INFORMATIVA AI SENSI DELL'ART. 13 DEL D. LGS. 30 GIUGNO 2003, N. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Ai sensi del D.Lgs. 30 giugno 2003, n. 196, contenente il Codice in materia di protezione dei dati personali (di seguito Codice ), Mediocredito Italiano S.p.A., con sede in Milano, via Cernaia 8/10, appartenente al Gruppo bancario Intesa Sanpaolo (di seguito Banca ), in qualità di titolare, è tenuta a fornire alcune informazioni riguardanti il trattamento dei dati personali complessivamente effettuato in relazione alla globalità dei rapporti e dei servizi richiesti o richiedibili alla Banca stessa. I dati personali possono essere raccolti dalla Banca o direttamente presso la clientela, o presso terzi, o consultando alcune banche-dati (vedere apposito riquadro), in occasione di operazioni tipiche dell'attività bancaria e/o strumentali ad essa. In ogni caso, tutti i dati raccolti vengono trattati nel rispetto della normativa sulla protezione dei dati personali e degli obblighi di riservatezza cui si è sempre ispirata l'attività della Banca. Ai sensi dell art. 23 del Codice, il trattamento dei dati personali è ammesso solo con il consenso espresso dell interessato. Peraltro, ai sensi dell art. 24 del Codice, il consenso non è richiesto, tra l altro, quando il trattamento è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell interessato; quando riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; quando riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; quando serve per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell interessato. Può accadere che, nell ambito di particolari rapporti o in relazione a specifiche operazioni e/o servizi, la Banca venga in possesso anche di dati che l art. 4 del Codice definisce "sensibili", in quanto idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale dell interessato. Per il trattamento di questi dati, l art. 26 del Codice richiede una specifica manifestazione del consenso in forma scritta. L interessato potrà esprimere il proprio consenso al trattamento dei dati personali e di quelli sensibili barrando le apposite caselle del modulo fornito. 1. Finalità dei trattamenti cui sono destinati i dati, natura del conferimento degli stessi e conseguenze di un eventuale rifiuto a rispondere - art. 13, comma 1, lettere a), b) e c) del Codice I dati personali sono trattati dalla Banca nell ambito della sua attività con le seguenti finalità: a) prestare i servizi richiesti e gestire i rapporti con la clientela (si tratta, a titolo esemplificativo, di trattamenti di dati effettuati per esigenze istruttorie relative alle operazioni ed ai servizi richiesti o forniti; per acquisire informazioni preliminari alla conclusione dei contratti; per dare esecuzione agli obblighi contrattuali e per l esercizio dei relativi diritti); in relazione a tali finalità, il conferimento dei dati personali non è obbligatorio, ma il rifiuto di fornirli potrebbe comportare l impossibilità di dare seguito a quanto richiesto alla Banca; b) adempiere a prescrizioni dettate da normative nazionali e comunitarie (ad esempio, in materia di antiriciclaggio, lotta al terrorismo internazionale, accertamenti fiscali e tributari), nonché a disposizioni impartite da autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo (quali, ad esempio, la Banca d Italia e la Centrale Rischi); in relazione a tali finalità, il conferimento dei dati è obbligatorio ed il rifiuto di fornirli comporta l impossibilità di dare seguito a quanto richiesto alla Banca; c) svolgere attività funzionali alla promozione e vendita di prodotti e servizi della Banca, di società del Gruppo bancario Intesa Sanpaolo o di società terze, effettuate, ad esempio, attraverso lettere, telefono, Internet, SMS, MMS, materiale pubblicitario ed altri sistemi di comunicazione; effettuare indagini di
mercato e rilevazioni del grado di soddisfazione della clientela sulla qualità dei servizi resi e sull'attività svolta, realizzate anche con la collaborazione di terzi; offrire prodotti e servizi specificamente individuati attraverso l elaborazione dei dati personali relativi a preferenze, abitudini, scelte di consumo, ecc.; in relazione a tali finalità, il conferimento dei dati personali è facoltativo ed il rifiuto di fornirli non comporta conseguenze. I dati personali relativi allo svolgimento di attività economiche sono trattati dalla Banca anche per finalità di rilevazione e monitoraggio da parte di Intesa Sanpaolo S.p.A. del rischio creditizio relativo all interessato nell ambito del Gruppo bancario Intesa Sanpaolo, a cui la Banca appartiene. I dati patrimoniali e fiscali oltre ad ogni altra informazione attinente la situazione economico-finanziaria delle società di persona e delle ditte individuali clienti della Banca possono essere comunicati a CERVED GROUP S.p.A., con sede legale in Milano, via San Vigilio 1 (che ha incorporato Centrale dei Bilanci S.r.l. - Società per l analisi e l informazione finanziaria, con sede in Torino, corso Vittorio Emanuele II n.33) la quale provvederà, in qualità di titolare, ad un autonomo trattamento nell ambito del c.d. Sistema Informativo delle aziende minori (SIAM), consistente nella classificazione informatica, secondo modelli standardizzati e integrati, dei predetti dati, al fine di rendere disponibili i risultanti archivi elettronici alle banche aderenti al predetto sistema informativo, in qualità di autonomi titolari di ulteriore trattamento. INFORMAZIONI RESE AI SENSI DELL ART. 13 DEL D. LGS. 30 GIUGNO 2003, N. 196, CONTENENTE IL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI E DELL ART. 5 DEL CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO, AFFIDABILITÀ E PUNTUALITÀ NEI PAGAMENTI Per concedere il finanziamento richiesto, la Banca utilizza alcuni dati che riguardano il richiedente ed eventuali garanti. Si tratta di informazioni fornite dall interessato o che la Banca ottiene anche consultando sistemi di informazioni creditizie. Senza questi dati, che servono alla Banca per valutare l affidabilità del richiedente e degli eventuali garanti, potrebbe non essere concesso il finanziamento richiesto. Alcuni dati personali possono essere comunicati a sistemi di informazioni creditizie gestiti da privati e consultabili da molti soggetti. Ciò significa che altre banche o finanziarie a cui l interessato potrebbe chiedere un altro prestito, un finanziamento, una carta di credito, ecc., anche per acquistare a rate un bene di consumo, o a favore dei quali potrebbe rilasciare una garanzia reale o personale, potranno sapere se lo stesso ha presentato alla Banca una richiesta di finanziamento, se ha in corso altri prestiti o finanziamenti, se paga regolarmente le rate o se ha prestato una garanzia reale o personale a favore della Banca. Relativamente ai sistemi di informazioni creditizie gestiti da privati, occorre invece distinguere: qualora l interessato sia puntuale nei pagamenti, la conservazione delle relative informazioni richiede il consenso al trattamento dei dati; in caso di pagamenti con ritardo o di omessi pagamenti, oppure nel caso in cui il finanziamento riguardi l attività imprenditoriale o professionale, il predetto consenso non è necessario. L interessato ha diritto di conoscere i suoi dati e di esercitare i diversi diritti relativi al loro utilizzo (rettifica, aggiornamento, cancellazione, ecc.). Per ogni richiesta riguardante i suoi dati, l interessato può utilizzare nel suo interesse il fac-simile presente sul sito internet del Garante per la protezione dei dati personali, all indirizzo www.garanteprivacy.it, inoltrandolo a MEDIOCREDITO ITALIANO S.P.A. ALLA C.A. DEL RESPONSABILE DEL SUPPORTO RETE E CLIENTELA VIA CERNAIA 8/10 - MILANO e/o alle società sotto indicate, alle quali la Banca può comunicare i dati: - CRIF S.P.A. - CERVED GROUP S.P.A. L interessato troverà qui sotto altre spiegazioni. Ulteriori informazioni possono essere reperite attraverso i rispettivi siti internet, agli indirizzi sotto indicati.
La Banca tratta i dati dell interessato per tutto ciò che è necessario per gestire il finanziamento ed adempiere gli obblighi di legge. Al fine di meglio valutare il rischio creditizio, può comunicare alcuni dati (dati anagrafici, anche della persona eventualmente coobbligata, tipologia del contratto, importo del credito, modalità di rimborso) a sistemi di informazioni creditizie, i quali sono regolati dal Codice deontologico adottato dal Garante per la protezione dei dati personali (pubblicato sulla Gazzetta Ufficiale n. 300 del 23 dicembre 2004 e reperibile sul sito internet del Garante per la protezione dei dati personali all indirizzo www.garanteprivacy.it). I dati sono resi accessibili anche ai diversi operatori bancari e finanziari partecipanti, di cui indichiamo di seguito le categorie. I dati sono aggiornati periodicamente con informazioni acquisite nel corso del rapporto (andamento dei pagamenti, esposizione debitoria residuale, stato del rapporto). Nell'ambito dei sistemi di informazioni creditizie, i dati sono trattati secondo modalità di organizzazione, raffronto ed elaborazione strettamente indispensabili per perseguire le finalità sopra descritte, e in particolare per estrarre in maniera univoca da sistemi di informazioni creditizie le informazioni relative all interessato. Tali elaborazioni vengono effettuate attraverso strumenti informatici, telematici e manuali che garantiscono la sicurezza e la riservatezza dei dati. I dati possono essere oggetto di particolari elaborazioni statistiche al fine di attribuire un giudizio sintetico o un punteggio sul grado di affidabilità e solvibilità dell interessato (cd. credit scoring), tenendo conto delle seguenti principali tipologie di fattori: numero e caratteristiche dei rapporti di credito in essere, andamento e storia dei pagamenti dei rapporti in essere o estinti, eventuale presenza e caratteristiche delle nuove richieste di credito, storia dei rapporti di credito estinti. Alcune informazioni aggiuntive possono essere fornite all interessato in caso di mancato accoglimento di una richiesta di credito. I sistemi di informazioni creditizie cui la Banca aderisce sono gestiti da: 1. CRIF S.p.A., con sede legale in Bologna, Ufficio Relazioni con il Pubblico: via Francesco Zanardi 41, 40131 Bologna. Fax: 051 6458940, Tel: 051 6458900, sito Internet: www.crif.com. TIPO DI SISTEMA: positivo e negativo. PARTECIPANTI: banche, intermediari finanziari, soggetti privati che nell esercizio di un attività commerciale o professionale concedono dilazioni di pagamento del corrispettivo per la fornitura di beni o servizi. TEMPI DI CONSERVAZIONE DEI DATI: tempi indicati nel codice di deontologia, vedere tabella sotto riportata. USO DI SISTEMI AUTOMATIZZATI DI CREDIT SCORING: si. ALTRO: CRIF S.p.A. aderisce ad un circuito internazionale di sistemi di informazioni creditizie operanti in vari paesi europei ed extra-europei e, pertanto, i dati trattati potranno essere comunicati (sussistendo tutti i presupposti di legge) ad altre società, anche estere, che operano, nel rispetto della legislazione del loro paese, come autonomi gestori dei suddetti sistemi di informazioni creditizie e quindi perseguono le medesime finalità di trattamento del sistema gestito da CRIF S.p.A. 2.CERVED GROUP S.P.A. con sede legale in Milano, via San Vigilio 1, 20142 MILANO Fax: 02 76020458, e-mail a privacy@cerved.com, sito internet: www.cerved.com. TIPO DI SISTEMA: positivo e negativo. PARTECIPANTI: Banche, Intermediari Finanziari, soggetti privati che nell esercizio di un attività commerciale o professionale concedono dilazioni di pagamento del corrispettivo per la fornitura di beni o servizi; sono esclusi soggetti che esercitano attività di recupero credito. TEMPI DI CONSERVAZIONE DEI DATI: tempi indicati nel codice di deontologia, vedere tabella sotto riportata. USO DI SISTEMI AUTOMATIZZATI DI CREDIT SCORING: SI. L interessato ha diritto di accedere in ogni momento ai dati che lo riguardano, rivolgendosi alla Banca, al recapito sopra indicato, oppure ai gestori dei sistemi di informazioni creditizie. Allo stesso modo può richiedere la correzione, l'aggiornamento o l'integrazione dei dati inesatti o incompleti, ovvero la cancellazione o il blocco per quelli trattati in violazione di legge, o ancora opporsi al loro utilizzo per motivi legittimi da evidenziare nella richiesta (art. 7 del Codice; art. 8 del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti). Tempi di conservazione dei dati (salvo le specificità sopra indicate):
RICHIESTE DI FINANZIAMENTO MOROSITÀ DI DUE RATE O DI DUE MESI POI SANATE RITARDI SUPERIORI SANATI ANCHE SU TRANSAZIONE EVENTI NEGATIVI (OSSIA MOROSITÀ, GRAVI INADEMPIMENTI, SOFFERENZE) NON SANATI RAPPORTI CHE SI SONO SVOLTI POSITIVAMENTE (SENZA RITARDI O ALTRI EVENTI NEGATIVI) 6 mesi, qualora l'istruttoria lo richieda, o un mese in caso di rifiuto della richiesta o rinuncia alla stessa 12 mesi dalla regolarizzazione 24 mesi dalla regolarizzazione 36 mesi dalla data di scadenza contrattuale del rapporto o dalla data in cui è risultato necessario l'ultimo aggiornamento (in caso di successivi accordi o altri eventi rilevanti in relazione al rimborso) 36 mesi 2. Modalità di trattamento dei dati - art. 13, comma 1, lettera a) del Codice - Il trattamento dei dati personali avviene mediante strumenti manuali, informatici e telematici e in modo da garantire la sicurezza e la riservatezza dei dati stessi. Vengono utilizzati sistemi di prevenzione e protezione, costantemente aggiornati e verificati in termini di affidabilità. La protezione è assicurata anche quando l interessato si avvale di canali distributivi telematici o comunque innovativi. 3. Soggetti e categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venire a conoscenza dei dati personali in qualità di responsabili o incaricati dal titolare e ambito di diffusione dei dati medesimi - art. 13, comma 1, lettera d) del Codice - Per il perseguimento delle finalità di cui sopra, la Banca comunica dati personali alla Capogruppo Intesa Sanpaolo S.p.A., a società appartenenti al Gruppo bancario Intesa Sanpaolo o comunque a società controllate o collegate, quale, ad esempio, la società consortile che gestisce il sistema informativo ed alcuni servizi amministrativi accentrati, nonché a soggetti esterni operanti, anche all estero, nell ambito di: servizi bancari, finanziari ed assicurativi; offerta di prodotti e/o servizi di terzi; etichettatura, trasmissione, imbustamento e trasporto delle comunicazioni alla clientela; archiviazione della documentazione relativa ai rapporti intercorsi con la clientela; revisione contabile e certificazioni di bilancio; rilevazione dei rischi finanziari, a scopo di prevenzione del rischio di insolvenza; servizi di recupero crediti; cessione dei crediti; fornitura, gestione e sviluppo di sistemi informatici, di reti di telecomunicazione e di procedure informatiche; protezione e sicurezza informatica; assistenza alla clientela, anche in relazione ad eventuali convenzioni; rilevazione della qualità dei servizi, ricerche di mercato, informazione e promozione commerciale; attività di consulenza professionale. La Banca può comunicare i dati personali relativi allo svolgimento di attività economiche a Intesa Sanpaolo S.p.A. per le finalità di cui al punto 1) penultimo capoverso. La Banca può inoltre comunicare i dati patrimoniali e fiscali oltre ad ogni altra informazione attinente la situazione economico-finanziaria delle società di persona e delle ditte individuali clienti della stessa a CERVED GROUP S.P.A., con sede legale in Milano, via San Vigilio 1, per le finalità di cui al punto 1) ultimo capoverso. La Banca può altresì comunicare agli altri intermediari finanziari appartenenti al Gruppo bancario Intesa Sanpaolo le informazioni relative alle operazioni poste in essere dall interessato, ove ritenute anomale o sospette ai sensi dell art. 41, comma 1 del D. Lgs. 21 novembre 2007 n. 231 (Attuazione della direttiva 2005/60/Ce concernente la prevenzione dell utilizzo del sistema finanziario a scopo di riciclaggio dei
proventi di attività criminose e di finanziamento del terrorismo, nonché della direttiva 2006/70/Ce che ne reca misure di esecuzione). La Banca può comunicare infine i dati personali alla Capogruppo Intesa Sanpaolo, alle società del Gruppo bancario Intesa Sanpaolo o a soggetti terzi convenzionati con la Banca stessa per la promozione e la vendita da parte loro di prodotti e servizi degli stessi. Nei casi in cui la Banca agisce come intermediario nella vendita di prodotti e servizi per conto di altri soggetti (ad esempio per servizi finanziari e assicurativi), comunica a questi ultimi - titolari autonomi - i dati degli interessati che abbiano richiesto tali prodotti e servizi. In nessun caso è prevista la diffusione dei dati. I soggetti ai quali i dati possono essere comunicati, che non siano stati designati Incaricati o "Responsabili", utilizzano i dati quali "Titolari", effettuando un trattamento autonomo e correlato a quello eseguito dalla Banca. La Banca designa Incaricati del trattamento tutti i lavoratori dipendenti e i collaboratori, anche occasionali, che svolgono mansioni che comportano il trattamento di dati personali. 4. I diritti di cui all art. 7 del Codice - art. 13, comma 1, lettera e) del Codice - Ai sensi dell art. 7 del Codice, l'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. L interessato ha altresì diritto di ottenere l indicazione dell origine dei dati personali, delle finalità e delle modalità del trattamento; della logica applicata in caso di trattamento effettuato con l ausilio di strumenti elettronici; degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell articolo 5, comma 2 del Codice; dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. L interessato ha inoltre diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. L interessato ha, infine, diritto di opporsi, in tutto o in parte: a) per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. 5. Estremi identificativi del responsabile per il riscontro all interessato in caso di esercizio dei diritti di cui all art. 7 del Codice - art. 13, comma 1, lettera f) del Codice - Responsabile per il riscontro all interessato in caso di esercizio dei diritti di cui all art. 7 del Codice, ivi compreso quello di richiedere un elenco aggiornato dei soggetti designati dalla Banca quali responsabili, nonché dei soggetti o delle categorie di soggetti di cui al precedente punto 3), è il Responsabile del Supporto Rete e Clientela della Banca, presso la sede della Banca in Milano, via Cernaia 8/10.