INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI PER L’UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali
La presente informativa descrive il trattamento dei dati personali che Bs Broker Sas Di Vanoli Lucia E C., come di seguito individuato, effettua in qualità di titolare del trattamento in relazione all’utilizzo delle soluzioni di firma elettronica avanzata (“FEA”) implementate allo scopo di consentire ai propri utenti (firmatari) di sottoscrivere documenti informatici esclusivamente nell’ambito dei rapporti giuridici e dell’operatività con lo stesso intercorrenti (di seguito, "Dati Personali").
1. Titolare del trattamento
Titolare autonomo del trattamento dei Dati Personali per le finalità di seguito descritte è:
Bs Broker Sas Di Vanoli Lucia e C. (C.F 00931160147 e P. IVA 00931160147, con sede a T i r a n o in via Pedrotti 51, telefono 0342719819, indirizzo email: info@bsbrokerassicurazioni.it (di seguito “Soggetto Erogatore” o il “Titolare”).
2. Normativa e disciplina contrattuale applicabile
Le soluzioni di FEA sono erogate nel rispetto della normativa contenuta nel D.lgs. 7 marzo 2005, n. 82 e successive modificazioni (Codi- ce dell’Amministrazione Digitale – “CAD”), del D.P.C.M. del 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali – “DPCM”), del Regolamento UE n. 910/2014 (Regolamento eIDAS) e del- la normativa in materia di privacy, ivi incluso il Regolamento Generale per la Protezione dei Dati Personali n. 679/2016 ("GDPR") e i provvedimenti, qualora efficaci, del Garante della Privacy specificamente applicabili alle diverse soluzioni di FEA, tra cui il Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 e le Linee Guida in materia di riconoscimento biometrico e firma gra- fometrica allegate a tale Provvedimento.
A livello contrattuale, trovano applicazione le “Condizioni generali per l’utilizzo del servizio di firma elettronica avanzata” in essere con il Soggetto Erogatore (“Condizioni Generali”), il Manuale Tecnico Soluzione FEA (il “Manuale”) e gli ulteriori allegati alle Condizioni Generali.
3. Tipologie di firma e categorie di dati trattati
Le soluzioni di FEA messe a disposizione dal Soggetto Erogatore comprendono due distinti sistemi, secondo quanto descritto nelle Con- dizioni Generali per l’utilizzo della FEA:
-
la FEA Grafometrica, basata sull’acquisizione e l’utilizzo di dati biometrici connessi alla firma autografa del sottoscrittore (“Dati Biometrici”);
-
la FEA Remota, che non prevede l’utilizzo di Dati Biometrici ma è basata su di un combinato processo di point and click e di
successiva conferma dell’operazione tramite chiamata dal numero d i cellulare, dichiarato dal sottoscrittore e nella sua esclusiva disponibilità, ovvero attraverso l’inserimento di un OTP ricevuto tramite sms al predetto numero di cellulare o generato tramite applicazione installata sullo smartphone.
Il Soggetto Erogatore è titolare dei Dati Personali che raccoglie in relazione alla gestione del rapporto contrattuale e per l’erogazione servizi delle soluzioni FEA. I Dati Personali sono quelli forniti dall’utente interessato (l’ “Utente”) al momento dell’adesione servizio alla soluzione e quelli raccolti ed elaborati successivamente nel contesto della fruizione della soluzione di FEA attivata.
I Dati Personali comprendono i dati necessari all’identificazione dell'Utente e all’attivazione servizio della soluzione (ad esempio: nome, cognome, indirizzo di residenza, estremi del documento di riconoscimento, recapito telefonico, indirizzo email). A seconda del tipo di FEA attivato dall’Utente, oltre ai dati identificativi dell’Utente potranno essere trattati Dati Personali di diversa natura, più precisa- mente:
-
in caso di attivazione e utilizzo della FEA Grafometrica, sono raccolti e trattati anche Dati Biometrici, cioè dati ricavati da alcu- ne caratteristiche comportamentali connesse alla firma autografa del Cliente (ed in particolare alla sua dinamica di apposizio- ne quali ritmo, pressione, velocità, accelerazione e movimento). Tali caratteristiche biometriche sono acquisite tramite spe- cifici dispositivi (“tablet grafometrici”), dotati di penna elettronica, in grado di riconoscere e memorizzare il movimento della penna da parte dell’interessato attraverso opportuni sensori e specifici software. I Dati Biometrici raccolti sono limitati alle informazioni strettamente connesse al soggetto firmatario e al documento firmato che consentano di verificare l’integrità e la autenticità della sottoscrizione tramite FEA;
-
incasodiattivazioneeutilizzodellaFEARemota,iDatiPersonalicomprendonoanchelecredenzialidiaccessoeleulteriori informazioni che permetteranno di autenticare l’Utente, (i) mediante una chiamata a un numero verde effettuata attraverso una SIM card, della quale il firmatario dichiara e garantisce di avere la piena ed esclusiva disponibilità, ovvero (ii) mediante un OTP inviato tramite sms alla predetta Sim card del firmatario, ovvero mediante OTP generato da apposita applicazione installata sullo smartphone del firmatario di cui il firmatario dichiara e garantisce di avere la piena ed esclusiva disponibilità.
L’Utente è tenuto ad assicurarsi che Dati Personali forniti al Soggetto Erogatore siano corretti e, in caso di variazioni, ad aggiornare tali dati contattando, preventivamente all’utilizzo della soluzione FEA, il Soggetto Erogatore ai recapiti sopra riportati.
-
4. Finalità del trattamento
Il trattamento dei Dati è effettuato, prevalentemente mediante strumenti informatici, dal Soggetto Erogatore nello svolgi- mento delle sue attività economiche e commerciali per finalità connesse all’erogazione della soluzione di FEA (il "Servizio"), ai sensi della normativa applicabile, ossia:
-
a) l'esecuzione di obblighi strettamente connessi al Servizio, tra cui la gestione amministrativa dei contratti di utilizzo del Servizio.
-
b) l'adempimento d i obblighi derivanti dalla legge, regolamenti o normativa comunitaria (es. obblighi d i identificazione dell’Utente).
Con specifico riguardo ai Dati Biometrici, definiti dall'art. 4, punto 14) del GDPR e raccolti all’atto della sottoscrizione attraverso FEA Gra- fometrica, è importante precisare che gli stessi sono incorporati – in forma cifrata in applicazione delle rigorose misure di sicurezza di seguito descritte - all’interno del documento informatico che si intende sottoscrivere e che gli stessi vengono acquisiti al solo scopo di realizzare la soluzione di FEA e di consentire di verificare a posteriori l’integrità e la genuinità della sottoscrizione apposta al documen-
to informatico. I Dati Biometrici, perciò, non vengono in nessun caso utilizzati al fine di identificare l'Utente per fini diversi rispetto a quelli per cui è stato adottato lo strumento in oggetto. La FEA Grafometrica, di conseguenza, non prevede alcuna conservazione centra lizzata di Dati Biometrici né la creazione di banche dati biometriche.
5. Modalità del trattamento e requisiti di sicurezza
I Dati Personali saranno trattati dal Soggetto Erogatore con sistemi elettronici e manuali secondo i principi di correttezza, lealtà e tra- sparenza previsti dalla normativa applicabile in materia di protezione dei dati personali e tutelando la riservatezza dell'Utente tramite misure di sicurezza tecniche e organizzative per garantire un livello di sicurezza adeguato e secondo le modalità descritte nel Manuale tecnico, a cui si rinvia per la descrizione dettagliata delle misure di sicurezza adottate. Il processo di sottoscrizione è attivato esclusiva- mente previa identificazione dell’Utente firmatario e adesione di quest’ultimo al Servizio.
I Dati Personali sono acquisiti dal Titolare in sede d’identificazione dell’interessato (Utente),. In relazione alla Firma Grafometrica, i Dati Biometrici sono raccolti al momento della firma ed immediatamente criptati ed incorporati elettronicamente all'interno del docu- mento informatico cui si riferiscono tramite specifici software, secondo le modalità tecniche descritte nel Manuale tecnico, in modo tale da garantire la connessione univoca della firma al firmatario e al documento sottoscritto. Completata la procedura di sottoscrizio- ne, i Dati Biometrici sono immediatamente cancellati e non vengono conservati neppure per brevi periodi nei tablet grafometrici utiliz- zati per la raccolta, per cui nessun Dato Biometrico viene conservato all’esterno del documento informatico sottoscritto.
I Dati Biometrici, quindi, non vengono in alcun modo utilizzati per verifica o confronto con modelli depositati, ma solamente crittografati e resi accessibili unicamente per eventuali accertamenti nei casi previsti dalla vigente normativa, ad esempio nell’ipotesi di contestazio- ne dell’autenticità o disconoscimento della sottoscrizione apposta sul documento, previa autorizzazione o richiesta dell’Autorità Giudiziaria. Il Soggetto Erogatore, pertanto, non potrà in alcun modo venire a conoscenza o consultare i medesimi dati in chiaro.
I Dati Biometrici e gli ulteriori Dati Personali acquisiti tramite l’utilizzo della FEA sono criptati mediante l’utilizzo di una chiave di critto- grafia. Le operazioni di generazione, consegna e conservazione della chiave sono contenute nel Manuale Tecnico.
6. Presupposti di legittimità del trattamento
Il trattamento dei Dati Personali per le finalità descritte in questa informativa è basato sul libero consenso dell’Utente. Il consenso è espresso dall’Utente al momento dell’attivazione delle soluzioni di FEA ed ha validità, fino alla sua eventuale revoca, per tutti i documenti informatici da sottoscrivere. Il consenso può essere revocato in qualunque momento scrivendo al Soggetto Erogatore secondo le moda- lità indicate nelle Condizioni Generali per l’utilizzo. La revoca del consenso determinerà la disattivazione del servizio FEA, ma non avrà conseguenze sul trattamento dei Dati Personali già raccolti, che continueranno ad essere conservati per la durata imposta o comunque consentita dalla normativa applicabile in relazione al contenuto del documento informatico che li contiene.
7. Ambito di comunicazione dei dati
I Dati Personali saranno trattati, nei limiti di quanto necessario, dal personale autorizzato, adeguatamente istruito e formato, del Tito- lare nonché dal personale dei soggetti terzi che prestano servizi al Titolare ed effettuano trattamenti di Dati per conto e su istruzione di quest'ultimo quali responsabili del trattamento. Si tratta di coloro che forniscono servizi informatici (es. hosting provider) e operano nell’ambito dei servizi di gestione e manutenzione dei sistemi informativi mediante i quali è erogata la soluzione di FEA ovvero dei ser- vizi di conservazione dei documenti informatici. La lista completa e aggiornata dei soggetti che trattano i Dati Personali in qualità di re- sponsabili del trattamento è disponibile su richiesta al Responsabile per la Protezione dei Dati Personali.
Nello svolgimento delle proprie attività ordinarie aziendali i Dati potranno essere comunicati a soggetti che svolgono attività di controllo, re visione e certificazione delle attività poste in essere dal Titolare, consulenti e liberi professionisti nel contesto di servizi di assistenza fi- scale, giudiziale, enti e amministrazioni pubbliche, ivi incluse autorità fiscali ove ciò sia necessario, nonché a soggetti legittimati per legge a ricevere tali informazioni, autorità giudiziarie italiane e straniere e altre pubbliche autorità, per le finalità connesse all'adempimento di ob- blighi legali, o per l'espletamento delle obbligazioni assunte e scaturenti dalla fruizione del Servizio, compreso per esigenza di difesa in giudizio.
I Dati Personali non saranno in alcun caso diffusi né saranno trasferiti fuori dall'Unione Europea.
8. Conservazione dei dati
I dati personali saranno conservati per il tempo necessario al raggiungimento delle finalità sopra descritte, nel rispetto della normativa di riferimento. In particolare, i dati necessari per l’identificazione acquisiti al momento dell’attivazione della FEA saranno conservati per 20 anni.
I dati incorporati nei documenti informatici saranno conservati per il tempo necessario alla conservazione di ciascun documento se- condo la normativa di riferimento (es. art. 2220 codice civile).
9. Diritti dell'interessato
L'Utente potrà esercitare, in relazione al trattamento dei dati ivi descritto, i diritti previsti dal GDPR (artt. 15 - 21), ivi inclusi:
ricevere conferma dell’esistenza dei Dati e accedere al loro contenuto (diritti di accesso);
➢ aggiornare, modificare e/o correggere i Dati (diritto di rettifica);
➢ chiederne la cancellazione o la limitazione del trattamento dei Dati trattati in violazione di legge compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i Dati sono stati raccolti o altrimenti trattati (diritto all'oblio e diritto alla
limitazione);
➢ opporsi al trattamento (diritto di opposizione);
➢ revocare il consenso, ove prestato, senza pregiudizio per la liceità del trattamento basata sul consenso prestato prima della revoca;
➢ proporre reclamo all'Autorità di controllo (Garante per la protezione dei dati personali www.garanteprivacy.it) in caso di violazione della disciplina in materia di protezione dei dati personali;
➢ ricevere copia in formato elettronico dei Dati che lo riguardano come Interessato, quando tali Dati siano stati resi nel contesto del contratto e chiedere che tali Dati siano trasmessi ad un altro titolare del trattamento (diritto alla portabilità dei dati).
Per esercitare tali diritti l'Utente può rivolgersi Titolare inviando la sua richiesta all'indirizzo mailinfo@bsbrokerassicurazio- ni.it, oppure indirizzando la comunicazione via posta a: Bs Broker Sas Di Vanoli Lucia e C. Via Pedrotti 51 – 23037 Tirano (SO)
Nel contattarci, l'Utente dovrà accertarsi di includere il proprio nome, email/indirizzo postale.