Privacy/Informativa Privacy - Contratto di Acquiring

Informativa privacy ai sensi del Regolamento 2016/679/UE “Regolamento europeo in materia di protezione dei dati personali” (articoli 13 e seguenti)

LIS Pay S.p.A., Società interamente controllata da PostePay S.p.A., con sede in Via Roberto Bracco, 6 – 20159 Milano (di seguito “Società”) informa che è titolare del trattamento (nel seguito “Titolare”) dei dati personali, inclusi quelli delle persone fisiche che rivestono la rappresentanza societaria e/o contrattuale (nel seguito “Interessato”), necessari all’instaurazione e la gestione del rapporto contrattuale per il servizio di accettazione in pagamento delle carte sui POS e per il servizio di pagamento E-commerce (nel seguito “Servizi di Acquiring”) offerti dalla Società, e procederà al relativo trattamento per le finalità e con le modalità di seguito indicate.

Alcune definizioni principali

  • Il «dato personale» è qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
  • Il «trattamento» è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati applicate a dati personali, quali la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione, la messa a disposizione, il raffronto, l’interconnessione, la limitazione, la cancellazione, la distruzione.
  • Il «Titolare del trattamento» è la persona giuridica che, singolarmente o insieme ad altri come «Contitolari del trattamento», determina le finalità e i mezzi del trattamento di dati personali.
  • I «Contitolari del trattamento» sono due o più titolari che determinano congiuntamente le finalità e i mezzi del trattamento di dati personali.
  • Il «Responsabile del Trattamento» è la persona fisica o giuridica che tratta i dati personali per conto del Titolare del trattamento o dei Contitolari.

    • Origine dei dati personali

    I dati personali che il Titolare tratta sono stati da Lei direttamente forniti e, per alcune attività di trattamento collegate al perfezionamento del rapporto contrattuale, raccolti attraverso società terze o enti (ad es. visure camerali).

    Finalità del trattamento

    I Suoi dati personali sono utilizzati esclusivamente per le seguenti finalità:

    Attività precontrattuali e contrattuali
    Il trattamento dei Suoi dati personali è in primo luogo finalizzato a rendere possibile la stipula del contratto necessario affinché la Società possa erogare a Suo favore i Servizi di Acquiring.
    Il trattamento dei Dati Personali dei Clienti è inoltre finalizzato a garantire la gestione degli incassi e delle operazioni di pagamento del Cliente per tutti gli adempimenti connessi ai Servizi di Acquiring acquistati.
    A titolo esemplificativo e non esaustivo le finalità del trattamento connesse alla stipula e all’ adempimento dei Servizi di Acquiring (in ogni sua fase) possono essere:

  • trasferimento sul Conto del Cliente dei fondi derivanti dalle operazioni e accreditati dai Circuiti a LIS Pay;
  • addebito al Cliente del canone mensile del POS;
  • accredito al Cliente delle operazioni effettuate con le carte tramite POS;
  • addebito delle spese per la gestione ordinaria e straordinaria e, in generale, per la gestione di tutte le operazioni di pagamento.

    • Prima della conclusione del contratto, il trattamento dei Suoi dati personali potrebbe perseguire finalità precontrattuali, come ad esempio rispondere a specifiche richieste provenienti da clienti interessati al Servizio di Acquiring.
    A titolo esemplificativo e non esaustivo, in questa i Suoi dati potranno essere trattati per svolgere verifiche lecite e pertinenti – nel rispetto anche dei vigenti codici di deontologia e buona condotta sul trattamento dei dati personali - relativamente alla solvibilità economica, al comportamento debitorio, allo svolgimento di attività economiche mediante trattamento di informazioni commerciali (es. fatturato, bilanci, aspetti economici, finanziari, organizzativi, produttivi, industriali, commerciali, imprenditoriali), all'affidabilità o puntualità nei pagamenti, etc.
    La base giuridica del trattamento in tutti i casi previsti dal presente paragrafo, consiste, quindi, nell’adempimento di obblighi contrattuali o nell’esecuzione di misure precontrattuali adottate su richiesta degli Interessati (art. 6, par. 1, lettera b del GDPR).

    Adempimento di obblighi legali e difesa dei diritti

    I Suoi dati personali saranno trattati per adempiere agli obblighi previsti dalla legge, da un regolamento o dalla normativa comunitaria e per finalità civilistiche, amministrative, contabili e fiscali.
    In particolare, i Suoi dati saranno trattati per adempiere agli obblighi previsti dalla normativa antiriciclaggio ai sensi del D. Lgs. 231/2007 e successive modifiche, per controlli antifrode, per comunicazioni obbligatorie per legge ai fini fiscali, per adempiere a disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di vigilanza e controllo (ad esempio Banca d’Italia) o dalla Magistratura. Inoltre, al fine di dare corso ad alcune specifiche operazioni in ambito internazionale richieste dalla clientela, la Società potrebbe avere la necessità di utilizzare un servizio di messaggistica internazionale “Society for Worldwide Interbank Financial Telecommunication” (SWIFT) avente sede legale in Belgio. In tal caso la Società comunica a SWIFT (titolare del sistema SWIFTNet Fin) dati riferiti a chi effettua le transazioni (quali, ad esempio, i nomi dell’ordinante, del beneficiario e delle rispettive banche e Istituti di pagamento, le coordinate bancarie e la somma). Le comunicazioni a SWIFT di tali dati sono necessarie per eseguire le suddette transazioni.
    La base giuridica del trattamento è rappresentata dalla necessità di adempiere ad obblighi legali ai quali è soggetta la Società (art. 6, par. 1, lettera c del GDPR).
    I dati personali degli Interessati potranno anche essere trattati dalla Società per attività di reportistica interna o del Gruppo Poste Italiane, di cui la Società è parte.
    Inoltre, il trattamento dei dati personali degli Interessati potrà avvenire anche per far valere e difendere nelle sedi competenti (giudiziarie, arbitrali, amministrative, etc.) diritti di qualsiasi natura, siano essi connessi o meno al/ai Contratto/i (es: inadempimento).
    Per entrambi i casi, la base giuridica del trattamento è rappresentata dall’interesse legittimo del Titolare (art. 6, par. 1, lettera f del GDPR).

    Attività di gestione Siti Web e Portale Esercenti

    A seguito della stipula del contratto per l’erogazione del Servizio di Acquiring, Lei può fruire di servizi on line mediante il sito web denominato “Portale Esercenti”, accessibile dal link https://esercenti.lispaypos.it/. con il quale può visualizzare, tra l’altro, tutte le informazioni (di sintesi e di dettaglio) riferite ai Servizi di Acquiring nonché il rendiconto mensile, dove sono riepilogati gli accrediti e gli addebiti relativi alle operazioni avvenute nel periodo di riferimento.
    La possibilità di fruire del Portale Esercenti è consentita solo previa registrazione. Il processo di registrazione al Portale consiste nella compilazione di un modulo on line nel quale Le viene richiesto di indicare taluni dati personali per l’attivazione di credenziali di autenticazione (login + password) con le quali successivamente potrà accedere a tutte le aree e ai servizi riservati agli utenti registrati. Ulteriori finalità del trattamento sono rappresentate, quindi, dalla necessità di consentire l’espletamento delle procedure di registrazione on-line, la creazione degli account nonché di consentire alla Società la generazione e la successiva gestione tecnica e amministrativa (ivi incluse le finalità di fornire supporto e assistenza tecnica su richiesta) degli account, del Client ID, dei codici di attivazione, delle password e similari credenziali di autenticazione.
    Tra le finalità del trattamento dei Suoi dati, in qualità di utente registrato, rientrano anche quelle di consentirgli di accedere alle pagine web e, ove è possibile, di fruire di servizi on-line e di assistenza contrattuale, per la gestione di ogni profilo contrattuale, amministrativo, tecnico o legale conseguente. Con riferimento a tale ultimo trattamento, la finalità è altresì quella di gestire qualsiasi tipo di richiesta di assistenza tecnica, commerciale e/o di natura contrattuale pervenuta alle Società e fornire i relativi riscontri.
    La base giuridica del trattamento, per i casi indicati nel presente paragrafo, è rappresentata dalla necessità di dare esecuzione al Contratto di cui Lei è parte o a misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lettera b del GDPR).
    Per le finalità sopra descritte, in assenza di tutti o parte dei dati richiesti, non sarà possibile procedere alla stipula del Contratto e/o alla erogazione dei Servizi di Acquring e/o a dare seguito alle richieste di natura pre-contrattuale dei Clienti.

    Finalità di Marketing

    I Suoi dati personali potrebbero anche essere oggetto di trattamento per le seguenti finalità:

    Marketing diretto

    Finalità di promozione commerciale, comunicazione pubblicitaria, sollecitazione a comportamenti di acquisto, elaborazioni statistiche (in forma identificativa), altre ricerche campionarie di marketing in senso lato (incluse le manifestazioni a premio, giochi e concorsi) di prodotti e/o servizi riferibili alla Società e/o di prodotti e servizi analoghi ai prodotti e/o servizi oggetto del/dei Contratto/i già stipulato. Le comunicazioni di marketing verranno inviate sia mediante modalità automatizzate (e-mail, sms, notifiche in app, ecc.) sia tradizionali (posta cartacea, telefonate con operatore, ecc.).

    Marketing di terzi

    Comunicazione dei dati a terzi o partner commerciali, affinché questi li trattino per inviare le proprie comunicazioni a carattere commerciale (a titolo esemplificativo, invio di comunicazioni con modalità automatizzate di contatto come sms, mms, e-mail, app di messaggistica istantanea e tradizionali come telefonate con operatore e posta tradizionale, nonché realizzazione di studi di mercato e analisi statistiche) riguardanti la gamma dei propri prodotti e/o servizi.
    A titolo esemplificativo di seguito alcune categorie di terzi o partner commerciali:

  • società che si occupano di gestione di pagamenti on line e di trasferimento all’estero di denaro;
  • società con le quali la Società abbia emesso carte e prodotti finanziari co-branded;
  • fornitori di beni e servizi di comunicazione elettronica, Internet service provider;
  • società che forniscono servizi assicurativi e finanziari;
  • società del comparto del trasporto;
  • banche e istituti di credito;
  • agenzie di viaggio e società che offrono servizi nel settore del turismo;
  • società di fornitura di beni e servizi nel comparto dell’energia e del gas;
  • società che operano nel settore dell’editoria;
  • società sportive;
  • società del comparto alimentare e della ristorazione;
  • società che offrono servizi e beni per la persona, inclusi beni e servizi sanitari.

    • Profilazione

    Le attività di profilazione consistono, generalmente, nelle seguenti fasi:

  • predeterminazione dei parametri per la strutturazione dei dati singolarmente considerati;
  • confronto, l'incrocio, la messa in relazione di tali dati tra di loro e l'analisi comparativa svolta in base ai parametri predefiniti, anche mediante processi automatizzati (cioè la catalogazione dei singoli dati in clusters);
  • ottenimento di un profilo attraverso le attività che precedono e che permette di individuare un profilo ben specifico dei Clienti e le indicazioni analitiche aggiuntive rispetto ai dati singoli e consente di generare la mappatura/segmentazione in gruppi omogenei di comportamento (creazione dinamica di profili comportamentali).

    • I dati di partenza, singolarmente considerati, possono comprendere informazioni personali di tipo variegato, tra cui dati di carattere contrattuale e dati relativi alle transazioni fatte, o agli introiti conseguiti nell’ambito del Contratto, etc, ma è solo in seguito alla profilazione (cioè la strutturazione secondo parametri prestabiliti) che è possibile desumere indicazioni ulteriori riferibili a ciascun Cliente interessato (cioè il "profilo", ad esempio, fascia di mercato, livello di introiti, servizi attivi, attitudine commerciale, etc.) che non deriverebbero dalla mera attitudine informativa dei dati singolarmente o separatamente considerati. Esempi di trattamenti di Profilazione sono la rilevazione di:

  • numero e tipologia di vendite di prodotti e servizi della Società effettuate in un orizzonte temporale predeterminato;
  • numero e tipologia di introiti realizzati in un orizzonte temporale predeterminato;
  • numero e tipologia di nuovi contratti con la clientela delle Società stipulati in un orizzonte temporale predeterminato;
  • numero e tipologia di richieste di assistenza inviate in un orizzonte temporale predeterminato;
  • numero e tipologia di contestazioni ricevute e/o inviate in un orizzonte temporale predeterminato.

    • Ricerche di mercato

    Svolgimento da parte della Società di ricerche di mercato o campagne di rilevazione del grado di soddisfazione della Clientela sulla qualità dei servizi resi e sull’attività svolta dalla Società al fine di migliorare i propri servizi e soddisfare meglio le esigenze dei Clienti.

    Per tutte le finalità di Marketing sopra descritte, in caso di diniego dei consensi non vi sarà alcuna interferenza e/o conseguenza sui rapporti negoziali e contrattuali i cui trattamenti dei dati personali rientrano nelle finalità primarie di cui al Paragrafo A della presente Informativa privacy.
    Per queste attività di trattamento, la base giuridica del trattamento è rappresentata dal consenso espresso dall’Interessato (art. 6, par. 1, lettera a del GDPR). L’eventuale diniego dei consensi non avrà alcuna interferenza o conseguenza.

    Modalità di trattamento e tempi di conservazione

    Il trattamento dei Suoi dati personali sarà effettuato in modo da garantire un'adeguata sicurezza e riservatezza e da impedire l'accesso o l'utilizzo non autorizzato dei dati personali. Le operazioni di trattamento saranno effettuate mediante modalità cartacee ovvero con l’ausilio di mezzi elettronici o automatizzati idonei a garantire la sicurezza necessaria in relazione alla natura dei dati trattati.
    I Suoi dati personali saranno trattati e conservati I dati saranno conservati per i tempi definiti dalla normativa di riferimento: dieci anni per i documenti e relativi dati di natura civilistica, contabile e fiscale come previsto dal Codice civile e dalle leggi in vigore, ivi incluse le disposizioni in materia di antiriciclaggio.
    Con riferimento ai Suoi dati personali, oggetto di trattamento per finalità di marketing, gli stessi saranno conservati, nel rispetto del principio di proporzionalità e minimizzazione, per 24 mesi dalla chiusura del rapporto contrattuale mentre per finalità di profilazione saranno conservati per 12 mesi dalla chiusura del rapporto stesso.
    I dati dei Clienti potenziali (cd. Prospect) saranno invece cancellati, sempre nel rispetto del principio di proporzionalità e minimizzazione, una volta decorsi 90 giorni dal loro inserimento nel sito https://store.lispaypos.it/, entro il suddetto termine, il Prospect non porterà a termine la stipula del Contratto di Acquiring.
    In ogni caso i dati personali oggetto di trattamento per finalità di marketing e/o di profilazione, saranno cancellati nel caso intervenga la revoca del consenso specifico da parte del Cliente, e dunque i tempi di conservazione in questo caso sono legati alla scelta del Cliente.

    Comunicazione dei dati

    Per il perseguimento delle finalità sopra indicate, la Società potrà dover comunicare i Suoi dati personali a Poste Italiane S.p.A. e alle Società del Gruppo Poste Italiane, che li tratteranno in qualità di titolari autonomi.
    Inoltre, la Società potrà dover comunicare i dati personali ai seguenti destinatari esterni, nominati se necessario responsabile del trattamento ai sensi dell’art. 28 del GDPR:

  • società terze collegate al Titolare per adempimenti societari legati ad attività di controllo antiriciclaggio e antifrode, di natura organizzativa, amministrativa, finanziaria e contabile e di reportistica integrata;
  • Pubbliche Amministrazioni ed in generale a soggetti pubblici o privati con funzioni di pubblico interesse, per lo svolgimento delle funzioni istituzionali, con particolare ma non esclusivo riferimento a tutte le Autorità e organi di vigilanza, prevenzione e controllo come destinatarie di dati dei Clienti nell’ambito degli obblighi di prevenzione, identificazione e segnalazione imposti dalla legge (es.: UIF, Banca d’Italia, CONSOB, MEF-Ucamp, etc.);
  • Società del comparto bancario e creditizio che forniscono servizi per la gestione delle transazioni finanziarie connesse ai pagamenti;
  • Società operanti nel comparto dei servizi finanziari e di pagamento;
  • Fornitori del comparto dei servizi ICT per servizi di installazione, assistenza e manutenzione di impianti e sistemi informatici e telematici e di tutti i servizi funzionalmente connessi e necessari per l’adempimento delle prestazioni oggetto del Contratto;
  • Società incaricate della raccolta sul territorio nazionale della contrattualizzazione e della informatizzazione relativa (data entry);
  • Soggetti che svolgono attività di archiviazione della documentazione relative ai rapporti intercorsi con il Cliente;
  • Soggetti che forniscono servizi per la gestione del sistema informatico della Società;
  • Soggetti che svolgono attività di controllo, revisione e certificazione delle attività poste in essere dalla Società;
  • Soggetti che svolgono attività di recupero crediti;
  • Società che svolgono attività di assistenza contrattuale alla clientela (es. call center);
  • Persone, società o studi professionali, che prestano attività di assistenza, consulenza o collaborazione alla Società in materia contabile, amministrativa, legale, tributaria e finanziaria relativamente al Contratto con il Cliente;
  • Società e soggetti istituzionali che operano nell’ambito della prevenzione di frodi;
  • Fornitori di servizi finalizzati alla verifica, esattezza e validità dei dati anagrafici e fiscali;
  • Società issuer e acquirer aderenti ai circuiti internazionali Visa e MasterCard per la gestione di eventuali richieste di informazioni/contestazioni;
  • Fornitori di servizi di certificazione digitale e gestione dei documenti in modalità elettronica;
  • Society for Worldwide Interbank Financial Telecommunication” (SWIFT);
  • soggetti nuovi nel settore del commercio elettronico che svolgono servizi di disposizione di ordine di pagamento nel settore del commercio elettronico (Payment Initiation Service – PIS) e servizi informative sui conti (Account Information Service – AIS);

    • I Suoi dati personali riferiti non saranno oggetto di diffusione, a meno che non sussista una base giuridica che ne consenta il trattamento, ovvero che Lei non lo abbia esplicitamente richiesto in sede di perfezionamento del rapporto contrattuale con la Società.

    Soggetti autorizzati a trattare i dati personali

    I Suoi dati personali saranno trattati da incaricati del trattamento, dipendenti del Titolare e figure assimilate per le finalità sopra riportate, addetti materialmente al trattamento dei dati personali e autorizzate dal Titolare. Gli incaricati opereranno sotto la diretta autorità del Titolare, nel rispetto delle istruzioni ricevute.

    Diritti dell’interessato

    Lei ha il diritto di ottenere dalla Società, nei casi previsti, l'accesso ai Suoi dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del GDPR). In tal senso, può inviare una richiesta scritta via e-mail all’indirizzo: privacy@lispay.it
    Inoltre, se dovesse ritenere che il trattamento dei Suoi dati personali avvenga in violazione di quanto previsto dal GDPR hanno il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77 del Regolamento 2016/679/UE.

    Data Protection Officer

    Il Data Protection Officer (DPO) è il Responsabile della protezione dei dati personali ed è designato dal Titolare per assolvere alle funzioni espressamente previste dal Regolamento europeo in materia di protezione dei dati personali. Il DPO è reperibile presso l’ufficio del Responsabile della Protezione dei Dati di Poste Italiane, in viale Europa, 175 - 00144 Roma, e-mail: ufficiorpd@posteitaliane.it.

    Trasferimento dei dati personali a un paese terzo

    Ai sensi dell’art. 13, comma 1, lett. (f) del GDPR, si informa che alcuni dati personali degli Interessati potrebbero essere trasferiti all’esterno dello Spazio Economico Europeo (SEE).
    Nel caso in cui fosse necessario trasferire tali dati al di fuori dello SEE, il Titolare o l’eventuale responsabile del trattamento nominato dal Titolare, vincoleranno l’importatore dei dati personali a prestare idonee garanzie a tutela dei dati stessi attraverso la stipula delle clausole contrattuali tipo (Standard Contractual Clauses) allegate alla decisione della Commissione Europea UE 2021/914 del 4 giugno 2021 per regolare il trasferimento di dati personali da titolare UE a responsabile di un Paese terzo.

    Data ultimo aggiornamento: 07/2024