merlo nr. 1, in persona del legale rappresentante pro tempore.

Il Responsabile della Protezione dei Dati (di seguito “RPD” o “DPO – Data Protection Officer”) può essere contattato con le seguenti modalità ed ai seguenti recapiti:
• con raccomandata presso la suddetta sede legale del “Titolare”
• indirizzo e-mail: utegodpo@utego.it

Il trattamento ha ad oggetto i dati personali dell’utilizzatore dei servizi di pagamento (di seguito, “Interessato”) ed è svolto nell’ambito del servizio di aggregazione e visualizzazione dei conti correnti, dell’utilizzo di servizi a valore aggiunto ad essa correlati, come ad esempio il servizio di riconciliazione automatizzata dei pagamenti, nonché dei servizi di autorizzazione, elaborazione e regolamento di pagamenti, tramite qualunque strumento di pagamento, erogati da terzi, ma utilizzabili tramite piattaforma Utego.
In particolare, il “Titolare” tratta dati personali appartenenti alle seguenti categorie:
• identificativi, di contatto e contrattuali (quali: nome, cognome, indirizzo e-mail);
• relativi alle operazioni richieste (quali: iban, oggetto ed importo delle transazioni).
I sopraelencati dati sono personalmente conferiti dall’Interessato anche mediante la compilazione di specifici form, per l’inserimento dei dati dell’operazione di pagamento, del “Titolare” o dell’Esercente e successivamente da quest’ultimo comunicati al “Titolare”.

Il trattamento dei dati personali è effettuato, da parte del “Titolare” e/o di terzi per conto del medesimo, esclusivamente in presenza di una delle seguenti basi giuridiche ed è limitato al perseguimento delle correlate finalità:
• esecuzione dei “Servizi” di cui l’interessato è parte e/o ne usufruisce, ivi compresa l’esecuzione di misure precontrattuali adottate su richiesta dello stesso, ai sensi dell’art. 6 par. 1 lett. B) del Regolamento, al fine di dare esecuzione ai “Servizi”;
• adempimento di un obbligo legale al quale è soggetto il “Titolare”, ai sensi dell’art. 6 par. 1 lett. C) del Regolamento e, in particolare, al fine di adempiere agli obblighi connessi ai “Servizi” (ad esempio, laddove applicabili: gestione dei reclami, antiriciclaggio e antiterrorismo etc.)
• qualora l’Esercente presso il quale è effettuato l’acquisto abbia aderito al servizio di prevenzione frodi, legittimo interesse del “Titolare” e/o di terzi alla prevenzione delle frodi nei pagamenti, ai sensi dell’art. 6 par. 1 lett. F) del Regolamento, al fine di analizzare il livello di rischio frode delle transazioni
• Il trattamento dei Dati Personali dell’Interessato può essere anche necessario per dare attuazione alla normativa europea sulla seconda direttiva sui servizi di pagamento (direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 dicembre 2015, di seguito “PSD2”) in materia di trattamento di dati personali da parte dell’ASPSP, che consiste nel concedere l’accesso ai dati personali richiesti dall’AIS (o dal PISP) affinché essi possano prestare i propri servizi di pagamento all’utente. Tale tratta- mento si basa su un obbligo giuridico. Per conseguire gli obiettivi della PSD2, gli ASPSP devono fornire i dati personali richiesti dall’AIS (o dal PISP), condizione necessaria affinché questi ultimi possano prestare i propri servizi, garantendo in tal modo l’applicazione dei diritti di cui all’articolo 66, paragrafo 1, e all’articolo 67, paragrafo 1, della PSD2. Resta sempre salva la possibilità dell’interessato a seguito del recesso dal contratto o della revoca dell’eventuale consenso prestato all’AIS (o al PISP) di chiedere a UTEGO di non rendere i propri dati personali visibili salvo non vi siano specifici obblighi normativi che impongano detti trattamenti da parte di UTEGO
Con riferimento alle finalità sopra indicate, il conferimento dei dati è obbligatorio e non è richiesto il consenso al trattamento da parte degli Interessati; la mancata comunicazione di uno o più dati renderà impossibile l’esecuzione dei “Servizi”.

I dati personali possono essere conosciuti dal personale del “Titolare” autorizzato al trattamento in ragione dello svolgimento delle proprie mansioni lavorative ovvero da soggetti che operano in qualità di responsabili – appositamente nominati ai sensi dell’art. 28 del Regolamento – o di titolari autonomi del trattamento. Di seguito si riportano le varie categorie di destinatari coinvolti:
• soggetti pubblici nell’ambito di comunicazioni previste normativamente (es. autorità di vigilanza);
• soggetti indipendenti (c.d. acquirer) che provvedono alla gestione dei pagamenti con carte di credito o di debito appartenenti a circuiti di credito e debito nazionali e internazionali.

Per attività di assistenza tecnica finalizzata all’approfondimento e risoluzione di situazioni anomale, e collaudo delle applicazioni, il “Titolare” potrebbe permettere l’accesso ai dati, in modalità tracciata, alla società AMAZON WEB SERVICES EMEA SARL, con sede legale in Lussemburgo, , comunque all’interno dello Spazio Economico Europeo. I dati personali non sono conservati presso la società estera, ma sono oggetto di accesso da remoto continuando a risiedere presso il sistema informativo della Società. Il trasferimento avviene sulla base di clausole contrattuali tipo, approvate della Commissione Europea.

I dati personali sono trattati e conservati per il periodo di tempo necessario al conseguimento della finalità di erogazione del Servizio, fatti salvi i termini di conservazione previsti dalla legge e per finalità difensive proprie o di terzi e fino alla scadenza del periodo di prescrizione di legge applicabile. In particolare, in ottemperanza alle disposizioni della Banca d’Italia per la conservazione e la messa a disposizione dei documenti, dei dati e delle informazioni per il contrasto del riciclaggio e del finanziamento del terrorismo, laddove applicabile, i dati inerenti all’esecuzione dei Servizi (dati identificativi e di contatto e relativi alle operazioni di pagamento) sono conservati per dieci anni dalla chiusura del rapporto con l’Esercente.
Al termine del periodo di conservazione, i dati personali riferibili agli Interessati saranno conservati in una forma che non ne consenta l’identificazione (ad esempio: anonimizzazione irreversibile), a meno che il loro trattamento non sia necessario per uno o più dei seguenti scopi:
• risoluzione di precontenziosi e/o contenziosi avviati prima della scadenza del periodo di conservazione;
• dare seguito ad indagini/ispezioni da parte di funzioni di controllo interno e/o autorità esterne avviati prima della scadenza del periodo di conservazione;
• dare seguito a richieste della pubblica autorità italiana e/o estera pervenute/notificate al “Titolare” prima della scadenza del periodo di conservazione.

I soggetti Interessati dal trattamento possono esercitare specifici diritti sulla protezione dei dati, riportati nel seguente elenco:
diritto di accesso: diritto di ottenere dal “Titolare” la conferma che sia o meno in corso un trattamento dei Suoi dati personali e in tal caso, di ottenere l’accesso agli stessi (fatto salvo che ciò non leda i diritti altrui);
diritto di rettifica: diritto di ottenere dal “Titolare” rettifica dei Suoi dati personali inesatti senza ingiustificato ritardo, nonché l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
diritto alla cancellazione (“oblio”): diritto di ottenere dal “Titolare” la cancellazione dei Suoi dati personali senza ingiustificato ritardo. La Società ha l’obbligo di procedere con la suddetta cancellazione qualora, a titolo meramente esemplificativo e non esaustivo:
i Suoi dati personali non siano più necessari rispetto alle finalità del trattamento;
i Suoi dati personali siano stati trattati illecitamente;
i Suoi dati personali debbano essere cancellati per adempiere ad un obbligo legale;
diritto alla limitazione del trattamento: diritto di ottenere dal “Titolare” la limitazione del trattamento. Il “Titolare” ha l’obbligo di procedere con la suddetta limitazione qualora:
sia contestata l’esattezza dei Suoi dati personali (per il periodo necessario al “Titolare” per verificare l’esattezza di tali dati personali);
il trattamento sia illecito e Lei si sia opposto alla cancellazione dei Suoi dati personali e ne abbia richiesto la limitazione;
i dati personali (seppur non più necessari ai fini del trattamento) Le servano per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
siano in corso le verifiche sull’eventuale prevalenza degli interessi della Società qualora Lei abbia esercitato il diritto all’opposizione di cui di seguito;
diritto alla portabilità dei dati: diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i Suoi dati personali e di trasmettere tali dati ad altro “Titolare” del trattamento, solo per i casi in cui il trattamento sia basato sul consenso o sul contratto e per i soli dati trattati tramite strumenti elettronici;
diritto di opposizione al trattamento: per motivi connessi alla Sua situazione particolare, Lei ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che hanno come base giuridica un interesse legittimo del “Titolare”, fatto salvo il caso in cui la Società dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sui Suoi interessi, diritti e libertà oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Inoltre, può opporsi in qualsiasi momento al trattamento dei Suoi dati personali per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto;
diritto di proporre un reclamo a un’Autorità di controllo ( Autorità Garante per la protezione dei dati personali ): fatto salvo ogni altro ricorso amministrativo o giurisdizionale, qualora Lei ritenga che il trattamento che lo riguarda violi il Regolamento, ha diritto di proporre reclamo all’Autorità di Controllo dello Stato membro
Per esercitare i diritti e per qualsiasi informazione riguardo al trattamento dei dati personali, è possibile inoltrare una richiesta con le seguenti modalità ed ai seguenti recapiti:
– con raccomandata presso la suddetta sede legale del “Titolare”
– indirizzo e-mail: utegodpo@utego.it

Il “Titolare” fornisce informazioni relative all’azione intrapresa riguardo alla richiesta senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della stessa.
Qualora dall’esercizio dei diritti sopra elencati possa derivare un pregiudizio effettivo e concreto agli interessi tutelati in base alle disposizioni in materia antiriciclaggio e antiterrorismo, ai sensi dell’art. 2-undecies Codice privacy, la portata di tali diritti e di alcuni obblighi connessi in capo al “Titolare”, potrebbe subire una limitazione. In tali circostanze l’esercizio dei medesimi diritti può essere ritardato, limitato o escluso, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata. Ove ne ricorrano i presupposti, Le verrà inviata senza ritardo una comunicazione motivata.