Il Fondo Pensione FONDEMAIN (di seguito “il Fondo”) si avvale di un servizio volto a verificare che il codice IBAN comunicato in fase di richiesta di erogazione sia corretto e riferito all’iscritto oltre che all’intestatario del conto corrente di riferimento ovvero di chi ha il potere di operare sullo stesso. Il servizio non viene utilizzato nei casi di richieste di erogazione che non prevedono la comunicazione del codice IBAN. Con il presente documento, il Fondo, in qualità di Titolare del trattamento dei dati personali, fornisce, ai sensi degli articoli 13 e 14 del Regolamento (UE) 679/2016 (“GDPR” o “Regolamento”), le informazioni riguardo il trattamento dei dati personali
connesso all’utilizzo del servizio.

1. Titolare del trattamento. Titolare del trattamento dei dati è il Fondo Pensione Complementare per i lavoratori operanti nel territorio della Regione autonoma Valle d'Aosta - FONDEMAIN con sede in Brissogne (AO), Località L’Île-Blonde n. 5, iscritto al n. 142 dell'Albo dei Fondi Pensione (C.F. 91037010070), contatti: info@fondemain.it in persona del Presidente del Consiglio di Amministrazione e Legale Rappresentante pro tempore.
    
2. Responsabile della protezione dei dati. Il Fondo Pensione FONDEMAIN ha provveduto a designare, a norma dell'art. 37 GDPR 2016/679, un Responsabile della Protezione dei Dati (o DPO, Data Protection Officer) nella persona dell’Avv. Alessandro Medori del Foro di Torino. I riferimenti utili a contattare il DPO sono pubblicati sul sito www.fondemain.it, sezione "privacy policy".
    
3. Finalità del trattamento dei dati. Il trattamento viene effettuato allo scopo di
   prevenire eventuali frodi nell’ambitodei pagamenti effettuati a seguito di richieste di erogazioni. Con l’utilizzo del servizio in discorso, infatti, il Fondo Pensione FONDEMAIN può verificare che il codice IBAN comunicato in fase di richiesta di erogazione sia corretto e riferito all’iscritto nonché all’intestatario del conto corrente di riferimento (ovvero di chi ha il potere di operare sullo stesso) prevenendo così il rischio di effettuare pagamenti a soggetti diversi dai legittimati. La verifica viene effettuata tramite Intesa Sanpaolo S.p.A. (di seguito “PSP Calling”) in maniera diretta o per il tramite di altro Intermediario autorizzato dal Fondo. Intesa Sanpaolo S.p.A. aderisce al Servizio denominato “Check Iban CBI” – disponibile sulla piattaforma denominata CBI Globe gestita da CBI S.c.p.a. in partnership con Nexi Payments S.p.A. – che consente ai soggetti aderenti (Prestatori di servizi di pagamento o, in breve, “PSP”), di effettuare, per conto delle aziende clienti una verifica di congruità del codice IBAN comunicato a queste ultime. La verifica avviene presso il PSP di radicamento del conto corrente dell’utente (di seguito, “PSP Responding”) e, come anticipato, consente di verificare la corretta associazione tra il Codice IBAN ed il Codice Fiscale o la Partita IVA del richiedente l’erogazione.
   In via soltanto eventuale i dati trattati nell’ambito dell’utilizzo del servizio potranno essere utilizzati:

• per la difesa di un diritto in sede giudiziaria ed ogniqualvolta risulti necessario accertare, esercitare o difendere un diritto del Titolare;
• per dare seguito a richieste da parte dell’Autorità amministrativa o giudiziaria competente e, più in generale, di soggetti pubblici, nel rispetto delle formalità di Legge.

4. Base giuridica del trattamento dei dati. Ai sensi dell'art. 6 comma 1 lettera f) Regolamento (UE) 2016/679 la base del trattamento dei dati si individua nel perseguimento di un legittimo interesse del Titolare del trattamento o di terzi, individuato nella prevenzione del rischio di frodi nell’ambito dei pagamenti da effettuare. Il trattamento dei dati personali è limitato alla verifica di congruità del codice IBAN tramite il Servizio “Check Iban CBI” ed al perseguimento delle finalità di cui al punto 3 della presente informativa.
    
5. Tipologia di dati trattati. Nell’ambito dell’utilizzo del Servizio di verifica riguardo la congruità del Codice IBAN in discorso verranno trattati esclusivamente dati personali comuni e in particolare il Codice Fiscale o la Partita IVA del richiedente l’erogazione e il codice IBAN del conto corrente su cui si richiede di versare la somma oggetto di erogazione. All’esito della verifica il Fondo riceve una comunicazione con 3 possibili esiti: 1) Check IBAN OK (in caso di confermata coerenza tra il Codice Fiscale/la Partita IVA ed il Codice IBAN comunicati); 2) Check IBAN non controllabile (nel caso un cui l’IBAN non rientri nel circuito delle banche che hanno aderito al progetto, ipotesi in cui l’interessato verrà contattato con richiesta di trasmettere la documentazione necessaria a completare la
   verifica) e 3) Check IBAN KO (nel caso in cui l’IBAN non risulti intestato al Codice Fiscale/alla Partita IVA dell’intestatario comunicato).
    
6. Responsabili esterni del trattamento. Il Fondo Pensione FONDEMAIN può avvalersi del supporto di soggetti esterni, persone fisiche o giuridiche, che, sulla base di un contratto o di specifico incarico, possono svolgere attività che comportano un trattamento di dati personali per conto del Titolare. Nel caso detti soggetti vengono nominati, con specifico atto, “Responsabili esterni del trattamento” a norma dell’art. 28 GDPR 2016/679 con impegno a rispettare i contenuti del Regolamento stesso. L’elenco completo dei Responsabili Esterni è a disposizione degli interessati previa richiesta scritta all’indirizzo info@fondemain.it.
    
7. Categorie di destinatari dei dati. Ai fini dello svolgimento della verifica di congruità del Codice IBAN in discorso, i dati vengono comunicati:

• ad Intesa Sanpaolo S.p.A. nella sua qualità di “PSP Calling” (sede in Torino, Piazza San Carlo n. 156, contattidel DPO: dpo@intesasanpaolo.com ed informativa sul trattamento dei dati personali  pubblicata sul sito www.intesasanpaolo.com);
• al gestore della piattaforma CBI Globe tramite cui viene effettuata la verifica, CBI S.c.p.a. con sede in Roma,Via del Gesù n. 62; contatti del DPO: dpo@cbi-org.eu ed informativa sul trattamento dei dati personali pubblicata sul sito www.cbiglobe.com/Il-servizio/Check-IBAN);
• al partner del gestore della piattaforma CBI Globe, Nexi Payments S.p.A. con sede in Milano, Corso Sempione n. 55, contatti del DPO: DPO@nexi.it o DPO@pec.nexi.it);
• al “PSP Responding”, Istituto di credito presso cui è radicato il conto corrente corrispondente al codice IBAN indicato dal richiedente l’erogazione.

L’esito della verifica di congruità effettuata dal “PSP Responding” viene da quest’ultimo trasmesso a CBI S.c.p.a., a Nexi Payments S.p.A., al “PSP Calling” e al Fondo.
I dati possono essere inoltre comunicati all’Autorità giudiziaria ovvero ad Autorità di Vigilanza quali la COVIP a fronte di specifiche richieste ovvero per tutelare diritti del Fondo.
Da ultimo, i dati possono essere comunicati anche a fornitori e collaboratori del Fondo ed ai soggetti aderenti al Servizio “Check IBAN CBI” che svolgono attività ausiliarie nell’ambito di tale servizio (ad esempio, società informatiche e amministrative che supportano nell’erogazione del servizio), nominati responsabili del trattamento ai sensi dell’art. 28 del GDPR. È possibile ottenere un elenco aggiornato di tali fornitori e collaboratori contattando il Titolare ed i soggetti aderenti al Servizio “Check IBAN CBI”.

8. Trasferimento dei dati all'estero. I dati non sono oggetto di diffusione e di trasferimento fuori dall’Unione Europea. Tuttavia, ove per specifiche esigenze del Titolare fosse necessario trasferire i dati verso paesi situati fuori dall’UE, il Fondo si impegna a garantire livelli di tutela e salvaguardia adeguati secondo le norme applicabili, ivi inclusa la stipulazione di clausole contrattuali tipo.
    
9. Modalità di trattamento e conservazione dei dati. Il trattamento dei dati viene svolto in forma cartacea o in formato elettronico nel rispetto di quanto previsto dall’art. 32 del GDPR 2016/679 in materia di misure di sicurezza. Le informazioni saranno conservate, tramite archiviazione cartacea e/o elettronica, per dieci anni a decorrere dal termine del rapporto contrattuale. Il trattamento potrà proseguire in caso di esercizio di un diritto in sede giudiziaria.
    
10. Data breach. Il Fondo Pensione FONDEMAIN ha adottato delle procedure per le ipotesi di perdita, distruzione o diffusione indebita dei dati trattati.
     
11. Diffusione dei dati. I dati comunicati non sono soggetti a diffusione.

DIRITTI ESERCITABILI DAGLI INTERESSATI

Il Fondo Pensione FONDEMAIN garantisce agli interessati l’esercizio del diritto di accesso ai sensi dell’art. 15 GDPR 2016/679 e, ove applicabili, dei diritti di rettifica (art. 16 GDPR 2016/679), cancellazione (art. 17 GDPR 2016/679), limitazione di trattamento (art. 18 GDPR 2016/679), portabilità dei dati (art. 20 GDPR 2016/679), di opposizione al trattamento (art. 21 GDPR 2016/679) e di revoca del consenso. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, qualora dovesse ritenere che il trattamento dei dati venga effettuato in violazione del GDPR 2016/679 ovvero del D.Lgs. 30 giugno 2006 n. 196 così come modificato dal D.Lgs. 10 agosto 2018 n. 101, ogni interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali seguendo le procedure e le indicazioni pubblicate sul sito web ufficiale dell’Autorità www.garanteprivacy.it. Le richieste inerenti all’esercizio dei diritti sopra esposti devono essere inviate in forma scritta, a mezzo raccomandata, presso la sede del Fondo ovvero mediante comunicazione al Responsabile Protezione Dati (all’indirizzo riportato in http://www.fondemain.it, sezione privacy policy). Il termine per le risposte alle istanze relative all’esercizio dei diritti di cui ai punti da I. a IV. è di 30 (trenta) giorni estensibili sino a 3 (tre) mesi in caso di particolare complessità (valutata dal Titolare del trattamento).