Politica sulla privacy

1. Introduzione

1.1 Al fine di offrire i propri servizi ai clienti, Saxo Bank A/S (di seguito "Saxo Bank", "noi" oppure "nostro") ha la necessità di raccogliere i dati personali di clienti attuali o potenziali e dipendenti.

Alla luce di quanto affermato in precedenza, Saxo Bank desidera assicurare un livello elevato di protezione, in quanto la riservatezza è cruciale per guadagnare e mantenere la fiducia di clienti, dipendenti e fornitori, garantendo, in tal modo il futuro dell'attività di Saxo Bank.

La protezione dei dati personali richiede l'adozione di appropriate misure tecniche e organizzative per dimostrare un livello elevato di protezione dei dati. Saxo Bank ha adottato una serie di politiche interne ed esterne sulla protezione dei dati, alle quali i dipendenti di Saxo Bank sono tenuti ad aderire.

Inoltre, Saxo Bank monitorerà, controllerà e documenterà la conformità interna alle politiche nonché ai requisiti obbligatori in materia di protezione dei dati, incluso il regolamento generale sulla protezione dei dati ("GDPR").

Oltre a ciò, Saxo Bank adotterà le misure necessarie al fine di incrementare la conformità alla protezione dei dati all'interno dell'organizzazione. Le suddette misure includono l'assegnazione di responsabilità, l'aumento della consapevolezza e della formazione del personale coinvolto nelle operazioni di trattamento. Nota: la presente Politica sulla privacy sarà oggetto di revisioni periodiche, al fine di tener conto di nuovi obblighi, nonché di garantire che i dati personali che conserviamo siano disciplinati dalla politica più recente.

La presente Politica sulla privacy, unitamente alle linee guida per il trattamento dei dati personali, costituisce il quadro complessivo per il trattamento dei dati personali dentro Saxo Bank.

1.2 L'espressione "dati personali" va intesa con il significato di informazioni correlate a una persona fisica identificata o identificabile ("Soggetto interessato"). Una persona fisica identificabile è un soggetto che può essere identificato, in modo diretto o indiretto, in particolare facendo riferimento a un identificatore, quali nome, dati sulla posizione, numero di telefono, età, genere, posizione (dipendente, candidato all'impiego, cliente, fornitore e partner commerciale di altro tipo). La suddetta categoria comprende categorie speciali di dati personali (dati personali sensibili) e informazioni riservate, quali informazioni sanitarie, numero di conto, numero di identificazione, dati sulla posizione, identificativo online oppure ulteriori fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale relative alla persona fisica.

1.3 Benché le informazioni correlate a società o attività non siano considerate dati personali, è opportuno notare che le informazioni inerenti ai contatti all'interno di società/attività, ad es., nome, titolo, email di lavoro numero telefonico di lavoro, ecc. sono considerati dati personali.

1.4 Saxo Bank raccoglie e utilizza i dati personali per una gamma di finalità commerciali legittime, inclusi l'instaurazione e la gestione dei rapporti con clienti e fornitori, il completamento degli ordini di acquisto, la selezione e la gestione di tutti gli aspetti relativi a termini e condizioni di assunzione, comunicazione, rispetto degli obblighi o dei requisiti legali, esecuzione dei contratti, fornitura dei servizi ai clienti, ecc.

1.5 I Dati personali devono sempre essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
  • esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
  • conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);
  • trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

1.6 Saxo Bank è responsabile ed è tenuta a dimostrare la conformità alle normative sopra indicate, come parte dell'affidabilità di Saxo Bank.

2. Il fondamento giuridico del trattamento dei dati personali

2.1 Il trattamento dei dati personali richiede un fondamento giuridico. Il fondamento giuridico maggiormente predominante per il trattamento dei dati personali all'interno di Saxo Bank include:

  • il consenso da parte dei Soggetti interessati per una o più finalità specifiche;
  • l'esecuzione di un contratto di cui il Soggetto interessato è parte;
  • un obbligo o un requisito legale;
  • interessi legittimi perseguiti da Saxo Bank.

2.2 Consenso

2.2.1 Nel caso in cui la raccolta, la registrazione e l'ulteriore trattamento dei dati personali di clienti, fornitori, altre relazioni commerciali e dipendenti siano basati sul consenso di un soggetto al trattamento dei propri dati personali per una o più finalità specifiche, Saxo Bank deve essere in grado di dimostrare che il soggetto interessato ha concesso il consenso al trattamento dei dati personali.

2.2.2 Il consenso deve essere: concesso liberamente, specifico, informato e privo di ambiguità.
Il Soggetto interessato deve attivamente concedere il consenso al trattamento dei dati personali mediante una dichiarazione o un'azione evidentemente affermativa.

2.2.3 Una richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

2.2.4 Inoltre, al fine di trattare le categorie speciali di dati personali (i dati personali sensibili), il consenso a tal riguardo deve essere esplicito.

2.2.5 Il Soggetto interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. In virtù di tale revoca, noi interromperemo la raccolta e il trattamento dei dati personali relativi al suddetto soggetto, a meno che noi siamo obbligati oppure titolari del diritto di procedere con tali attività sulla base di un altro fondamento giuridico.

2.3 Necessario per l'esecuzione di un contratto:

2.3.1 La raccolta e il trattamento dei dati personali pertinenti per ottemperare all'obbligo legale al quale il titolare del trattamento è soggetto o della necessità di esecuzione di un contratto di cui l'interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso. Tali principi si applicano a tutti gli obblighi contrattuali e agli accordi sottoscritti con Saxo Bank, inclusa la fase precontrattuale, indipendentemente dall'esito della negoziazione del contratto.

2.4 Conformità a un obbligo legale

2.4.1 Saxo Bank deve conformarsi con vari obblighi e requisiti legali, che hanno fondamento nella normativa dell'Unione Europea o di uno Stato membro. I suddetti obblighi legali, a cui Saxo Bank è soggetta, potrebbero essere un fondamento legittimo per il trattamento dei dati personali.

2.4.2 I suddetti obblighi legali comprendono gli obblighi di acquisire, registrare e/o rendere disponibili determinate tipologie di informazioni correlate a dipendenti, clienti, ecc. Di conseguenza, i requisiti legali costituiranno il fondamento giuridico per il trattamento dei dati personali. Tuttavia, è importante considerare se le disposizioni consentono o richiedono a Saxo Bank di trattare determinati dati personali oppure definiscono requisiti in relazione a conservazione, divulgazione ed eliminazione.

2.5 Legittimi interessi

2.5.1 I dati saranno trattati solo nei casi in cui ciò sia necessario per il soddisfacimento delle finalità di legittimo interesse perseguite da Saxo Bank e ove gli interessi dei Soggetti interessati non superino i suddetti interessi o diritti fondamentali. Quando deciderà di trattare i dati, Saxo Bank garantirà che i legittimi interessi siano superiori ai diritti e alle libertà del soggetto e che il trattamento non causerà danni ingiustificati. Ad esempio, è un interesse legittimo di Saxo Bank trattare i dati personali del potenziale cliente, al fine di espandere l'attività e sviluppare nuovi rapporti commerciali. Al Soggetto interessato devono essere fornite informazioni in merito allo specifico interesse legittimo, se il trattamento è basato su una disposizione (cfr. Sezione 4.1 sottostante).

3. Trattamento e trasferimento dei dati personali

3.1 Saxo Bank nel ruolo di titolare dei dati

3.1.1 Saxo Bank sarà considerata titolare dei dati nella misura in cui decidiamo mediante quali mezzi i dati personali dei Soggetti interessati devono essere trattati, ad es., quando un Soggetto interessato sottoscrive un accordo con Saxo Bank.

3.2 Il ricorso ai responsabili dei dati

3.2.1 Per responsabile dei dati esterno si intende una società che tratta i dati personali per conto di Saxo Bank, in conformità alle sue indicazioni, ad es., per quanto attiene a sistemi delle Risorse umane, fornitori IT di parti terze, ecc. Nel caso in cui Saxo Bank esternalizzi il trattamento dei dati personali, Saxo Bank garantirà che la suddetta società, come minimo, applichi il medesimo grado di protezione dei dati di Saxo Bank. Nel caso in cui ciò non possa essere garantito, Saxo Bank sceglierà un altro responsabile dei dati.

3.3 Accordi sul trattamento dei dati

3.3.1 Prima del trasferimento dei dati personali al responsabile dei dati, Saxo Bank sottoscriverà un accordo scritto sul trattamento dei dati con il responsabile dei dati. L'accordo sul trattamento dei dati assicura che Saxo Bank controllerà il trattamento dei dati personali che sarà svolto all'esterno di Saxo Bank e di cui quest'ultima è responsabile.

3.3.2 Nel caso in cui il responsabile/subresponsabile dei dati abbia sede al di fuori dell'UE/SEE, si applicheranno le condizioni del clausola 3.4.4 sottostante.

3.4 Divulgazione dei dati personali

3.4.1 Prima di divulgare i dati personali ad altri soggetti, Saxo Bank ha la responsabilità di considerare se il destinatario è un nostro dipendente. Peraltro, potremmo condividere i dati personali all'interno di Saxo Bank solo se nella divulgazione è contemplata una legittima finalità commerciale.

3.4.2 Saxo Bank ha la responsabilità di garantire che il destinatario abbia una finalità legittima a ricevere i dati personali, nonché di assicurare che la condivisione dei dati personali sia limitata e mantenuta al minimo.

3.4.3 Saxo Bank deve esibire cautela prima di condividere i dati personali con individui, Soggetti interessati o enti esterni a Saxo Bank. I dati personali devono essere divulgati unicamente a parti terze che agiscono come titolari singoli di dati, qualora vi sia una finalità legittima al trasferimento. Nel caso in cui il destinatario agisca in qualità di responsabile dei dati, fare riferimento al clausola 3.2 di sopra.

3.4.4 Nel caso in cui il destinatario terzo abbia sede al di fuori dell'UE/SEE, in un Paese che non assicuri un adeguato livello di protezione dei dati, il trasferimento può essere completato unicamente se Saxo Bank e la parte terza abbiano sottoscritto un accordo per il trasferimento. L'accordo sul trasferimento deve essere fondato sulle clausole contrattuali tipo dell'UE.

4. Diritti dei Soggetti interessati

4.1 Obbligo di informazione

4.1.1 Quando raccoglie e registra i dati personali, Saxo Bank è obbligata a informare i soggetti in merito a:

  • finalità del trattamento dei dati personali, nonché fondamento giuridico del trattamento;
  • le categorie di dati personali in questione;
  • i legittimi interessi perseguiti da Saxo Bank, qualora il trattamento sia basato su una ponderazione degli interessi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l'intenzione del titolare di Saxo Bank di trasferire dati personali a un paese terzo e il fondamento giuridico di tale trasferimento;
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l'esistenza del diritto dell'interessato di chiedere a Saxo Bank l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a Saxo Bank mediante la procedura oppure l'autorità di vigilanza corretta;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l'esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Nella gran parte dei casi, le suddette informazioni saranno fornite mediante una comunicazione sulla privacy sulla home page di Saxo Bank.

4.2 Diritto all'accesso

4.2.1 Gli individui, di cui Saxo Bank tratta i dati, inclusi, ma non limitati a, dipendenti, candidati all'impiego, fornitori esterni, clienti attuali o potenziali, partner commerciali, ecc. sono titolari del diritto di richiedere l'accesso ai propri dati personali che Saxo Bank tratta o conserva.

4.2.2 Nel caso in cui Saxo Bank tratta o conserva i dati personali relativi a un Soggetto interessato, quest'ultimo è titolare del diritto di accedere ai dati personali e alle motivazioni per il trattamento dei dati in relazione ai criteri definiti al punto 4.1.1.

4.3 L'interessato ha il diritto di ottenere da Saxo Bank la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.

4.4 L'interessato ha il diritto di ottenere da Saxo Bank la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e Saxo Bank ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, a meno che Saxo Bank sia tenuta per legge a mantenere le informazioni per il periodo prescritto, ad esempio, da regolatori finanziari o autorità fiscali.

4.5 Il Soggetto interessato ha il diritto di ottenere da Saxo Bank la limitazione del trattamento se applicabile.

4.6 Il Soggetto interessato ha il diritto di ricevere i dati registrati in un formato strutturato, comunemente utilizzato e leggibile da dispositivo automatico.

4.7 L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione sulla base di tali disposizioni.

4.8 Alle richieste presentate da un Soggetto interessato di esercitare i propri diritti, ai sensi della presente clausola, dovrà essere fornita replica non appena ragionevolmente possibile e non oltre i 30 giorni dalla ricezione. Le richieste devono essere inoltrate senza ritardo al Centro assistenza Saxo Bank. Il Centro assistenza sarà supportato dal Responsabile della protezione dei dati di Saxo Bank al fine di elaborare la richiesta e rispettare la scadenza per la risposta.

5. La protezione dei dati fin dalla progettazione e della protezione dei dati di default

5.1 Nuovi prodotti, servizi, soluzioni tecniche, ecc. devono essere sviluppati in modo tale da soddisfare i principi della protezione dei dati attraverso la progettazione e la protezione dei dati predefinita.

5.1.1 La protezione dei dati mediante la progettazione implica che nella concezione di nuovi prodotti o servizi è assunta adeguata considerazione alla questione della protezione dei dati.

  • Saxo Bank terrà della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche associati al trattamento.
  • Sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

5.1.2 La protezione dei dati di default richiede l'attuazione di tecniche pertinenti di minimizzazione dei dati.

  • Saxo Bank mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
  • Il requisito della minimizzazione vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità
  • Dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica senza attenta valutazione.

6. Registri delle attività di trattamento

6.1 In qualità di responsabile dei dati, Saxo Bank tiene un registro delle attività di trattamento svolte sotto la responsabilità di Saxo Bank. Tale registro contiene tutte le seguenti informazioni:

  • il nome e i dati di contatto;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

6.1.1 Dietro richiesta, Saxo Bank è tenuta a rendere disponibili i registri ai garanti della protezione dei dati.

7. Eliminazione dei dati personali

7.1 I dati personali devono essere eliminati quando Saxo Bank non ha più la finalità legittima di proseguire nel trattamento o nella conservazione dei dati personali oppure quando non è più richiesta la conservazione dei dati personali, ai sensi dei requisiti legali applicabili.

7.2 I periodi di conservazione puntuali relativi alle diverse categorie di dati personali sono specificate nella Politica di conservazione dei dati e condivisione delle informazioni di Saxo Bank.

8. Valutazione del rischio

8.1 Qualora Saxo Bank tratti dati personali che implichino un probabile rischio elevato per gli individui di cui i dati personali sono oggetto di trattamento, dovrà essere eseguita una valutazione d'impatto sulla protezione dei dati.

8.1.1 Una valutazione d'impatto sulla protezione dei dati implica che, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche associati al trattamento, Saxo Bank adotterà le appropriate misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento sia eseguito in conformità ai requisiti per la protezione dei dati.

8.2 Le misure tecniche e organizzative saranno revisionate e aggiornate ove necessario e non oltre 6 mesi.

8.2.1 Il rispetto dei codici di condotta approvati o i meccanismi di certificazione approvati potrebbe essere impiegato come elemento per dimostrare la conformità alle adeguate misure tecniche e organizzative, ai sensi della presente clausola.

9. Requisiti nazionali

9.1 Saxo Bank è tenuta a conformarsi sia al GDPR sia alla legislazione nazionale in materia di protezione dei dati.

9.2 Nel caso in cui la legislazione nazionale applicabile richieda un livello di protezione per i dati personali più elevato rispetto a politiche/linee guida, dovranno essere rispettati i requisiti più rigorosi. Se le politiche/linee guida di Saxo Bank siano più rigorosi della legislazione locale, dovranno essere rispettate le nostre politiche/linee guida.

10. Contatto e denunce

10.1 In caso di domande in merito al contenuto della presente politica, contatta il Responsabile della protezione dei dati di Saxo Bank all'indirizzo privacy@saxobank.com.

10.2 Nel caso in cui desideri presentare una denuncia in merito al trattamento dei dati personali di Saxo Bank, contatta l'Agenzia danese per la protezione dei dati personali.