Politica di riservatezza


 Swissbilling SA

Versione: Marzo 2023

1. In cosa consiste la politica di riservatezza?

La protezione dei dati personali e la correttezza e la trasparenza del trattamento di tali dati sono per noi importanti. Pertanto, (“noi”, “SWISSBILLING” o “SWB”) desideriamo fornire informazioni in merito al trattamento, necessarie ai fini dell’esercizio dei diritti.

Ulteriori informazioni sono disponibili negli specifici termini e condizioni applicabili a prodotti e servizi, sul nostro sito web, nelle condizioni relative ai programmi fedeltà e a valore aggiunto promossi dai nostri responsabili del trattamento (si veda l’elenco nella sezione 6 riportata di seguito) e, ove applicabile, in altre politiche di riservatezza.

2. Chi siamo

Siamo responsabili del trattamento dei dati personali conformemente alla presente politica di riservatezza. Riportiamo di seguito i nostri recapiti:

Swissbilling SA
Rue du Caudray 4
1020 Renens
Svizzera
+41 44 51 24 25 4

Il nostro responsabile della protezione dei dati sarà lieto di rispondere a eventuali domande o dubbi in relazione alle nostre pratiche di protezione dei dati.

Swissbilling SA
Responsabile della protezione dei dati
Rue du Caudray 4
1020 Renens
Svizzera
+41 44 51 24 25 4
legal@swissbilling.ch

3. Quando, a chi e a cosa si applica la presente politica di riservatezza?

La presente politica di riservatezza si applica a qualsiasi trattamento di dati personali in relazione a tutte le nostre attività commerciali in tutte le nostre aree di business. Essa è applicabile al trattamento dei dati personali esistenti e futuri.

4. Quali dati personali trattiamo, per quali scopi e da quali fonti?

I dati personali che trattiamo provengono sia dall’interessato in qualità di partner contrattuale esistente o futuro sia da fonti accessibili al pubblico (ad esempio, media o internet), da enti governativi (ad esempio, uffici anagrafici, catasto, registro delle imprese o società di recupero crediti) e da terzi (ad esempio, CRIF AG, Centrale d’informazioni di credito [ZEK] per gli esercenti).

A seconda dell’occasione e della finalità, trattiamo diversi tipi di dati personali, ad esempio, generalità (nome, indirizzo e altri recapiti, data e luogo di nascita, nazionalità), dati di identificazione (ad esempio, dati relativi al documento d’identità). Tali dati possono inoltre includere istruzioni, informazioni relative a transazioni e gestione dei rischi (ad esempio, dati sulle operazioni di pagamento e dati derivanti dal trattamento dei rapporti contrattuali), informazioni relative alla situazione finanziaria (ad esempio score/rating [si veda la spiegazione fornita nella sezione 4 d riportata di seguito]), informazioni fiscali (registrazione ai fini fiscali e altri documenti e informazioni pertinenti), oltre a informazioni contrattuali e dati documentali (ad esempio, informazioni sul conto, sulle transazioni concluse o su terzi quali partner civili o rappresentanti autorizzati, ecc.).

Con dati particolarmente sensibili si intendono dati che godono di particolare protezione (ad esempio, informazioni sull’origine etnica, sulle opinioni politiche, sulle convinzioni ideologiche e religiose, sull’orientamento sessuale, sulla salute o sul casellario giudiziario). Tali dati vengono trattati esclusivamente con il consenso dell’interessato o in forza di una base giuridica.

Si noti che il consenso al trattamento dei dati personali non sensibili non viene richiesto sistematicamente in quanto non è sempre necessario, ad esempio per ottemperare alle disposizioni del Codice delle obbligazioni, ecc.

Tra le altre cose, trattiamo i dati personali nelle seguenti situazioni, per i seguenti scopi e in forza della base giuridica sotto indicata. Il trattamento dei dati può anche essere fondato su diverse basi giuridiche.

a)    In caso di contatto da parte dell’interessato (via e-mail, tramite lettera o mediante il modulo di contatto sui nostri siti web)

In caso di contatto da parte dell’interessato, per qualsiasi motivo, i dati comunicati, inclusi i recapiti inseriti nel messaggio, vengono salvati al fine di evadere la richiesta.

Qualora l’interessato sia un esercente, in caso di consenso i dati possono essere utilizzati per finalità di marketing.

La base giuridica per questo trattamento è l’articolo 13 capoversi 1 e 2 lettera a della LPD e, ove applicabile, l’articolo 6 comma 1 lettere a e b del GDPR.

I dati vengono conservati fino a un’eventuale richiesta di cancellazione, fino alla revoca del consenso alla conservazione o fino a quando non viene meno lo scopo di tale conservazione (ad esempio in seguito all’evasione della richiesta). In linea di principio e se non è stato concluso nessun accordo, commenti e domande generali, richieste di informazioni e/o piani di pagamento, ecc. vengono conservati per 2 anni a partire dall’ultima comunicazione intercorsa. In alternativa, la conservazione ha una durata di 10 anni dopo la risoluzione del contratto. Sono fatte salve le disposizioni inderogabili (in particolare per quanto riguarda i periodi di conservazione).

b)    In caso di contatto telefonico

Qualora l’interessato contatti l’assistenza telefonicamente, la conversazione può essere registrata e i dati comunicati, inclusi i recapiti specificati, vengono salvati al fine di evadere la richiesta e possono essere utilizzati per scopi di controllo qualità e formazione.

La base giuridica per questo trattamento è l’articolo 13 capoversi 1 e 2 lettera a della LPD e, ove applicabile, l’articolo 6 comma 1 lettere a e b del GDPR.

I dati vengono conservati fino a un’eventuale richiesta di cancellazione, fino alla revoca del consenso alla conservazione o fino a quando non viene meno lo scopo di tale conservazione (ad esempio in seguito all’evasione della richiesta). In linea di principio e se non è stato concluso nessun accordo, commenti e domande generali, richieste di informazioni, ecc. vengono conservati per 2 anni a partire dall’ultima comunicazione intercorsa. In alternativa, la conservazione ha una durata di 10 anni dopo la risoluzione del contratto. Sono fatte salve le disposizioni inderogabili (in particolare per quanto riguarda i periodi di conservazione).

c)    In caso di navigazione sui siti web www.swissbilling.ch e/o www.myswissbilling.ch e/o di utilizzo dell’app Swissbilling.

Quando l’interessato visita i nostri siti web e/o utilizza la nostra app, trattiamo informazioni come i dati di log (ad esempio informazioni sull’ora di accesso ai nostri siti web, durata della visita e pagine consultate). A tal fine, possiamo utilizzare “cookie” e altre tecnologie simili. I cookie sono piccoli file memorizzati sul dispositivo quando l’interessato visita uno dei nostri siti web. Ulteriori informazioni sono disponibili sui nostri siti web, nelle disposizioni contrattuali specifiche per il prodotto e, ove applicabile, nelle disposizioni in materia di protezione dei dati. Il nostro sito utilizza diversi tipi di cookie, ma nessuno di carattere pubblicitario.

Il consenso all’utilizzo di tali cookie può essere revocato in qualsiasi momento disabilitandoli nelle preferenze del browser. Si noti che qualora non si acconsentisse alla memorizzazione dei cookie, alcune funzioni e pagine potrebbero non funzionare correttamente. I cookie possono inoltre essere eliminati automaticamente o manualmente dal computer, seguendo le istruzioni contenute nella guida in linea del browser.

In ogni caso, i cookie che utilizziamo hanno una durata massima di 6 mesi.

•    Cookie necessari:
Sono fondamentali per il funzionamento del sito. L’assenza di tali cookie impedisce il normale utilizzo delle nostre pagine web. Questi cookie vengono utilizzati esclusivamente da noi. Base giuridica: articolo 13 capoverso 1 della LPD e, ove applicabile, articolo 6 comma 1 lettera a del GDPR.

•    Cookie funzionali e di performance:
Consentono di salvare le preferenze in termini di layout della schermata e lingua per una migliore user experience, oltre a raccogliere informazioni sull’utilizzo del sito al fine di migliorarne l’aspetto, il contenuto e la funzionalità.

Base giuridica: articolo 13 capoverso 1 della LPD e, ove applicabile, articolo 6 comma 1 lettera a del GDPR.

d)    Per la conclusione, l’esecuzione e l’applicazione di accordi

Il trattamento dei dati personali è finalizzato a fornire i nostri servizi finanziari nel contesto della conclusione, dell’esecuzione e dell’applicazione degli accordi con i nostri clienti, dipendenti o partner contrattuali o a implementare misure precontrattuali rese necessarie da una richiesta dell’interessato.

Esercenti/clienti futuri/esistenti: Le finalità principali del trattamento dei dati sono l’analisi, il monitoraggio e il controllo del rischio di credito (score) degli esercenti/clienti e la prevenzione delle frodi. A tal fine, è possibile procedere alla verifica dell’identità degli esercenti. In caso di accettazione della richiesta di fornitura dei nostri servizi, trattiamo i dati per emettere e inviare fatture ai clienti, pagare gli esercenti e ottenere rimborsi. Ulteriori dettagli in merito alle finalità del trattamento dei dati sono disponibili nei documenti contrattuali, termini e condizioni e, ove applicabile, in altri documenti resi disponibili all’interessato.

Dipendenti futuri/esistenti: Le finalità principali del trattamento dei dati sono l’assunzione dei futuri dipendenti e, successivamente, l’esecuzione del contratto di lavoro. Ulteriori dettagli in merito alle finalità del trattamento dei dati sono disponibili nei documenti contrattuali, termini e condizioni e, ove applicabile, in altri documenti resi disponibili all’interessato.

Partner contrattuali futuri/esistenti: La finalità principale del trattamento dei dati è l’invio di fatture ai clienti. Ulteriori dettagli in merito alle finalità del trattamento dei dati sono disponibili nei documenti contrattuali, termini e condizioni e, ove applicabile, in altri documenti resi disponibili all’interessato.

Base giuridica: articolo 13 capoverso 1 della LPD e, ove applicabile, articolo 6 paragrafo 1 lettera b del GDPR.
In linea di principio, i dati vengono conservati per 10 anni dopo la cessazione del contratto. Qualora non sia stato concluso nessun accordo, in linea di principio i dati vengono conservati per 2 anni a partire dall’ultima comunicazione intercorsa. Sono fatte salve le disposizioni inderogabili (in particolare per quanto riguarda i periodi di conservazione).

e)    In caso di visita presso le nostre sedi

Per motivi di sicurezza, sono state adottate misure volte a controllare l’accesso alle nostre sedi.
La base giuridica per questo trattamento è l’articolo 13 capoverso 1 (ponderazione degli interessi) della LPD e, ove applicabile, l’articolo 6 lettera f del GDPR.

I dati vengono conservati fino a quando non viene meno lo scopo di tale conservazione (ad esempio qualora non sussista alcuna violazione). In linea di principio, qualora non si sia verificata alcuna violazione i dati vengono conservati per 3 mesi. Sono fatte salve le disposizioni inderogabili (in particolare per quanto riguarda i periodi di conservazione).

f)    Per finalità di marketing

Trattiamo i dati per ricerche di mercato, valutazioni di marketing, preparazione e proposta di servizi personalizzati (ad esempio, marketing diretto, pubblicità stampata e online, eventi culturali, dei clienti o delle parti interessate, sponsorizzazione, gare, determinazione della soddisfazione del cliente, valutazione delle esigenze o dei comportamenti dei futuri clienti o valutazione del potenziale di clienti, mercati o prodotti) per le nostre offerte.

Base giuridica: articolo 13 capoverso 1 della LPD e, ove applicabile, articolo 6 comma 1 lettera a del GDPR.
I dati vengono conservati fino a un’eventuale richiesta di cancellazione, fino alla revoca del consenso alla conservazione o fino a quando non viene meno lo scopo di tale conservazione (ad esempio in seguito all’interruzione delle azioni di marketing). Sono fatte salve le disposizioni inderogabili (in particolare per quanto riguarda i periodi di conservazione).

g)    Nell’ambito di una ponderazione degli interessi

Inoltre, trattiamo i dati al fine di tutelare i nostri interessi legittimi, a condizione che non prevalgano quelli dell’interessato.

Disposizioni di legge: articolo 13 capoverso 1 della LPD e, ove applicabile, articolo 6 comma 1 lettera f del GDPR).
I dati vengono conservati fino a un’eventuale richiesta di cancellazione, fino alla revoca del consenso alla conservazione o fino a quando non viene meno lo scopo di tale conservazione (ad esempio qualora non vi sia più un interesse al riguardo). Sono fatte salve le disposizioni inderogabili (in particolare per quanto riguarda i periodi di conservazione).

Riportiamo di seguito un elenco non esaustivo di finalità del trattamento che rappresentano interessi legittimi:

•    tutela dei diritti, ad esempio, al fine di far valere eventuali rivendicazioni dinanzi a un tribunale, prima di qualsiasi contenzioso, in fase stragiudiziale e dinanzi alle autorità nazionali e straniere o di difenderci da eventuali rivendicazioni. Terzi possono fornire chiarimenti sulle probabilità di successo in tal senso o presentare documenti alle autorità. Le autorità possono inoltre richiedere la trasmissione di documenti contenenti dati personali;

•    sicurezza informatica e operatività IT di SWB;

•    organizzazione interna e contabilità generale;

•    prevenzione e indagini sui reati;

•    operazioni societarie: possiamo inoltre trattare i dati personali per preparare ed elaborare acquisizioni e vendite societarie, l’acquisizione o la vendita di attività, come crediti o immobili, e transazioni simili;

•    valutazione, pianificazione, statistiche, sviluppo di prodotti e decisioni commerciali (ad esempio, miglioramento e revisione dei prodotti esistenti, nuovi prodotti e servizi, procedure, tecnologie, sistemi, rendimenti, dati sull’utilizzo della capacità).

5. L’interessato ha l’obbligo di fornire i dati personali?

In genere, l’interessato non ha l’obbligo di fornire i dati personali. Tuttavia, in caso di mancata fornitura dei dati personali richiesti per un rapporto d’affari e l’adempimento di obblighi contrattuali oppure dei dati che devono essere raccolti obbligatoriamente per legge (ad esempio, informazioni necessarie per l’identificazione, come nome, luogo, recapiti, ecc.), non saremo in grado di instaurare un rapporto contrattuale con l’interessato.

6. Con chi condividiamo i dati personali?

All’interno di SWB, gli unici reparti, dipendenti e organismi ad avere accesso ai dati personali sono quelli che necessitano di tale accesso per lo svolgimento delle loro attività.

Inoltre, possiamo esternalizzare singoli o interi servizi e aree di business a Cembra Money Bank AG e a terzi in Svizzera e all’estero, cedere crediti e diritti e aderire ad accordi di cooperazione con i partner. Se necessario, i dati personali vengono comunicati a tali destinatari. Grazie a un’attenta selezione dei responsabili del trattamento e alla conclusione di accordi adeguati, possiamo garantire che i soggetti terzi rispettino le disposizioni vigenti in materia di protezione dei dati.

In particolare, si tratta di servizi e cooperazioni nelle seguenti aree:

Generale:
•    servizi informatici, ad esempio, servizi negli ambiti della memorizzazione dei dati (hosting), delle misure di sicurezza, dei servizi cloud, dell’invio di materiale pubblicitario, dell’analisi dei dati, degli scambi di e-mail;
•    misure per la sicurezza delle nostre sedi;
•    servizi di consulenza, ad esempio, servizi forniti da consulenti fiscali, avvocati, consulenti commerciali, consulenti per le assunzioni;

Esercenti/clienti futuri/esistenti:
•    controllo della solvibilità, da parte di CRIF AG  e/o Creditreform AG;
•    prevenzione delle frodi;
•    emissione di fatture, da parte di Avaloq Outline AG;
•    amministrazione dei rapporti contrattuali, compresa l’esecuzione dei debiti, ad esempio, elaborazione delle domande e dei contratti, fatturazione e trattamento degli addebiti diretti, esecuzione dei crediti esigibili;
•     ad esempio, se i crediti non vengono pagati tempestivamente, da parte di CJS Caisse Juridique Suisse SA;

Dipendenti:
•    buste paga, ad esempio Cembra Money Bank AG;
•    collaborazione con partner assicurativi, ad esempio, AXA Versicherungen AG.

La comunicazione dei dati personali può avvenire anche in altri casi. Possiamo trasmettere i dati personali a terzi per motivi di interesse legittimo o in caso di autorizzazione da parte dell’interessato. Ciò vale anche in caso di obbligo legale (in genere, alle autorità).

7. Quando trasferiamo i dati personali all’estero?

Possiamo esternalizzare i nostri servizi all’estero (si veda la sezione precedente). Anche i dati personali possono essere trasmessi all’estero durante l’esecuzione di accordi o transazioni, ad esempio, durante l’implementazione di ordini di pagamento o la gestione dei pagamenti. I destinatari dei dati personali possono trovarsi all’estero, anche al di fuori dell’Unione europea (“UE”) o dello Spazio economico europeo (“SEE”, incluso il Principato del Liechtenstein, per esempio). I paesi interessati possono non avere leggi che proteggono i dati personali nella stessa misura della Svizzera, dell’UE o del SEE. In caso di trasmissione dei dati personali a tali paesi terzi, dobbiamo garantire la protezione dei dati personali in maniera appropriata, per esempio tramite la conclusione di accordi adeguati per il trattamento con i destinatari dei dati personali o BCR (regole societarie vincolanti). Tali accordi adeguati possono essere quelli approvati, istituiti o riconosciuti dalla Commissione europea e dall’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

I nostri principali responsabili del trattamento all’estero sono:

The Rockets science Group LLC (Mailchimp/Mandrill)
Salesforce
Zendesk Inc
Atlassian (Jira, Confluence)
Microsoft (Azure DevOps)
Slack Technologies Inc

8. Svolgiamo attività di profilazione e prendiamo decisioni automatizzate?

Possiamo trattare i dati personali per creare profili, ad esempio, per finalità di analisi, di valutazione e decisionali. Il trattamento in tal senso può essere svolto per scopi di prevenzione delle frodi e gestione dei rischi. L’interessato può opporsi in qualsiasi momento al trattamento dei dati a fini pubblicitari (cfr. sezione 10).

Eventuali processi decisionali automatizzati sono necessari per la conclusione o l’adempimento di un rapporto contrattuale o sono basati sull’esplicito consenso dell’interessato. In caso di obbligo legale, l’interessato verrà informato di tali decisioni.

9. Come proteggiamo i dati personali?

Applichiamo misure di sicurezza appropriate dal punto di vista tecnico e organizzativo al fine di garantire la sicurezza dei dati personali, ad esempio, al fine di proteggerli da trattamenti non autorizzati o illeciti e dal rischio di perdita, oltre che per impedire modifiche involontarie, comunicazioni indesiderate o accessi non autorizzati.
L’accesso ai dati è limitato a coloro che ne abbiano necessità. Per esempio, tutti i dati che passano attraverso il nostro sito web sono protetti secondo le norme vigenti (HTTPS).

Al fine di impedire eventuali perdite, i dati vengono sottoposti a backup quotidianamente. Questo backup viene salvato in due centri dati di livello 3 ed è protetto da una chiave crittografica, per un periodo che dipende dalla finalità del trattamento.

10. Quali sono i diritti dell’interessato?

Ogni interessato gode di diritti specifici ai sensi della legislazione sulla protezione dei dati applicabile. Tali diritti comprendono:

•    il diritto di accesso;
•    il diritto di rettifica;
•    il diritto alla cancellazione («diritto all’oblio»);
•    il diritto di limitazione di trattamento;
•    il diritto di opposizione;
•    il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, in caso di applicabilità del GDPR;
•    il diritto alla portabilità dei dati, in caso di applicabilità del GDPR; e
•    il diritto di presentare un reclamo all’autorità competente.

Per l’esercizio dei diritti, inviare una richiesta con lettera firmata e copia del documento d’identità al seguente indirizzo: Swissbilling SA, Rue du Caudray  4, 1020 Renens, Svizzera. Risponderemo entro 30 giorni.

L’interessato può revocare il proprio consenso al trattamento dei dati personali in qualsiasi momento, senza fornire motivazioni. Si ricorda che tale revoca del consenso ha effetto solo sui trattamenti futuri e non riguarda i trattamenti che hanno luogo prima della stessa. Salvo disattivazione e cancellazione dei cookie direttamente da parte dell’interessato, la revoca del consenso deve generalmente essere inviata via e-mail a legal@swissbilling.ch o tramite lettera firmata. L’interessato riceverà una procedura.

Inoltre, l’interessato può opporsi in qualsiasi momento al trattamento dei dati personali a fini pubblicitari con una notifica in base a quanto sopra riportato.

11. Modifiche della presente politica di riservatezza

La presente politica di riservatezza può essere modificata in caso di cambiamento delle nostre regole in materia di trattamento dei dati o di entrata in vigore di nuove disposizioni di legge. Le norme della politica di riservatezza attualmente in vigore sono disponibili all’indirizzo https://www.swissbilling.ch/it/politicadiriservatezza/. Informeremo l’interessato in maniera idonea (per iscritto o per via elettronica, ad esempio, tramite e-mail) in caso di entrata in vigore di una politica di riservatezza modificata.

In caso di ambiguità, fa fede la versione francese della presente politica di riservatezza.