PRIVACY - INFORMATIVA sulla protezione dei dati personali (ai sensi art. 13 D.Lgs. 196/03)

NOTA. Al fine di facilitare lettura e comprensione i contenuti del presente documento sono stati suddivisi in capitoli. Inoltre, è
stato utilizzato un linguaggio il più possibile chiaro - anche mediante esempi - e si è limitato il ricorso a termini tecnici.

Questo documento descrive i trattamenti di dati personali che avvengono sul sito Internet www.popso.it al
quale Lei è attualmente collegato, e anche quelli che avvengono sui dati ivi raccolti. Per "trattamenti" si intende l'uso che si fa
dei dati a Lei riferiti o riferibili, e anche la descrizione delle informazioni raccolte.

L'informativa non comprende i trattamenti effettuati sui siti ai quali si può giungere mediante collegamenti ipertestuali
presenti su questo sito Internet (si tratta dei "link" sui quali si clicca col mouse). Sono esclusi anche i siti il cui contenuto
viene eventualmente visualizzato attraverso il nostro mediante tecniche che lo fanno apparire un tutt'uno (es. "framing",
banner, applet java, web-services, finestre pop-up).

A seconda dell'operazione da Lei compiuta o del servizio da Lei richiesto mentre si trova sul sito, vengono effettuati
trattamenti in modalità automatica oppure condizionati a un Suo preventivo consenso, al solo fine di permettere di effettuare
l'operazione o erogare il servizio richiesto, salvo quando diversamente ed espressamente specificato. In nessun caso vengono
raccolti e/o trattati dati che la legge classifica come "sensibili".

Alcuni trattamenti sono automatici e avvengono non appena ci si collega al sito. Tali trattamenti comprendono la registrazione
e la conservazione di informazioni che riguardano la connessione Internet. In particolare, la registrazione riguarda l'indirizzo
IP assegnato al computer col quale ci si sta collegando, la data e l'ora in cui avviene la connessione e la pagina del sito (e le
sue componenti: immagini, ecc.) che viene visualizzata.
Tutte queste informazioni - registrate e conservate nel cosiddetto "LOG del sistema" - non permettono di risalire alla Sua
identità ma solamente di individuare in modo univoco il computer tramite il quale Lei si sta collegando.
A seconda del tipo di collegamento (con modem analogico, linea ISDN, linea ADSL e similari, linea dedicata, ecc.) l'indirizzo IP
cambia ogni volta oppure resta uguale. In ogni caso non viene registrato il numero telefonico, poiché tale informazione non ci
perviene.
Benché sia vero che ci è impossibile risalire alla Sua identità, è altrettanto vero che ciò è invece possibile per altri soggetti,
mediante incrocio delle nostre informazioni con altre fonti. Infatti l'Autorità Giudiziaria può chiederci - in forza dei poteri di
indagine che la Legge gli conferisce nel caso di reati procedibili a querela di parte o d'ufficio - una copia delle registrazioni (il
"LOG", vedi sopra); può poi chiedere al gestore telefonico il tabulato dei numeri chiamanti/chiamati e così, mediante opportuni
confronti, è possibile risalire al numero telefonico cui corrisponde una specifica connessione Internet e, di conseguenza,
conoscere il nome dell'intestatario dell'utenza telefonica.
I dati contenuti nel LOG vengono utilizzati per effettuare statistiche anonime e per controllare il corretto funzionamento dei
sistemi, nel principale interesse di chi si collega e al fine di offrire un servizio sempre migliore.

Un altro trattamento automatico consiste nella registrazione sul Suo computer di una serie di informazioni atte a gestire
particolari preferenze di navigazione, rendere più sicuro il collegamento, oppure migliorare la fruizione dei contenuti (es.
suggerimenti che facilitano l'individuazione di pagine aventi contenuto similare, potenzialmente interessanti). Tali
informazioni - in gergo tecnico: "Cookies" - restano sul Suo computer per un certo periodo di tempo (a seconda dei casi: fino
al termine del collegamento, per un certo numero di giorni, fino a una certa data, ecc.).

A titolo di esempio, citiamo il caso del nostro Servizio di home banking SCRIGNOInternet Banking. Il servizio deve evitare dichiedere nuovamente la password ad ogni singola richiesta di una funzione dal menu di servizio, nell'ambito di una singola
sessione di lavoro che va dal momento in cui è stato effettuato il collegamento al momento in cui questa viene terminata
cliccando sul pulsante "Esci" (oppure, in mancanza di ciò, trascorso un tempo limite, che comunque termina la sessione per
motivi di sicurezza). Per mantenere l'associazione temporanea, nell'ambito della sessione di lavoro, fra il computer in uso e
l'utente scrigno, viene registrato sul Suo computer un cookie "di sessione", che non contiene dati personali ma un codice
univoco identificativo della sessione in corso, al quale può accedere solamente il servizio di home banking.

Diverso è il caso dei cookie "permanenti", che possono restare registrati sul Suo computer anche terminata la sessione di
lavoro. Il nostro servizio SCRIGNOInternet Banking, sempre a titolo di esempio, fa uso di questo tipo di cookie per registrarviun codice identificativo del Suo computer (un codice che non contiene alcun dato personale). Tale codice permette al sistema
di sicurezza del servizio di valutare con maggior precisione la rischiosità del collegamento, ad esempio valutando in modo
differente un PC normalmente utilizzato rispetto a un PC che viene utilizzato per la prima volta (per esempio da un Internet
Cafè o presso terzi).

Altri trattamenti sono condizionati a un Suo esplicito comportamento. Rientra in questa categoria la visualizzazione dei
contenuti in modalità adatta alle persone disabili (cd. opzione "Alta visibilità"). Il sistema registra un cookie permanente
quando Lei attiva la predetta opzione.

Infine, altri trattamenti sono condizionati a un Suo esplicito consenso previa specifica informativa. Ad esempio, uno dei Siti
gestiti dalla Banca Popolare di Sondrio consente di inviare contributi che potrebbero essere pubblicati lì o altrove (un po' come
le "lettere al direttore" che chiunque può mandare al giornale preferito). In tali casi desideriamo ringraziare chi ci invia tali
contributi ma vorremmo farlo non in forma anonima con un generico e impersonale "Grazie", soprattutto quando dal
contributo potrebbero nascere ulteriori forme di collaborazione. Ecco dunque che viene richiesto l'inserimento del nominativo
e dell'indirizzo, sia postale che di posta elettronica. Naturalmente in quel contesto viene prima fornita sia la specifica
informativa (ossia, cosa stiamo chiedendo e perché) e sia un esplicito consenso che si sostanzia nella spunta di una casella
seguita dal click su un pulsante di conferma.

La normativa in materia di protezione dei dati personali (Decreto Legislativo n. 196/2003) prevede l'obbligo di fornirLe anche
altre informazioni, di seguito indicate.
Alcune possono essere di difficile comprensione se riferite a questo specifico contesto. Nel caso, ci scusiamo anticipatamente e
restiamo disponibili per eventuali chiarimenti che saremo lieti di fornirLe se ci contatterà all'indirizzo privacy@popso.it .

Per "conferimento" s'intende fornirci un dato specifico o permettere che ne veniamo a conoscenza (es. l'indirizzo IP, oppure il
Suo nome).
Il conferimento può essere "esplicito", come avviene - a titolo di esempio - quando Le chiediamo nome e indirizzo per poterla
eventualmente ricontattare.
Può essere "implicito" nel caso delle informazioni di navigazione: tali informazioni vengono registrate per effetto del semplice
collegamento al sito.
Nel caso di conferimento esplicito, Lei può naturalmente rifiutarlo e ciò potrà - eventualmente - impedire solamente la
fruizione dello specifico servizio collegato all'informazione (nell'esempio appena enunciato, non potremmo ricontattarla). Nel
caso di conferimento implicito, è possibile bloccarlo mediante l'opportuna regolazione di alcuni parametri di configurazione del
Suo computer o del browser, oppure tramite installazione di appositi software (es. programmi che cancellano i cookies).
In tali casi, potrebbe risultare scomodo, difficoltoso o impossibile visualizzare alcune pagine del sito oppure consultare specifici
contenuti o fruire dei servizi richiesti o cui si ha comunque diritto in forza di un contratto stipulato in precedenza con la
banca.

Titolare del trattamento la Banca Popolare di Sondrio. Responsabile del trattamento c/o Banca Popolare di Sondrio - Ufficio
Privacy - Piazza Garibaldi, 16 - 23100 Sondrio (SO), e-mail privacy@popso.it.

I trattamenti si svolgono principalmente sui server (particolari tipologie di computer) che ospitano i siti, o comunque su
computer di proprietà della Banca Popolare di Sondrio.
Le apparecchiature si trovano presso il centro elaborazione dati di Sondrio, ma non ne è escluso il trasferimento - temporaneo
o permanente - presso altri luoghi nell'ambito di eventuali decisioni di avvalersi di servizi di housing. In ogni caso tutti i
server si trovano attualmente in Italia e non è previsto il loro trasferimento all'estero.

Nel ricordare che per "diffusione" si intende fornire i dati a una pluralità indeterminata di terzi, assicuriamo che i dati raccolti
su questo sito NON vengono diffusi. Ciò vale anche per quelli ottenuti da ulteriori elaborazioni. Quanto alla comunicazione
(ossia: fornire i dati a specifici terzi), di norma non avviene. Nei rari casi in cui viene effettuata Le forniremo un'esplicita
informazione in tal senso prima che ciò avvenga, salvo il caso in cui si debba rispettare un obbligo di legge (ad es. richieste
dell'Autorità Giudiziaria) oppure qualora la comunicazione sia fatta nel Suo stesso interesse (ad es. se dovessimo ricontattarla
tramite posta ordinaria è evidente che le Poste Italiane verrebbero a conoscenza del Suo indirizzo, e lo stesso accadrebbe se ci
servissimo di un corriere privato).

I dati sono conservati in luoghi sicuri e protetti sia da danni ambientali e sia da accessi abusivi.
Gli unici autorizzati sono i componenti dell'Unità Organizzativa della banca che assicura il funzionamento del servizio, e anche
il personale tecnico che cura la manutenzione ordinaria e straordinaria dei sistemi. Quest'ultimo opera comunque sotto la
diretta supervisione di nostro personale qualificato.

L'"interessato" è Lei, ossia la persona fisica cui si riferiscono o sono riferibili le informazioni scambiate attraverso questo
collegamento Internet, conferite in modo "esplicito" o "implicito".
L'art. 7 del D.Lgs. 196/03 Le attribuisce alcuni diritti fra i quali quello di far cancellare i dati che La riguardano, farli
correggere se errati o non più aggiornati, sapere da chi li abbiamo avuti, sapere cosa ne facciamo, opporsi al loro utilizzo a
scopo pubblicitario.
In alcuni casi l'esercizio di alcuni diritti è all'atto pratico impossibile, come nel caso dei dati relativi alla connessione Internet,
poiché i dati in nostro possesso non permettono di identificare nessuno se non tramite un incrocio con altri dati (es. quelli di
Telecom) cui non possiamo avere accesso. L'esercizio dei suddetti diritti è libero ma dovremo prima accertarci della Sua
identità. Pertanto, La informiamo che dovrà inviarci una richiesta datata, sottoscritta e munita della fotocopia di un documento
di identità in corso di validità.