Informativa sulla privacy

Introduzione

Quando forniamo consulenza e assistenza nella stipula di prodotti o servizi finanziari, richiediamo molte informazioni riservate ai nostri clienti. I clienti di Insure To Study devono poter contare sul fatto che trattiamo con cura le informazioni fornite e che queste non vengono condivise con terzi senza il loro esplicito consenso.

Un trattamento attento della registrazione e della condivisione dei dati personali è essenziale per un servizio finanziario responsabile. Il rispetto della riservatezza è fondamentale per la nostra azienda e per la condotta dei nostri professionisti.

Per svolgere efficacemente i nostri compiti, è necessario scambiare dati personali con fornitori di servizi, come società di riparazione o controparti, in quanto ciò è parte integrante del nostro ruolo di fornitore di servizi finanziari. Inoltre, potremmo dover fornire informazioni ad enti come l’Agenzia delle Entrate o l’Autorità olandese per i mercati finanziari, in conformità con obblighi di legge.

Abbiamo mappato e registrato i dati personali in nostro possesso nel nostro registro interno di trattamento dei dati. I clienti e le altre persone interessate possono richiederne una copia, nella quale troveranno informazioni sui dati che trattiamo e sulle parti con cui potremmo condividerli.

1. Definizioni

Nel presente regolamento si applicano le seguenti definizioni:

  • La legge: il Regolamento generale sulla protezione dei dati (GDPR – AVG) e la Legge di attuazione dell’AVG.
  • Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile.
  • Trattamento dei dati personali: qualsiasi operazione o insieme di operazioni relative ai dati personali, tra cui, a titolo esemplificativo ma non esaustivo, la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto, l’interconnessione, nonché il blocco, la cancellazione o la distruzione dei dati.
  • Archivio: qualsiasi insieme strutturato di dati personali, centralizzato o distribuito su base funzionale o geografica, accessibile secondo determinati criteri e relativo a diverse persone.
  • Titolare del trattamento: la persona fisica o giuridica, o qualsiasi altro soggetto o ente amministrativo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.
  • Responsabile del trattamento: la persona che tratta i dati personali per conto del titolare del trattamento, senza essere soggetta alla sua autorità diretta.
  • Interessato: la persona a cui si riferiscono i dati personali.
  • Terzo: qualsiasi soggetto diverso dall’interessato, dal titolare del trattamento, dal responsabile del trattamento o da chiunque sia autorizzato a trattare i dati personali sotto l’autorità diretta del titolare o del responsabile del trattamento.
  • Destinatario: la persona alla quale vengono comunicati i dati personali.
  • Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica e informata con cui l’interessato accetta che i propri dati personali siano trattati.
  • Autorità di controllo: Autorità per la protezione dei dati personali.
  • Fornitura di dati personali: la divulgazione o la messa a disposizione di dati personali.
  • Raccolta di dati personali: l’acquisizione di dati personali.

2. Ambito di applicazione

  1. Il presente regolamento si applica al trattamento, totalmente o parzialmente automatizzato, dei dati personali. Si applica inoltre al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a essere inseriti in un archivio.
  2. Il presente regolamento si applica all’interno di Insure To Study e riguarda il trattamento dei dati personali di clienti, dipendenti e altre persone fisiche interessate.

3. Finalità

  1. Lo scopo della raccolta e del trattamento dei dati personali è disporre delle informazioni necessarie per realizzare le finalità stabilite nello statuto, nei piani annuali e in altri piani di Insure To Study, nonché per il perseguimento di obiettivi giuridici e per l’attuazione della gestione e delle politiche aziendali nel quadro di tali finalità.
  2. Le finalità per cui i dati vengono raccolti e trattati all’interno di Insure To Study sono definite in modo esplicito nell’allegato.

4. Rappresentanza dell’interessato

  1. Se l’interessato è un minore di età inferiore ai 16 anni o se, pur essendo maggiorenne, è stato posto sotto tutela, il consenso dovrà essere fornito dal suo rappresentante legale anziché dall’interessato stesso. Il consenso deve essere espresso per iscritto. Se l’interessato ha rilasciato un’autorizzazione scritta al proprio rappresentante nei confronti del responsabile del trattamento, sarà richiesta anche la co-autorizzazione del rappresentante autorizzato per iscritto.
  2. Il consenso può essere revocato in qualsiasi momento dall’interessato, dal suo rappresentante autorizzato o dal suo rappresentante legale.

5. Responsabilità della gestione e responsabilità civile

  1. Il titolare del trattamento è responsabile del corretto funzionamento del trattamento e della gestione dei dati; sotto la sua responsabilità, un amministratore è solitamente incaricato della gestione operativa dei dati personali.
  2. Il titolare del trattamento garantisce l’adozione di misure tecniche e organizzative adeguate per proteggere i dati da qualsiasi perdita o forma di trattamento illecito.
  3. La responsabilità di cui al paragrafo 1 e le disposizioni del paragrafo 2 si applicano senza pregiudizio anche nel caso in cui il trattamento sia eseguito da un responsabile del trattamento, il quale sarà vincolato da un contratto (o da un altro atto giuridico) stipulato tra il responsabile del trattamento e il titolare del trattamento.
  4. Il titolare del trattamento è responsabile per eventuali danni o pregiudizi derivanti dal mancato rispetto dei requisiti di legge o del presente regolamento. Il responsabile del trattamento sarà responsabile per tali danni o pregiudizi nella misura in cui siano stati causati dalle proprie azioni.

6. Trattamento lecito

  1. I dati personali devono essere trattati in modo corretto e accurato, in conformità con la legge e con il presente regolamento.
  2. I dati personali possono essere raccolti esclusivamente per le finalità indicate in questo regolamento e non possono essere successivamente trattati in modo incompatibile con le finalità per cui sono stati ottenuti.
  3. I dati personali, in relazione alle finalità per cui vengono raccolti o successivamente trattati, devono essere adeguati e pertinenti; non devono essere raccolti o trattati più dati personali di quelli strettamente necessari per la registrazione.
  4. I dati personali possono essere trattati solo se:
    • l’interessato ha espresso un consenso inequivocabile al trattamento;
    • il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte (ad esempio, un contratto per la stipula di un prodotto o servizio finanziario o un contratto di lavoro con l’interessato) o per l’esecuzione di misure precontrattuali richieste dall’interessato;
    • il trattamento è necessario per adempiere un obbligo legale del titolare del trattamento;
    • il trattamento è necessario per la tutela di un interesse vitale dell’interessato;
    • il trattamento è necessario per il perseguimento di un interesse legittimo del titolare del trattamento o di un terzo, a meno che tale interesse non sia in conflitto con l’interesse dell’interessato e quest’ultimo prevalga.
    • La registrazione del numero di servizio cittadino avverrà solo se esiste una base giuridica che lo consenta. Nella maggior parte dei casi, tale base non sarà presente per i nostri servizi.
    • Chiunque operi sotto l’autorità del titolare del trattamento o del responsabile del trattamento – compreso il responsabile del trattamento stesso – potrà trattare dati personali solo per conto del titolare, salvo obblighi di legge differenti.
    • I dati possono essere trattati solo da persone vincolate all’obbligo di riservatezza in base a un contratto (di lavoro).

7. Trattamento dei dati personali

  1. Il trattamento viene effettuato da dipendenti della nostra azienda o da altre persone fisiche che operano nei servizi finanziari sotto la nostra responsabilità.
  2. Il trattamento avviene generalmente in relazione all’esecuzione di un contratto, in particolare del contratto di servizio. Nei casi in cui non vi sia un contratto di questo tipo, il trattamento avviene solo con il consenso esplicito dell’interessato.
  3. Il trattamento viene effettuato al fine di svolgere le nostre attività come consulente e/o intermediario in prodotti e servizi finanziari.

8. Dati personali particolari

  1. Il trattamento di dati personali relativi a religione o convinzioni personali, origine razziale o etnica, opinioni politiche, salute, vita sessuale, appartenenza sindacale o dati di natura penale è vietato, salvo nei casi in cui la legge stabilisca esplicitamente chi, per quale finalità e a quali condizioni può trattare tali dati (Articoli 9 e 10 del GDPR).
  2. In qualità di fornitore di servizi finanziari, possiamo trattare informazioni sulla tua salute nei nostri archivi, purché ciò sia necessario per il corretto svolgimento della nostra attività. Possiamo inoltre richiedere informazioni su eventuali precedenti penali, se necessarie per l’esecuzione del contratto, a condizione che tu abbia dato il tuo consenso esplicito.

9. Trattamento dei dati

Dati ottenuti dall’interessato

  1. Se i dati personali vengono raccolti direttamente dall’interessato, il titolare del trattamento deve informarlo, prima della raccolta, riguardo a:
    • la propria identità;
    • la finalità del trattamento per cui i dati sono destinati, a meno che l’interessato non ne sia già a conoscenza.
    • Il titolare del trattamento fornirà all’interessato ulteriori informazioni, nella misura in cui ciò sia necessario – considerando la natura dei dati, le circostanze della loro raccolta o il loro utilizzo – per garantire un trattamento corretto e trasparente nei confronti dell’interessato.

Dati ottenuti da fonti esterne

  1. Oltre alle informazioni ricevute direttamente dall’interessato, il titolare del trattamento può acquisire dati da fonti esterne che ritiene affidabili, per le finalità descritte. Esempi includono Roy-data per la registrazione della dichiarazione bonus/malus, il RDW per i dati relativi al veicolo e la Fondazione CIS per la prevenzione e il contrasto delle frodi nel settore assicurativo.
  2. Il titolare del trattamento garantisce che, in qualsiasi trattamento di dati personali, vengano trattati solo dati accurati, adeguati, pertinenti e non eccedenti rispetto alle finalità previste.

10. Diritto di accesso

  1. L’interessato ha il diritto di accedere ai dati personali che lo riguardano e che sono oggetto di trattamento.
  2. Il titolare del trattamento informerà l’interessato, su sua richiesta e per iscritto, il prima possibile e comunque entro quattro settimane dal ricevimento della richiesta, se siano in corso trattamenti di dati personali che lo riguardano. Per la fornitura di queste informazioni potrebbe essere richiesto un contributo spese. Inoltre, all’interessato che richiede l’accesso ai propri dati personali potrebbe essere richiesto di fornire una copia di un documento di identificazione valido.
  3. Se i dati personali dell’interessato vengono effettivamente trattati, il titolare del trattamento fornirà, su richiesta, un riepilogo completo per iscritto entro quattro settimane dal ricevimento della richiesta. Questo riepilogo includerà informazioni sulla finalità o sulle finalità del trattamento, i dati o le categorie di dati trattati, i destinatari o le categorie di destinatari dei dati e l’origine dei dati.
  4. Se un interesse sostanziale del richiedente lo richiede, il titolare del trattamento potrà soddisfare la richiesta in una forma diversa da quella scritta, purché adeguata a tale interesse.
  5. La parte responsabile può rifiutare di soddisfare una richiesta se e nella misura in cui ciò sia necessario per:
    • l’accertamento e il perseguimento di reati;
    • la tutela dell’interessato o dei diritti e delle libertà di terzi.

11. Comunicazione dei dati personali

  1. La comunicazione di dati personali a terzi non avviene, in linea di principio, senza il consenso dell’interessato o del suo rappresentante, salvo nei casi previsti dalla legge o in situazioni di emergenza.
  2. Fa eccezione a questa regola lo scambio di informazioni con soggetti che necessitano dei dati per l’esecuzione del contratto, come compagnie assicurative, banche, istituti di credito o soggetti coinvolti nella gestione dei sinistri.
  3. Infine, possiamo comunicare i dati personali per adempiere a obblighi di legge, ad esempio alle autorità fiscali olandesi (Belastingdienst) e all’Autorità olandese per i mercati finanziari (Autoriteit Financiële Markten).

12. Diritto di rettifica, integrazione e cancellazione

  1. Su richiesta scritta dell’interessato, il titolare del trattamento rettifica, integra, cancella e/o blocca i dati personali trattati, se e nella misura in cui tali dati risultino inesatti, incompleti rispetto alla finalità del trattamento, irrilevanti o eccedenti rispetto allo scopo della registrazione, oppure se vengono trattati in violazione di una disposizione di legge. La richiesta dell’interessato deve specificare le modifiche da apportare.
  2. Il titolare del trattamento informa il richiedente per iscritto il prima possibile, e comunque entro quattro settimane dal ricevimento della richiesta, se questa verrà accolta. Se la richiesta non viene accolta, o solo parzialmente, il titolare del trattamento ne fornirà la motivazione. In tal caso, il richiedente ha la possibilità di rivolgersi al Comitato Reclami della parte responsabile.
  3. La parte responsabile garantirà che una decisione di rettifica, integrazione, cancellazione e/o blocco venga attuata entro 14 giorni lavorativi e, se ciò non fosse ragionevolmente possibile, nel più breve tempo possibile successivo.

13. Conservazione dei dati

  1. I dati personali non saranno conservati in una forma che consenta l’identificazione dell’interessato per un periodo superiore a quello necessario al raggiungimento delle finalità per cui sono stati raccolti o successivamente trattati.
  2. La parte responsabile determina per quanto tempo i dati personali registrati vengono conservati.
  3. Se il periodo di conservazione dei dati personali è scaduto o l’interessato ne richiede la cancellazione prima della scadenza, i dati in questione saranno eliminati entro un periodo di tre mesi.
  4. Tuttavia, la cancellazione non verrà effettuata se vi è motivo di ritenere che:
    • la conservazione sia di grande importanza per una persona diversa dall’interessato;
    • la conservazione sia richiesta da una disposizione di legge (compresa la Legge sulla vigilanza finanziaria, Financial Supervision Act);
    • vi sia un accordo tra l’interessato e il titolare del trattamento che preveda la conservazione dei dati.

14. Registro delle attività di trattamento

  1. Qualsiasi trattamento di dati personali, totalmente o parzialmente automatizzato, finalizzato al raggiungimento di una o più finalità, viene identificato e registrato nel nostro registro interno delle attività di trattamento prima dell’avvio del trattamento stesso.
  2. Nei casi in cui un processo automatizzato per il trattamento di dati personali da noi utilizzato comporti un rischio elevato per l’interessato, tenendo conto della natura e del contesto dei dati trattati, eseguiremo una valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment, DPIA) prima di avviare tale trattamento. Inoltre, adotteremo misure adeguate per gestire i rischi, al fine di garantire la tutela dei diritti degli interessati.
  3. Il registro interno delle attività di trattamento include:
    • il nome e l’indirizzo del titolare del trattamento;
    • la finalità o le finalità del trattamento;
    • una descrizione delle categorie di interessati e delle categorie di dati personali trattati;
    • i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
    • i periodi di conservazione osservati.

15. Violazioni dei dati personali

  1. In caso di violazione dei dati personali, il titolare del trattamento esaminerà se si sia verificata una perdita di dati personali o se non sia possibile escludere un trattamento illecito.
  2. Se l’indagine rivela che sono stati esposti dati personali di natura sensibile o che, per qualsiasi altra ragione, vi è (un rischio significativo di) conseguenze negative per la protezione dei dati personali trattati, la parte responsabile informerà l’Autorità per la Protezione dei Dati Personali (Autoriteit Persoonsgegevens).
  3. Se la parte responsabile non ha criptato adeguatamente tutti i dati personali compromessi o se la violazione dei dati potrebbe avere conseguenze negative per la privacy degli interessati per altre ragioni, informerà anche l’Autorità per i Mercati Finanziari (Autoriteit Financiële Markten). In consultazione con le autorità di regolamentazione sopra menzionate, potrebbe inoltre essere deciso di informare gli interessati della possibile violazione dei dati.

16. Procedura di reclamo

Se l’interessato ritiene che le disposizioni del presente regolamento non siano state rispettate, può rivolgersi a:

  • il titolare del trattamento;
  • qualora l’interessato non sia soddisfatto dell’esito del reclamo, può presentare ricorso presso l’Istituto per i Reclami sui Servizi Finanziari (Klachteninstituut Financiële Dienstverlening, Kifid) all’Aia;
  • l’Autorità per la Protezione dei Dati Personali (Autoriteit Persoonsgegevens), con la richiesta di mediazione e consulenza nella controversia tra l’interessato e la parte responsabile;
  • il Tribunale distrettuale (Rechtbank).

17. Modifiche, entrata in vigore e copia

  1. Le modifiche al presente regolamento sono apportate dal responsabile competente.
  2. Le modifiche al regolamento entreranno in vigore quattro settimane dopo la loro comunicazione agli interessati.
  3. Il presente regolamento è consultabile presso l’ufficio del responsabile. Su richiesta, è possibile ottenere una copia del regolamento al costo di riproduzione.

18. Disposizioni non previste

Nei casi non disciplinati dal presente regolamento, la parte responsabile prenderà una decisione nel rispetto delle disposizioni di legge e degli obiettivi e principi del presente regolamento.

Informazioni sul Regolamento Generale sulla Protezione dei Dati (GDPR):