Informativa sulla protezione dei dati della Banca Cantonale Grigione

Per determinati trattamenti dei dati, ad es. per le app offerte dalla BCG come Twint o per Mobile Banking BCG, vigono altre disposizioni (come ad es. le Condizioni generali o le Condizioni di utilizzo), disponibili sui rispettivi siti web o nelle rispettive app.

1. Chi è il titolare del trattamento dei dati e a chi potete rivolgervi?

Il titolare del trattamento dei dati è:

2. Quali fonti e categorie di dati personali utilizziamo?

Trattiamo (ossia raccogliamo, conserviamo, utilizziamo, trasmettiamo o cancelliamo) dati personali provenienti dalle seguenti fonti:

• dati personali ricevuti da clienti, interessati, visitatori e fornitori per la gestione di una relazione d’affari, ad es. nell’ambito di un colloquio di consulenza o sui nostri siti web (vi preghiamo di osservare che potete comunicarci i dati di terzi solo nel caso in cui li abbiate precedentemente informati del trattamento tramite un riferimento alla presente informativa sulla protezione dei dati)
• dati personali che ci vengono legittimamente comunicati da terzi per l’erogazione dei loro servizi (ad es. dalla Centrale per informazioni di credito [ZEK], dalla Centrale d’informazione per il credito al consumo [IKO] o da partner di cooperazione quali banche terze, gestori di sistemi di regolamento, emittenti di carte))
• dati personali che ci vengono comunicati da uffici o autorità nell’ambito della loro attività (ad es. tribunali, pubblici ministeri, autorità di protezione dei minori e degli adulti))
• dati personali ottenuti da fonti accessibili al pubblico (ad es. registri fondiari, registri di commercio, stampa, Internet)

I dati personali che trattiamo dipendono soprattutto dai prodotti e dai servizi che utilizzate. I dati dei clienti possono essere suddivisi nelle seguenti categorie:

• dati personali (ad es. cognome, nome, data di nascita, cittadinanza, indirizzo e altri dati di contatto), numero d’identificazione fiscale, dati di legittimazione (ad es. dati del documento d’identità) e dati di autenticazione (ad es. campione di firma)
• dati dell’effettivo (ad es. numeri di contratto o informazioni su conto, deposito o operazioni concluse)
• dati sulle transazioni ovvero sugli ordini e sulla gestione del rischio (ad es. dati dell’ordine di pagamento, eventualmente dettagli sul conferimento del mandato, prodotti di investimento, profilo di rischio e di investimento e informazioni sulla vostra situazione reddituale e patrimoniale, come dati sulla solvibilità, dati di scoring/rating)
• dati di marketing (ad es. esigenze, desideri e preferenze)
• dati della documentazione (ad es. verbali di consulenza) e corrispondenza generale
• dati di registrazione in relazione a determinate offerte (ad es. aree di login del nostro sito web, invio di newsletter, accesso WLAN gratuito) e controlli di accesso a determinati impianti; a seconda del sistema di controllo anche dati biometrici
• dati di comunicazione (ad es. in relazione al modulo di contatto, via e-mail, telefono o chat, per lettera o con altri mezzi di comunicazione)
• dati sul comportamento e sulle preferenze (ad es. tracciamento online, utilizzo dei prodotti)
• dati tecnici (ad es. identificazione interna ed esterna, indirizzi IP, registrazioni di accessi o modifiche, informazioni sui cookie)
• altri dati (ad es. foto, video e registrazioni audio di eventi o da telecamere di sicurezza, in relazione a procedimenti amministrativi o giudiziari, atti o mezzi di prova)

La BCG tratta i dati di interessati e visitatori in vista di un’eventuale sottoscrizione di un prodotto o servizio. In particolare vengono trattati i seguenti dati:

• dati personali e dell’effettivo come ad es. cognome, nome, indirizzo, data di nascita, sesso, numero di telefono, indirizzo e-mail
• dati tecnici come ad es. identificazione interna ed esterna, indirizzi IP, registrazioni di accessi o modifiche
• dati relativi a prodotti, servizi e marketing, come ad es. esigenze, desideri o preferenze

I dati personali dei partner commerciali, dei loro collaboratori e incaricati vengono trattati nell’ambito della relazione d’affari contrattuale. Tra questi rientrano in particolare i seguenti dati:

• dati personali e dell’effettivo come ad es. cognome, nome, indirizzo, data di nascita, numero di telefono, indirizzo e-mail, numeri e durata del contratto, informazioni sul conto o sulle operazioni concluse
• dati tecnici come ad es. identificazione interna ed esterna, numeri aziendali, indirizzi IP, registrazioni di accessi o modifiche

Inoltre, se previsto dalla legge o per scopi di formazione e di assicurazione della qualità, la BCG può registrare le telefonate. Le videoregistrazioni vengono effettuate per motivi di sicurezza e a scopo di accertamento di eventuali reati, in particolare nell’area degli sportelli automatici e dei locali della Banca.

Inoltre, la BCG tratta i dati anagrafici e dell'effettivo dei suoi partecipanti.

3. Per quale scopo trattiamo i vostri dati e sulla base di quale fondamento giuridico?

Trattiamo i dati personali in conformità con le disposizioni vigenti in materia di protezione dei dati.

a) Per l’adempimento di obblighi contrattuali
Il trattamento dei dati avviene ai fini dell’erogazione di operazioni bancarie e servizi finanziari nell’ambito di misure precontrattuali, su richiesta, o per l’esecuzione dei contratti con i nostri clienti e partner commerciali. Gli scopi del trattamento dei dati si basano in primo luogo sul prodotto concreto (ad es. conto, depositi, titoli, credito, intermediazione) e possono comprendere, tra l’altro, analisi delle esigenze, consulenza, gestione e assistenza patrimoniale nonché l’esecuzione di transazioni. Ulteriori dettagli sugli scopi del trattamento dei dati sono disponibili nella rispettiva documentazione contrattuale e nelle condizioni generali.

b) Nel quadro della ponderazione degli interessi
Se necessario trattiamo i vostri dati oltre l’effettivo adempimento del contratto per tutelare i nostri interessi legittimi o quelli di terzi, ad es.:

• consultazione e scambio di dati con servizi d’informazione (ad es. ufficio d’esecuzione, Centrale per informazioni di credito [ZEK], Centrale d’informazione per il credito al consumo [IKO]) per la determinazione dei rischi di solvibilità e di insolvenza nelle operazioni di credito
• verifica e ottimizzazione delle procedure di analisi delle esigenze per l’approccio diretto ai clienti o l’acquisizione di clienti
• pubblicità o ricerche di mercato/sondaggi d’opinione, a meno che non abbiate negato l’uso dei vostri dati (cfr. punto 8)
• esercizio di diritti legali e difesa in caso di controversie legali
• garanzia della sicurezza IT e dell’operatività IT della BCG
• prevenzione e accertamento dei reati
• misure per garantire il diritto di polizia, compresi videosorveglianza, raccolta di mezzi di prova in caso di aggressioni e altri reati o per la prova di decisioni (ad es. agli sportelli automatici)
• misure per la sicurezza di edifici e impianti (ad es. controlli degli accessi)
• misure di gestione delle attività e dei rischi all’interno della BCG nonché per l’ulteriore sviluppo di servizi e prodotti

Raccogliamo inoltre dati personali da fonti accessibili al pubblico al fine di acquisire clienti.

c) Sulla base del consenso
Nel caso in cui ci abbiate fornito il consenso al trattamento dei dati personali per determinati scopi, tratteremo i vostri dati personali di conseguenza. Il consenso fornito può essere revocato. La revoca entra in vigore dalla data in cui è stato esercitato il diritto di revoca. La revoca non si applica al trattamento dei dati avvenuto prima della revoca (cfr. punto 8).

d) In base alle disposizioni di legge o nell’interesse pubblico
Come banca siamo soggetti a diversi obblighi di legge, come, ad esempio, disposizioni legali o regolamentari, deontologiche e in materia di vigilanza bancaria (ad es. Legge federale sulle banche, Legge sulle infrastrutture del mercato finanziario, Legge sugli investimenti collettivi, Legge sul riciclaggio di denaro, Legge sulle obbligazioni fondiarie, leggi fiscali, ordinanze e circolari dell’Autorità federale di vigilanza sui mercati finanziari [FINMA], direttive dell’Associazione svizzera dei banchieri o requisiti della Banca nazionale svizzera).

Tra le finalità del trattamento rientrano la verifica dell’affidabilità creditizia, la verifica dell’identità e dell’età, la prevenzione delle frodi e del riciclaggio di denaro, l’adempimento degli obblighi di controllo e comunicazione previsti dal diritto fiscale nonché la valutazione e la gestione dei rischi all’interno della BCG.

All’interno della BCG hanno accesso ai vostri dati gli uffici che necessitano di tali dati ai fini dell’adempimento dei nostri obblighi contrattuali e legali. A tale scopo possono ricevere e trattare dati anche i fornitori di servizi e ausiliari da noi incaricati (in particolare i cosiddetti responsabili del trattamento). Si tratta nello specifico di aziende nelle categorie servizi bancari, marketing, servizi IT, logistica, servizi di stampa, telecomunicazioni, incasso, consulenza e distribuzione. Il loro coinvolgimento avviene dopo un’attenta verifica e in conformità alle disposizioni bancarie e in materia di protezione dei dati. Essi sono tra l’altro tenuti a rispettare il segreto bancario, se sono interessati clienti della banca, e i requisiti previsti dalla legge in materia di protezione dei dati.

Possiamo trasmettere o rendere accessibili informazioni sulla vostra persona a terzi solo se sussiste una base giuridica (in particolare legale), se ci avete fornito il vostro consenso (ad es. per eseguire una transazione finanziaria su vostro mandato) o se siamo autorizzati a fornire informazioni bancarie. Nel rispetto di queste premesse, i destinatari di dati personali possono essere ad esempio:

• uffici (ad es. autorità di perseguimento penale, autorità di vigilanza [in particolare FINMA], tribunali, uffici di esecuzione e fallimenti, autorità per le successioni, autorità di protezione dei minori e degli adulti) in presenza di un fondamento giuridico o di altro tipo o di un obbligo
• istituti di credito e di servizi finanziari o istituti analoghi ai quali trasmettiamo dati personali per l’esecuzione della relazione d’affari (ad es. banche corrispondenti, banche depositarie, broker, borse, centri d’informazione)
• uffici di regolamento del traffico dei pagamenti e della negoziazione di titoli con rilevanza internazionale
• fornitori di servizi in Svizzera e all’estero che lavorano con questi dati relativi a voi per nostro conto o sotto comune responsabilità o ricevono da noi tali dati sotto la propria responsabilità. I servizi di terzi comprendono, ad esempio, i servizi informatici, l’invio di informazioni, i servizi di marketing, distribuzione, comunicazione o stampa, l’organizzazione e lo svolgimento di eventi e ricevimenti, l’incasso, le agenzie di informazioni economiche, i verificatori di indirizzi (ad esempio per l’aggiornamento di archivi di indirizzi in caso di traslochi), le misure antifrode e le prestazioni di società di consulenza, avvocati e società di telecomunicazioni. I fornitori di servizi coinvolti forniscono informazioni sul loro trattamento autonomo dei dati nelle proprie informative sulla protezione dei dati

5. I dati vengono trasmessi a uno Stato terzo o a un’organizzazione internazionale?

La trasmissione dei dati a uffici al di fuori della Svizzera (Stati terzi) ha luogo nella misura in cui

• è necessaria per l’esecuzione dei vostri ordini (ad es. ordini di pagamento e di titoli),
• è prescritta dalla legge (ad es. obblighi di notifica in materia fiscale, assistenza giudiziaria e amministrativa nei confronti di autorità estere),
• è necessaria a seguito del coinvolgimento di fornitori di servizi (responsabili del trattamento),
• appare necessaria per motivi di sicurezza informatica o per rilevare attacchi informatici oppure
• ci avete fornito il vostro consenso.

I destinatari di dati personali menzionati al punto 4 possono trovarsi in Svizzera, ma anche all’estero. I vostri dati personali possono quindi essere trattati in tutto il mondo. Se un destinatario si trova in un Paese senza un’adeguata protezione dei dati, ad es. negli Stati Uniti, mediante la stipula di clausole contrattuali standard riconosciute lo obblighiamo a rispettare un’adeguata protezione dei dati oppure ci avvaliamo di una deroga ai sensi di legge (ad es. il vostro consenso, la stipula o l’esecuzione di un contratto, la tutela di interessi pubblici prevalenti, l’esercizio di diritti legali o se si tratta di dati da voi resi generalmente accessibili al cui trattamento non vi siete opposti).

6. Per quanto tempo saranno conservati i vostri dati?

Trattiamo e conserviamo i dati personali per tutto il tempo necessario all’adempimento dei nostri obblighi contrattuali e legali. In tale contesto occorre tenere presente che la relazione d’affari con un cliente è di norma un rapporto obbligatorio di durata pluriennale.

Se i dati non sono più necessari per l’adempimento degli obblighi, vengono regolarmente cancellati – per quanto tecnicamente possibile – a meno che il loro ulteriore trattamento a tempo determinato non sia necessario per le seguenti finalità:

• adempimento di obblighi di conservazione in materia di diritto commerciale e fiscale (in particolare ai sensi del Codice delle obbligazioni svizzero, della Legge sull’imposta sul valore aggiunto, della Legge federale sull’imposta federale diretta, della Legge federale sull’armonizzazione delle imposte dirette dei Cantoni e dei Comuni, della Legge federale sulle tasse di bollo, della Legge sul riciclaggio di denaro o della Legge sull’imposta preventiva)
• rivendicazione, esercizio o difesa di diritti legali o di speciali disposizioni di conservazione (che possono richiedere la conservazione per un periodo di tempo determinato o indeterminato)

7. Come vengono protetti i vostri dati?

Adottiamo misure tecniche e organizzative aggiornate e adeguate per proteggere i vostri dati personali. Tra queste rientrano, tra l’altro, l’impiego di tecnologie di autenticazione e cifratura e firewall, la protezione antivirus, le restrizioni di accesso fisiche e tecniche, i controlli di sicurezza per i servizi IT interni ed esterni nonché la formazione e la sensibilizzazione dei collaboratori e dei fornitori di servizi.

8. Quali sono i vostri diritti in materia di protezione dei dati?

In relazione ai dati che la riguardano, nell’ambito del diritto applicabile in materia di protezione dei dati, ogni persona interessata ha il diritto di accesso, il diritto di rettifica, il diritto di cancellazione, il diritto di limitazione del trattamento, il diritto di opposizione e il diritto alla portabilità dei dati. Avete inoltre il diritto di presentare ricorso all’autorità di vigilanza competente per la protezione dei dati.

Potete revocare in qualsiasi momento un consenso concesso al trattamento dei dati personali (cfr. anche il precedente punto 3 lett. c). La revoca ha effetto per il futuro e non pregiudica la legittimità dei dati trattati fino alla revoca. Con la revoca i vostri dati personali non vengono più trattati per la finalità corrispondente, a meno che interessi privati o pubblici preponderanti o la legge non consentano l’ulteriore trattamento. Lo stesso vale se vi opponete al trattamento dei dati.

Potete esercitare i vostri diritti inviando comunicazione scritta o per e-mail, possibilmente allegando una copia del vostro documento d’identità o del vostro passaporto, all’ufficio indicato al precedente punto 1.

Vi preghiamo di notare che questi diritti sono soggetti a condizioni e limitazioni di legge (ad es. non possiamo cancellare i dati se siamo soggetti a un obbligo di conservazione). Provvederemo a informarvi su eventuali limitazioni.

9. Siete obbligati a mettere a disposizione i dati?

Dovete fornire i dati personali necessari all’avvio e all’esecuzione della relazione d’affari. Senza questi dati, di regola non siamo in grado di stipulare il contratto con voi, di fornirvi i servizi da voi richiesti o di mettervi a disposizione dei prodotti. In tal caso, potremmo essere obbligati per legge a raccogliere dati personali. In particolare, ai sensi delle norme sul riciclaggio di denaro, siamo obbligati a procedere alla vostra identificazione sulla base di un documento di identità prima di instaurare la relazione d’affari e contestualmente ad acquisire e registrare dati quali nome, luogo di nascita, data di nascita, cittadinanza, indirizzo nonché i dati del documento d’identità. Per consentirci di adempiere a questo obbligo legale, dovete fornirci le informazioni e i documenti necessari previsti dalla legge sul riciclaggio di denaro e comunicarci immediatamente le relative variazioni nel corso della relazione d’affari. Se non ci fornite le informazioni e i documenti necessari, non potremo avviare o proseguire la relazione d’affari.

10. Esiste un processo decisionale automatizzato?

Di norma non prendiamo decisioni individuali basate esclusivamente sul trattamento automatizzato dei vostri dati personali, che abbiano conseguenze giuridiche per voi o che abbiano un impatto significativo sulla vostra persona. In caso contrario sarà nostra premura informarvi conformemente alle disposizioni di legge e vi concederemo i diritti corrispondenti. Concretamente avete quindi la possibilità di esprimere il vostro punto di vista e di richiedere che la decisione sia riesaminata da una persona fisica.

11. Per quali scopi viene effettuata la profilazione?

In determinati casi trattiamo i vostri dati personali in modo automatizzato al fine di valutare determinati aspetti personali del cliente (profiling). Utilizziamo ad esempio la profilazione nei seguenti casi:

• verifica ed esecuzione del contratto (ad es. in relazione alla profilazione del rischio e alla definizione della vostra strategia d’investimento o per la verifica della vostra solvibilità)
• identificazione dei rischi, in particolare in relazione alla gestione dei rischi o alla lotta contro il riciclaggio di denaro, gli abusi e le frodi e alla sicurezza informatica
• personalizzazione della pubblicità per i nostri prodotti e servizi e per quelli dei nostri partner (affinché possiate ricevere solo informazioni su offerte che vi interessano effettivamente)
• ricerca di mercato, sviluppo e miglioramento di prodotti (per poter sviluppare e migliorare i nostri prodotti e servizi, i nostri siti web e le nostre app in base alle esigenze dei clienti e degli utenti)

12. Vengono raccolti dati biometrici?

I dati biometrici sono considerati dati personali degni di particolare protezione. Pertanto, per utilizzare le vostre impronte digitali o un altro sistema di riconoscimento biometrico per accedere ad applicazioni o dispositivi è necessario il vostro esplicito consenso fornito separatamente.

13. Quali cookie e altre tecnologie di tracciamento e analisi vengono impiegati?

Sui nostri siti web e app utilizziamo i cosiddetti cookie o altre tecnologie di tracciamento e analisi. Per maggiori informazioni in merito vi invitiamo a leggere la nostra politica dei cookie all’indirizzo gkb.ch/avvertenze-legali. Tenete presente che monitoriamo anche il vostro comportamento in relazione alle nostre newsletter (ad es. se e quando avete aperto una newsletter o cliccato sui link in essa contenuti). Nelle nostre app possiamo utilizzare altre tecnologie di tracciamento e analisi di fornitori terzi per effettuare il rilevamento e l’analisi del comportamento d’uso dell’utente. In questo modo siamo in grado di ottimizzare costantemente le nostre app e di identificare gli errori. Avete la possibilità di disattivare in qualsiasi momento, nelle impostazioni, la raccolta dei dati di utilizzo e la loro trasmissione al rispettivo fornitore.

14. Modifiche all’Informativa sulla protezione dei dati

Ci riserviamo il diritto di modificare periodicamente la presente Informativa sulla protezione dei dati. La versione pubblicata su gkb.ch/informativa-sulla-protezione-dei-dati è quella di volta in volta vigente.

Stato: settembre 2023