Repsonsice
Download App

Privacy Policy DRIV&PAY

Informativa integrativa sul trattamento dei dati personali ai sensi degli artt.13 e 14 del Regolamento (UE) 2016/679

DRIV&PAY

La presente Informativa Privacy è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) da Italiana Petroli S.p.A. (“IP”) ed ESE S.r.l. (“ESE”), in qualità di contitolari del trattamento ai sensi dell’art. 26 GDPR, e descrive le modalità e le finalità del trattamento dei dati personali degli interessati nell’ambito dell’utilizzo del servizio di pagamento in-app “DRIV&PAY” (di seguito, “DRIV&PAY” o il “Servizio”). Il Servizio è disponibile all’interno dell’App “DRIV&”, riservata agli aderenti al programma loyalty “DRIV&” (di seguito anche solo “Programma”), e consente di effettuare il pagamento dei rifornimenti mediante carte di pagamento configurate nell’App e, sui dispositivi abilitati, anche tramite Apple Pay.

La presente informativa, resa con riferimento allo specifico servizio DRIV&PAY disponibile sul sito Driveloyalty.it, deve intendersi integrativa dell’informativa privacy generale dell’App DRIV&, disponibile sul sito Driveloyalty.it, alla quale si rinvia per la consultazione delle ulteriori informazioni richieste dagli artt. 13 e 14 del GDPR che non siano espressamente riportate nel presente documento.

1. CONTITOLARI DEL TRATTAMENTO E RESPONSABILE DELLA PROTEZIONE DEI DATI
I contitolari del trattamento dei Suoi dati personali effettuato nell’ambito del Servizio sono:

  • Italiana Petroli S.p.A. con sede legale in Roma (RM), Via Salaria n. 1322, CAP 00138

  • ESE S.r.l. con sede legale in Roma (RM), Via Salaria n. 1322, CAP 00138


in qualità di co-promotori nell’ambito del Programma.

Nel prosieguo di questa informativa, IP ed ESE sono, altresì, definite singolarmente “Contitolare” e congiuntamente “Contitolari”, avendo determinato congiuntamente le finalità e i mezzi del trattamento attraverso la conclusione di uno specifico accordo ai sensi dell’art. 26 del GDPR.
Nell’ambito di tale accordo, IP è stata designata come punto di contatto per ogni Sua richiesta relativa al trattamento dei Suoi dati personali e all’esercizio dei Suoi diritti derivanti dal GDPR; resta fermo che Lei può esercitare i Suoi diritti privacy ex art. 15 e ss. del GDPR nei confronti di e contro ciascuno dei Contitolari. Il contenuto essenziale dell’accordo è messo a Sua disposizione dietro Sua specifica richiesta

La informiamo, inoltre, che i Contitolari hanno nominato un Responsabile della protezione dei dati personali (di seguito il “Data Protection Officer” o “DPO”) che è contattabile ai seguenti indirizzi:

  • e-mail, all’indirizzo: dpoitalianapetroli@pec.gruppoapi.com.

  • posta ordinaria, all’indirizzo di entrambi i Contitolari, con sede in Roma (RM), Via Salaria n. 1322, CAP 00138, c.a. del Data Protection Officer.

2. DATI PERSONALI OGGETTO DI TRATTAMENTO E FONTE DA CUI HANNO ORIGINE
I Contitolari raccolgono le seguenti categorie di dati personali che La riguardano (con il termine “Dati Personali” si intenderanno tutte le categorie di seguito riportate, congiuntamente considerate):

  • dati anagrafici/identificativi (quali: nome, cognome e codice fiscale);

  • dati di contatto (numero di telefono e indirizzo e-mail);

  • credenziali di accesso all’App e al Servizio (e-mail/username e password);

  • dati di pagamento, in quanto il Servizio consente di effettuare pagamenti mediante una o più carte di pagamento configurate nell’App o tramite Apple Pay (per i dispositivi abilitati). In fase di configurazione della carta, l’utente inserisce i dati necessari alla verifica di idoneità ai pagamenti online (nome e cognome, data di scadenza, CVV2/codice di verifica). I dati delle carte configurate nell’App e le operazioni effettuate sono gestiti tramite il servizio mobile gateway erogato da N&TS Group S.p.A., secondo elevati standard di sicurezza e protezione. In particolare: (i) l’indirizzo e-mail potrà essere trasmesso a N&TS per la gestione della tokenizzazione della carta e dei pagamenti sul tool di pagamento; (ii) sui sistemi dell’App vengono salvati unicamente un codice cifrato del PAN e l’indicazione del circuito della carta, al solo fine di consentire la visualizzazione delle carte nel wallet dell’utente;

  • dati relativi alle transazioni effettuate tramite DRIV&PAY, quali: erogatore selezionato, importo selezionato, metodo di pagamento utilizzato, esito della pre-autorizzazione, importo effettivamente addebitato, data/ora dell’operazione, punto vendita/erogatore e storico transazioni. Al riguardo, ai sensi dell’art. 14 del GDPR, La informiamo che, in seguito alla Sua scelta di utilizzare una delle modalità di pagamento disponibili, l’istituto emittente della carta e/o Apple (qualora Lei utilizzi Apple Pay), quali autonomi titolari del trattamento, trattano i dati necessari all’esecuzione dell’operazione e rendono disponibili ai Contitolari le informazioni necessarie alla gestione del Servizio (quali l’esito dell’operazione e i riferimenti della transazione);

  • dati relativi al rilevamento della posizione/geolocalizzazione del dispositivo (qualora abilitati sul dispositivo iOS o Android), trattati per consentire l’individuazione del punto vendita e la visualizzazione e selezione dell’erogatore abilitato (la lista degli erogatori è visibile soltanto nel caso in cui la posizione del device dell’utente venga riconosciuta come presente su un punto vendita abilitato);

  • dati relativi alla fatturazione elettronica, ove richiesta, quali: ragione sociale, P. IVA, codice SDI, eventuale PEC, indirizzo completo e targa o targhe del veicolo.

 

Ove l’utente scelga di abilitare l’accesso o la conferma tramite Face ID / Touch ID (o funzionalità analoghe), si precisa che non avviene alcun trattamento né salvataggio di dati biometrici da parte dei Contitolari: la verifica biometrica è effettuata esclusivamente dal sistema operativo del dispositivo e all’App viene comunicata solo l’informazione di esito dell’autenticazione (ad es. autenticazione riuscita/non riuscita), necessaria per consentire l’accesso al Servizio e/o la conferma dell’operazione.

Con riferimento alla fonte da cui i suddetti Dati Personali hanno origine, si fa presente che gli stessi vengono raccolti direttamente presso di Lei nell’ambito dell’abilitazione e dell’utilizzo del Servizio DRIV&PAY tramite l’App. I dati relativi alle operazioni di pagamento (ad es. esito della pre-autorizzazione e dell’addebito) sono inoltre generati nel corso dell’utilizzo del Servizio e sono trattati nell’ambito della filiera dei pagamenti. In particolare, la pre-autorizzazione dell’importo è gestita dall’acquirer, Nexi Payments S.p.A., e gli esiti delle operazioni dipendono anche dalle verifiche effettuate dall’istituto emittente della carta e/o, in caso di utilizzo di Apple Pay, dai soggetti che intervengono nel relativo processo di pagamento, quali autonomi titolari del trattamento, che rendono disponibili ai Contitolari i soli dati necessari alla gestione del Servizio, quali lo stato/esito dell’operazione (ad es. autorizzata/non autorizzata) e i riferimenti della transazione.

3. FINALITÀ E BASI LEGALI PER IL TRATTAMENTO DEI SUOI DATI PERSONALI
I Suoi Dati Personali, come sopra indicati, vengono trattati dai Contitolari per una o più delle seguenti finalità, sulla base del presupposto giuridico di volta in volta indicato:

a) Abilitazione, utilizzo e gestione del Servizio DRIV&PAY tramite App, comprensiva di gestione dell’accesso, anche tramite meccanismi di autenticazione del dispositivo (quali Face ID/Touch ID); configurazione e gestione dei metodi di pagamento; esecuzione delle operazioni di pagamento dei rifornimenti; gestione dello storico transazioni e invio del riepilogo via e-mail, ove richiesta; eventuale attivazione e gestione della fatturazione elettronica su richiesta dell’utente; gestione delle comunicazioni di servizio e di assistenza; prevenzione di utilizzi anomali e garanzia della sicurezza connesse al Servizio.
Per tali trattamenti, la base giuridica è rappresentata dalla necessità di dare esecuzione al contratto di cui Lei è parte e/o di eseguire misure precontrattuali adottate su Sua richiesta, ai sensi dell’art. 6, par. 1, lett. b) del GDPR.

b) Rilevamento del dato di ubicazione/geolocalizzazione del device (qualora abilitati sul dispositivo) per l’utilizzo del Servizio DRIV&PAY, finalizzato a consentire il riconoscimento automatico delle stazioni/punti vendita abilitati al Servizio e la visualizzazione e selezione dell’erogatore utilizzabile per il pagamento in App. La lista degli erogatori è infatti resa disponibile soltanto nel caso in cui la posizione dell’utente venga riconosciuta come presente su un punto vendita abilitato. Si precisa che il rilevamento della posizione è attivato e utilizzato esclusivamente nel momento in cui l’utente attiva la funzionalità DRIV&PAY (ad es. nella fase di riconoscimento del punto vendita e selezione dell’erogatore) e non viene utilizzato in modo continuativo e sistematico al di fuori di tale fase.
Il trattamento dei dati di ubicazione/geolocalizzazione avviene sulla base del Suo libero e specifico consenso, ai sensi dell’art. 6, par. 1, lett. a) e dell’art. 7 del GDPR, tenuto conto di quanto previsto dall’art. 126 del D.lgs. n. 196/2003 (“Codice Privacy”) e dall’art. 9 della Direttiva 2002/58/CE (“Direttiva e-Privacy”). Il conferimento dei dati di localizzazione è facoltativo; tuttavia, in mancanza del consenso e/o dell’attivazione della funzione di geolocalizzazione del device, i Contitolari potrebbero non essere in grado di fornire tutte le funzionalità di DRIV&PAY che richiedono il riconoscimento automatico delle stazioni abilitate e la selezione dell’erogatore.
È in ogni caso possibile in qualsiasi momento disattivare la raccolta dei dati di posizione da parte dell’App modificando le impostazioni del dispositivo relative ai servizi di geolocalizzazione.

Una volta conferiti, i Suoi Dati Personali potrebbero essere trattati anche per le seguenti ulteriori finalità:

c) per adempiere a obblighi previsti da leggi, regolamenti o normativa europea, nonché per dare seguito a disposizioni o richieste di Autorità competenti, organi di vigilanza e controllo o altri soggetti legittimati, cui i Contitolari sono tenuti a conformarsi. In tali casi, il trattamento è necessario per adempiere a un obbligo legale al quale sono soggetti i Contitolari, ai sensi dell’art. 6, par. 1, lett. c) del GDPR;
d) per soddisfare esigenze difensive dei Contitolari, tanto in sede giudiziale quanto nella fase stragiudiziale o precontenziosa (ad es. gestione di reclami, contestazioni o controversie sorte in relazione all’utilizzo del Servizio). In tali casi, il trattamento è effettuato per il perseguimento del legittimo interesse dei Contitolari alla tutela dei propri diritti e interessi, ai sensi dell’art. 6, par. 1, lett. f) del GDPR.

4. PER QUANTO TEMPO CONSERVIAMO I SUOI DATI PERSONALI
I Contitolari conserveranno i Suoi Dati Personali per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti e trattati, nel rispetto dei principi di minimizzazione e limitazione della conservazione di cui all’art. 5, par. 1, lett. c) ed e) del GDPR.
In particolare, i Dati Personali trattati per le finalità di cui al paragrafo 3, lett. a), saranno conservati per il tempo strettamente necessario all’esecuzione del contratto e alla gestione del Servizio, nonché per il periodo necessario all’adempimento di eventuali obblighi amministrativi, contabili e fiscali connessi e, in ogni caso, per i termini di conservazione previsti dalla normativa applicabile.
I Dati Personali relativi alla posizione/geolocalizzazione, trattati per la finalità di cui al paragrafo 3, lett. b), saranno trattati esclusivamente per il tempo strettamente necessario a consentire l’individuazione del punto vendita e la visualizzazione/selezione degli erogatori abilitati nel momento in cui Lei utilizza il Servizio e non saranno conservati per ulteriori periodi.
I Dati Personali trattati per le finalità di cui al paragrafo 3, lett. c), saranno conservati per il periodo di tempo previsto dallo specifico obbligo o dalla norma di legge applicabile.
Resta inteso che i Contitolari potranno conservare i Dati Personali per il tempo necessario ad accertare, esercitare o difendere un proprio diritto, in sede giudiziale o stragiudiziale e nelle fasi che precedono un eventuale contenzioso, in conformità ai termini di prescrizione applicabili.
Decorso il periodo di conservazione, i Dati Personali saranno cancellati ovvero resi in forma anonima in modo permanente e non reversibile, salvo che la loro ulteriore conservazione sia necessaria per obblighi di legge o per la tutela dei diritti dei Contitolari.
Per maggiori informazioni può contattare i Contitolari e/o il DPO ai recapiti indicati al successivo paragrafo 12 della presente informativa.

5. CON CHI POSSIAMO CONDIVIDERE I SUOI DATI PERSONALI
A integrazione di quanto già riportato nell’informativa privacy generale del Programma DRIV&, per i trattamenti di cui al Servizio DRIV&PAY i Suoi Dati Personali potranno essere condivisi anche con i soggetti indicati di seguito (anche definiti “Destinatari”)

  • persone autorizzate dai Contitolari al trattamento dei dati personali ai sensi degli artt. 29 del GDPR e 2-quaterdecies del Codice Privacy (ad es. il personale interno dei Contitolari addetto alla gestione dei sistemi informativi, alla gestione amministrativa e contabile, alla fatturazione, alla sicurezza del Servizio, ecc.);

  • soggetti che agiscono in qualità di Responsabili del trattamento ai sensi dell’art. 28 del GDPR, incaricati dai Contitolari per lo svolgimento di attività connesse all’erogazione del Servizio (a titolo esemplificativo: fornitori IT e di assistenza tecnica; fornitori coinvolti nella gestione della fatturazione elettronica; nonché il fornitore del servizio mobile gateway N&TS Group S.p.A. per la gestione tecnica dei dati delle carte e delle operazioni effettuate tramite il Servizio);

  • soggetti che operano quali autonomi titolari del trattamento nell’ambito della filiera dei pagamenti, nei limiti di quanto necessario a dare esecuzione alle operazioni richieste tramite l’utilizzo del Servizio (a titolo esemplificativo: Nexi Payments S.p.A., acquirer, per la gestione delle operazioni di pagamento, incluse pre-autorizzazioni e addebiti; banche/istituti emittenti e circuiti di pagamento; Apple in caso di utilizzo del metodo di pagamento Apple Pay, ecc.);

  • soggetti enti od autorità a cui sia obbligatorio comunicare i Suoi Dati Personali in forza di disposizioni di legge previste dal diritto dell’Unione Europea o da quello dello Stato membro cui sono soggetti i Contitolari, ovvero per seguito a una richiesta da questi validamente effettuata;

 

L’elenco completo dei Destinatari è disponibile, previa Sua richiesta, presso la sede dei Contitolari e ai recapiti indicati al paragrafo 8 nella presente Informativa Privacy, ai quali potrà anche essere richiesto l’elenco aggiornato dei Responsabili del trattamento.

6. TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI
Per tutte le informazioni relative ai trasferimenti di Dati Personali verso Paesi terzi (extra SEE) e/o organizzazioni internazionali, si rinvia a quanto indicato nel relativo paragrafo dell’informativa privacy generale del Programma DRIV&, disponibile sul sito Driveloyalty.it.
In ogni caso, Lei potrà contattare i Contitolari in qualunque momento, utilizzando i recapiti indicati al paragrafo 8 della presente Informativa Privacy, per conoscere i soggetti cui i Dati Personali possono essere comunicati e per ricevere copia delle garanzie adottate per l’eventuale trasferimento (ad es. decisioni di adeguatezza della Commissione europea e/o clausole contrattuali standard), ove applicabili.

7. I SUOI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI E IL SUO DIRITTO DI AVANZARE RECLAMI DINNANZI ALL’AUTORITÀ DI CONTROLLO
Per tutte le informazioni relative ai diritti dell’interessato ai sensi degli artt. 15 e ss. del GDPR (tra cui, a titolo esemplificativo, accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) nonché al diritto di proporre reclamo all’Autorità di controllo competente, si rinvia a quanto indicato nel relativo paragrafo dell’informativa privacy generale del Programma DRIV&, disponibile sul sito Driveloyalty.it.

8. CONTATTI DEI CONTITOLARI E DEL RELATIVO RESPONSABILE DELLA PROTEZIONE DEI DATI / DATA PROTECTION OFFICER (“DPO”)
Lei potrà in ogni momento contattare i Contitolari al seguente indirizzo e-mail, individuato quale punto di contatto unico per l’esercizio dei Suoi diritti: privacy@italianapetroli.it, o ai seguenti indirizzi e-mail:

 

A tal proposito, i Contitolari la informano che potrà in ogni caso esercitare i Suoi diritti nei confronti di e/o contro ciascun Contitolare, contattando gli indirizzi di posta elettronica certificata sopra indicati oppure inviando la sua richiesta/segnalazione attraverso il form dedicato, nella sezione “Scrivici” del seguente sito web: Privacy – Scrivici – Contatti e assistenza Gruppo api.

Download App