BANCA POPOLARE DI SONDRIO, società per azioni con sede in Sondrio, in qualità di Titolare del trattamento, Piazza Garibaldi 16 (di seguito "Banca"), e-mail: info@popso.it, telefono: (0342) 528.111, fornisce le seguenti informazioni concernenti il trattamento dei dati personali effettuato mediante l'uso di sistemi di videosorveglianza in occasione degli accessi e della permanenza nelle filiali, nelle sedi della Banca, o in spazi da questa allestiti e/o gestiti in via temporanea (di seguito "locali della Banca").I dati di contatto del Responsabile della Protezione dei dati (DPO o RPD) di Banca Popolare di Sondrio sono: indirizzo: Piazza Garibaldi, 16 - 23100 Sondrio (SO), E-mail responsabileprotezionedati@popso.it; PEC responsabileprotezionedati@pec.popso.it.
A tale riguardo, a completamento dell'informativa resa in forma semplificata per mezzo degli appositi cartelli esposti all'esterno dei locali della Banca, conformemente al modello fornito dal Comitato europeo per la protezione dei dati (EDPB) e dal Garante Privacy, si rappresenta quanto segue:
* Categorie di dati trattati
L'immagine del soggetto interessato registrata tramite i sistemi di videosorveglianza a circuito chiuso in funzione presso i locali della Banca (di seguito "dati" o "immagini").
* Finalità del trattamento e base giuridica
I. I dati raccolti tramite gli impianti di videosorveglianza sono trattati per le seguenti finalità:
a) sicurezza sui luoghi di lavoro (protezione dell'incolumità dei dipendenti e degli utenti);
b) esigenze organizzative, produttive e di tutela del patrimonio aziendale rispetto a possibili furti, rapine, danneggiamenti o atti di vandalismo.
La condizione che rende lecito il trattamento (base giuridica) è il legittimo interesse della Banca ai sensi dell'art.6, par.1, lett. f) del GDPR.
II. I dati vengono trattati, entro limiti rigorosi, anche per adempiere agli obblighi di cooperazione con le Autorità che la normativa nazionale e comunitaria impone al Titolare del trattamento (per es. in fase di indagini).
La condizione che rende lecito il trattamento, in questa ipotesi, è un obbligo legale di cui all'art.6, par.1, lett. c) del GDPR.
* Periodo di conservazione
I dati vengono registrati e conservati su supporti durevoli (ottici o magnetici) per il periodo strettamente necessario al raggiungimento delle finalità indicate, comunque non superiore a una settimana.
Un termine di conservazione più lungo può dipendere dalla necessità di eseguire una specifica richiesta investigativa dell'Autorità Giudiziaria o della Polizia giudiziaria. Di norma, tale richiesta è successiva all'evento in relazione al quale sussistono le necessità di indagine.
Al termine del periodo di conservazione, i dati vengono cancellati da ogni supporto, anche mediante tecniche di sovrascrittura, in modo da renderli non più recuperabili. La cancellazione avviene automaticamente. I dati che venissero eventualmente consegnati all'Autorità sono soggetti a termini di conservazione e modalità di trattamento diversi e/o ulteriori rispetto a quelli sopra indicati, poiché sono disciplinati da altra normativa e comunque ciò esula dalla responsabilità della Banca.
* Conferimento dei dati
Il conferimento dei dati è necessario per il perseguimento della finalità sopra esposta. L'eventuale rifiuto di fornire i dati comporta l'oggettiva impossibilità di accedere ai locali della Banca.
* Soggetti cui potrebbero essere comunicati i dati personali
I dati possono essere comunicati a soggetti operanti in qualità di Titolari autonomi del trattamento, quali a titolo esemplificativo: Autorità di vigilanza e controllo ed ogni soggetto pubblico legittimato a richiedere i dati, come l'Autorità giudiziaria e/o di pubblica sicurezza.
Per conto del Titolare, i dati potranno essere trattati anche da soggetti designati quali Responsabili del trattamento, fra i quali, a titolo esemplificativo, la società che si occupa di servizi di manutenzione del sistema di videosorveglianza, le società che svolgono il servizio di vigilanza e le società che svolgono il servizio di custodia.
L'elenco completo dei Responsabili del trattamento designati è disponibile contattando il Titolare ai recapiti indicati.
* Soggetti autorizzati al trattamento
I dati potranno essere trattati dai dipendenti della Banca che sono stati espressamente autorizzati o designati quali Referenti interni del trattamento ed hanno ricevuto, al riguardo, adeguate istruzioni operative.
* Trasferimento dei dati personali in paesi non appartenenti all'unione europea
I dati personali non saranno diffusi, né trasferiti in Paesi extra-UE.
* Diritti dell'interessato
Rivolgendosi alla filiale presso la quale sono state effettuate le registrazioni oppure, contattando per iscritto il Presidio operativo per la protezione dei dati personali - c/o Ufficio Gestione e protezione dati - Piazza Garibaldi, 16 - 23100 Sondrio (SO), o anche per via telematica: e-mail privacy@popso.it, gli interessati possono (previa esibizione o allegando alla richiesta idonei documenti di riconoscimento) esercitare i diritti di cui agli artt. 15-22 del GDPR, ed in particolare:
* il diritto di accesso: diritto di ottenere dal Titolare la conferma che i loro dati siano trattati o meno e, in caso affermativo, il diritto di ottenere tutte le informazioni di cui all'art. 15, di richiedere la visione delle immagini in cui ritengono di essere stati ripresi e di ottenere una copia delle stesse, laddove ciò non pregiudichi i diritti e le libertà altrui. Resta inteso che, decorsi i tempi di conservazione sopra indicati, sarà impossibile soddisfare la richiesta di accesso;
* il diritto di opporsi al trattamento: diritto di ottenere dal Titolare, per motivi relativi alla situazione particolare dell'interessato, l'interruzione del trattamento qualora il Titolare non dimostri la sussistenza di validi motivi legittimi prevalenti rispetto ai diritti e alle libertà dell'interessato;
* il diritto alla limitazione del trattamento e/o alla cancellazione dei dati, ove applicabili.
Non è in concreto esercitabile il diritto di aggiornamento o integrazione, nonché il diritto di rettifica di cui all'art. 16 GDPR, in considerazione della natura intrinseca dei dati trattati (immagini raccolte in tempo reale e registrate). Non è esercitabile il diritto alla portabilità dei dati di cui all'art. 20 GDPR, in quanto il trattamento è effettuato in esecuzione di un legittimo interesse del Titolare.
L'interessato potrà richiedere di visionare le immagini in cui ritiene di essere stato ripreso esibendo o allegando alla richiesta idonei documenti di riconoscimento. La risposta ad una richiesta di accesso non potrà comprendere eventuali dati riferiti a terzi, a meno che la scomposizione dei dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi all'interessato. Decorsi i termini di conservazione sopra indicati, sarà impossibile soddisfare la richiesta di accesso.
Gli interessati hanno altresì il diritto di proporre reclamo all'Autorità di controllo competente.