Informativa sulla privacy e sulla gestione dei dati

Il presente documento descrive il trattamento dei dati personali operato da Alma nel quadro della fornitura della sua soluzione di pagamento a rate.

1. Definizioni e terminologia impiegata

Le seguenti definizioni si applicano all’intera Informativa sulla privacy e sulla gestione dei dati:

  • "Alma": indica la società per azioni semplificata registrata nel Registro delle Imprese di Nanterre con il numero 839 100 575, la cui sede legale è situata in 176 avenue Charles de Gaulle a Neuilly-sur-Seine (92200).
  • Cliente": indica qualsiasi persona fisica che effettui un acquisto sul sito Internet o presso il punto vendita di un Venditore.
  • Interessato": indica un Cliente, un Venditore o un suo dipendente o un Visitatore.
  • Normative di riferimento": indica il Regolamento (EU) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati ("GDPR**") e la Legge N. 78-17 del 6 gennaio 1978 relativa alla tecnologia dell'informazione, ai file e alle libertà civili, nella sua ultima versione in vigore.
  • Sito Web": indica il sito Web di Alma, accessibile all’indirizzo https://getalma.eu.
  • Soluzione": indica la soluzione digitale sviluppata da Alma e fornita ai Venditori che la offrono ai Clienti affinché godano dei relativi servizi di pagamento.
  • Subappaltatore": indica l’azienda o il partner i cui servizi sono utilizzati da Alma nell’ambito dell’implementazione delle varie operazioni di trattamento dei dati personali descritte qui di seguito.
  • Transazione": indica qualsiasi acquisto effettuato da un Cliente presso un Venditore utilizzando la Soluzione.
  • Venditore": indica qualsiasi persona giuridica che venda beni o servizi e che metta la Soluzione a disposizione ai suoi Clienti.
  • Visitatore": indica qualsiasi persona che consulti o navighi sul sito Web.

Se non diversamente richiesto dal contesto, le definizioni fornite al singolare includono il plurale e viceversa.

2. Dati personali raccolti e ruolo di Alma

2.1 Dati personali dei Clienti (raccolti dal Venditore)

Il Venditore può affidare ad Alma dati personali dei Clienti raccolti direttamente dal Venditore stesso. In questo contesto, Alma funge da subappaltatore del Venditore, nel senso inteso dalle Normative di riferimento, per i seguenti dati:

  • Nome e cognome.
  • Indirizzo e-mail.
  • Indirizzo di spedizione e di fatturazione.
  • Mezzo di consegna (trasportatore impiegato).
  • Dati bancari del Cliente.
  • Numero di telefono del Cliente.
  • Data e luogo di nascita del Cliente.
  • Contenuto del carrello del Cliente.
  • Storico degli acquisti del Cliente presso il Venditore.

2.2 Dati personali di Visitatori e Clienti (raccolti da Alma)

Alma può raccogliere dati personali direttamente da Visitatori e Clienti. In questo contesto, Alma funge da titolare del trattamento, nel senso inteso dalle Normative di riferimento, per i seguenti dati:

  • I dati che identificano il Visitatore (cognome, nome, indirizzo e-mail, telefono) e l’azienda presso la quale lavora (nome dell’azienda, sito Internet, piattaforma di e-commerce impiegata).
  • I cookie che identificano il Visitatore del Sito Web per proporre contenuti più adatti e a fini statistici.
  • I dati di connessione del Cliente (indirizzo IP, dati relativi alla connessione, numero unico associato a un cookie unico, lingua usata, user agent del browser, operatore di telecomunicazioni o IAP, cronologia e dati di navigazione, ecc.).
  • Numero di telefono del Cliente.
  • Documento d’identità in seguito ad accettazione esplicita da parte del Cliente.
  • Dati bancari (storico delle transazioni) in seguito ad accettazione esplicita da parte del Cliente.

2.3 Dati personali dei dipendenti del Venditore

Alma raccoglie inoltre i dati personali dei dipendenti del Venditore che utilizzano la Soluzione. In questo contesto, Alma funge da titolare del trattamento, nel senso inteso dalle Normative di riferimento, per i seguenti dati:

  • I dati che identificano i contatti presso il Venditore (cognome, nome, numero di telefono, e-mail, posizione all’interno dell’azienda, dati di connessione).
  • I dati che consentono il KYC del Venditore (in particolare dati e documenti d’identità del rappresentante legale del Venditore e dei suoi beneficial owner, estratto K-bis).

3. Le Operazioni di trattamento, i loro Scopi e le relative Basi giuridiche

N. Operazione di trattamento Scopi Basi giuridiche
1. Identificazione del Cliente Identificare il Cliente quando si serve della Soluzione Esecuzione del contratto per consentire al Cliente di pagare a rate
2. Pagamento Consentire l’esecuzione delle transazioni di pagamento autorizzate dal Cliente Esecuzione del contratto per consentire al Cliente di pagare a rate
3. Valutazione del rischio Valutare il rischio finanziario assunto da Alma, in particolare in caso di inadempienza da parte del Cliente Esecuzione del contratto per consentire al Cliente di pagare a rate
4. Frode Prevenire frodi e qualsiasi altra truffa finanziaria da parte dei Clienti incluso, ma non solo, l’utilizzo di carte bancarie rubate Il legittimo interesse di Alma nella prevenzione delle frodi nell’impiego della Soluzione
5. Risarcimento Consentire il possibile risarcimento finanziario, in particolare in caso di inadempienza da parte del Cliente Il legittimo interesse di Alma a recuperare le somme che le sono dovute
6. Miglioramento del servizio Migliorare continuamente gli strumenti di Alma, in particolare tramite la statistica Il legittimo interesse di Alma a utilizzare i dati per migliorare la Soluzione
7. Prospezione e analisi dei Visitatori Identificare i Visitatori del Sito Web, in particolare a fini di marketing, e rendere disponibili i contenuti più adatti in base alle attività dei Visitatori stessi Consenso
8. Identificazione del Venditore Identificare il Venditore quando si serve della Soluzione Esecuzione del contratto per consentire al Venditore di offrire la Soluzione ai Clienti
9. Interazioni con il Venditore Consentire il monitoraggio e lo sviluppo della relazione contrattuale Esecuzione del contratto per consentire al Cliente di pagare a rate
10. Lotta contro le frodi e il riciclaggio di denaro Permettere ad Alma la lotta contro le frodi e il riciclaggio di denaro da parte dei Venditori Adempimento di un obbligo legale

4. Procedure operative per ciascuna operazione di trattamento

I dati personali degli Interessati sono elaborati da Alma nei seguenti modi (a seconda dell’operazione di trattamento):

  • Raccolta dei dati: Operazioni da 1 a 10.
  • Memorizzazione sicura dei dati sui server autorizzati di Alma o sui server autorizzati dei suoi fornitori (in particolare soluzioni di hosting): Operazioni da 1 a 10.
  • Elaborazione automatica di dati bancari da parte di subappaltatori di Alma per effettuare i pagamenti autorizzati dal Cliente: Operazione 2.
  • Elaborazone automatica dei dati e profilatura tramite algoritmi per combattere le frodi bancarie e algoritmi per la valutazione del rischio di frode e del rischio creditizio: Operazioni 3, 4 e 6.
  • Trattamento manuale dei dati da parte di operatori specializzati nell’ambito della lotta contro le frodi bancarie che possono analizzare manualmente una Transazione per finalizzare una decisione che ha un impatto su un Cliente: Operazioni 3, 4 e 10.
  • Anonimizzazione seguita dall’elaborazione manuale dei dati da parte di tecnici specializzati, al solo scopo di migliorare gli strumenti interni per combattere contro le frodi bancarie, valutare il rischio di inadempienza e analizzare casi di risarcimento: Operazione 6.
  • Elaborazione automatica dei dati tramite algoritmi per ottimizzare le azioni di riscossione di Alma: Operazione 5.
  • Elaborazione manuale dei dati da parte di Subappaltatori specializzati in recupero crediti, con il solo scopo di analizzare il file di un Cliente e possibilmente contattarlo: Operazione 5.
  • Elaborazione automatica e statistica per comprendere il profilo dei Visitatori del Sito Web e adattare il contenuto alle loro preferenze: Operazione 7.

5. Processo decisionale automatico

Nell’ambito del rischio di frodi e di gestione delle rivalse, i dati personali dei Clienti sono trattati da Alma tramite strumenti di profilazione. Alma implementa in particolare decisioni basate esclusivamente sul trattamento automatico producendo effetti legali sui Clienti o influenzandoli significativamente nell’ambito della portata delle Normative di riferimento.

Tali decisioni rendono possibile identificare i Clienti e gli ordini per i quali è possibile effettuare una Transazione, il che li rende necessari alla preparazione e all’esecuzione di un contratto. Tali decisioni sono basate sull’analisi delle diverse variabili collegate, in particolare, al tipo di prodotti o servizi ordinati, al profilo del Cliente, ma anche alla presa in considerazione di dati dedotti o derivati da Alma. Si specifica che nessun dato sensibile compreso nell’elenco delle categorie speciali di dati fornito dall’Articolo 9 del GDPR è preso in considerazione in queste decisioni assunte in via esclusivamente automatica.

Qualora, in virtù di tali variabili, il rischio di frode e mancato pagamento fosse considerato eccessivo, la Transazione non può essere portata a termine. Per quanto riguarda le decisioni basate unicamente sul trattamento automatico, il Cliente ha il diritto di ottenere un intervento umano, di esprimere la sua opinione alla risorsa designata al trattamento del suo file e di contestare la decisione automatica assunta, scrivendo ad Alma al seguente indirizzo: dpo@getalma.eu.

6. Destinatario di Dati Personali

I dati personali degli Interessati sono elaborati per il perseguimento di tutti gli scopi indicati in precedenza e sono intesi esclusivamente per i servizi di gestione interna di Alma oltre a, se necessario, i suoi Subappaltatori (Subappaltatori che offrono, in particolare, servizi di hosting di dati e prevenzione delle frodi). Tali Subappaltatori sono tenuti a rispettare un’assoluta riservatezza, a garantire la sicurezza dei dati cui hanno accesso, a utilizzarli esclusivamente dell’ambito degli incarichi ad essi affidati e a rispettare le Normative vigenti.

7. Durata della conservazione dei Dati Personali

I dati personali dei Clienti sono trattati da Alma dal momento in cui sono raccolti direttamente da loro o dal momento in cui sono trasmessi dal Venditore. I dati personali sono utilizzati da Alma per l’intera durata del rapporto contrattuale e sono conservati per un periodo di 5 anni a partire dall’ultimo pagamento mensile dell’ultima Transazione.

I dati personali dei dipendenti dei Venditori sono raccolti a partire dalla conclusione dei termini generali di vendita o da qualsiasi contratto per la fornitura della Soluzione e sono conservati per l’intera durata del rapporto contrattuale. A partire dalla fine del rapporto con il Venditore, tali dati personali sono conservati per un periodo di 5 anni.

I dati personali degli Interessati sono conservati a fini (i) di prevenzione di frodi bancarie e mancato pagamento; (ii) statistici e di miglioramento degli strumenti di Alma; (iii) di prevenzione delle dispute; (iv) di gestione amministrativa dei file; e (iv) di compliance con gli obblighi giuridici a carico di Alma.

8. Diritti degli Interessati

Gli Interessati hanno i diritti garantiti loro dalle Normative vigenti, in particolare il diritto di richiedere ad Alma l’accesso ai loro dati personali, la rettifica o la relativa cancellazione o una limitazione del trattamento relativo all’Interessato o il diritto a obiettare al trattamento, oltre al diritto alla portabilità dei dati. Quando il trattamento è basato sul consenso, è possibile ritirare il consenso in qualsiasi momento senza pregiudizio alcuno alla legittimità del trattamento basato sul consenso condotto prima dell’annullamento di tale consenso. Tali diritti possono essere esercitati per iscritto al seguente indirizzo: dpo@getalma.eu.

L’esercizio dei diritti offerti non è illimitato e ciascuno di essi è soggetto alle condizioni imposte dalle Normative di riferimento. Di conseguenza, sono specificati i seguenti elementi:

  • Identità: è necessario che l’Interessato dimostri la sua identità e indichi a quale indirizzo desidera essere contattato.
  • Tempo di risposta: le richieste sono elaborate da Alma entro un ragionevole periodo di tempo, tenuto conto della complessità, del numero di richieste avanzate e delle Normative di riferimento.
  • Gratuità: l’esercizio dei diritti è, in linea di principio, gratuito. Nel caso in cui una richiesta implichi costi significativi, all’Interessato può essere richiesto il pagamento di una tariffa.

Affinché le richieste possano essere elaborate, questi requisiti devono essere soddisfatti.

Ogni Interessato può contattare la CNIL (Commission nationale de l'informatique et des libertés) se ritiene che Alma non abbia rispettato le Normative di riferimento (informazioni su come contattare la CNIL sono fornite direttamente sul suo sito).

9. Trasferimenti di dati

Alma limita il più possibile la scelta di Subappaltatori che elaborino dati personali in Paesi al di fuori dell’Unione Europea. Ciò nonostante, al fine del raggiungimento degli scopi specificati nella presente Informativa sulla privacy e sulla gestione dei dati, Alma può aver bisogno di trasferire dati personali a Paesi al di fuori dell’Unione Europea che non offrono un’adeguata protezione. In questo caso, Alma si impegna a implementare tutte le misure tecniche e organizzative necessarie a garantire la sicurezza dei dati personali degli Interessati. Inoltre, Alma richiede ai Subappaltatori di conformarsi agli obblighi delineati nelle Normative di riferimento.

10. Cookies

Un “cookie” è un piccolo file informatico, un tracciatore, depositato e letto, ad esempio, quando si visita un sito Internet, si legge un’e-mail, si installa o si utilizza un software o un’applicazione mobile, indipendentemente dal tipo di terminale impiegato (computer, smartphone, lettore digitale, oggetto connesso a Internet, ecc.).

In conformità con quanto stabilito all’Articolo 82 della Legge francese sulla tutela dei dati personali, qualsiasi sottoscrittore o utente di un servizio di comunicazioni elettroniche deve essere informato in maniera chiara e completa, a meno che non siano stati informati prima, da parte del titolare del trattamento dei dati o del suo rappresentante, in merito a: (i) lo scopo di qualsiasi azione volta ad accedere, per mezzo di una trasmissione elettronica, a informazioni già memorizzate nei loro dispositivi di comunicazione elettronica o a immettere informazioni in tale dispositivo; e (ii) i mezzi a loro disposizione per opporsi a tale azione. Tale accesso o deposito può avere luogo unicamente se il sottoscrittore o l’utente, dopo aver ricevuto questa informazone, esprime il suo consenso. Alma impiega cookies di terzi per i quali è richiesto il consenso.

È inoltre previsto che tali regole non si applichino se l'accesso o l'immissione di informazioni nell'apparecchiatura terminale dell'utente: (i) ha il solo scopo di abilitare o facilitare la comunicazione per via elettronica; o (ii) è strettamente necessario per la fornitura di un servizio di comunicazione online su espressa richiesta dell'utente.

11. Responsabile della protezione dei dati

Il Responsabile della protezone dei dati di Alma può essere contattato al seguente indirizzo: dpo@getalma.eu.