Informazioni rese ai sensi degli artt. 13 e 14 del GDPR UE 2016/679 – GDPR – Clienti

1. Titolare e Responsabile del trattamento dei dati personali

Gelsia S.r.l., con sede legale in via Palestro, 33 – 20831 – Seregno (MB), in qualità di Titolare del trattamento (di seguito “Gelsia” o “Titolare”), tratterà i suoi dati personali in conformità a quanto stabilito dalla normativa applicabile in materia di protezione dei dati personali e dalla presente informativa.

Dati di contatto: 0362 2251 – e-mail privacy@gelsia.it

Il Titolare ha nominato un Responsabile della protezione dei dati personali (RPD) che può essere contattato via e-mail al seguente indirizzo di posta elettronica dpo@gelsia.it.

2. Fonte da cui hanno origine i dati personali

I dati personali trattati dal Titolare, necessari all’esecuzione del contratto, sono da lei direttamente conferiti ovvero legittimamente raccolti e il mancato conferimento impedisce di dar corso al rapporto contrattuale.

3. Categorie di dati trattati

Sono trattate le seguenti categorie di dati:
– dati identificativi e anagrafici (es. nome, cognome, codice fiscale, indirizzo, data e luogo di nascita);
– dati di contatto (es. numeri di telefono, fisso e/o mobile, indirizzo e-mail);
– dati relativi alla fornitura (es. tipologia fornitura, POD, consumi);
– dati bancari (es. IBAN);
– informazioni sulla solvibilità (es. solleciti, insoluti, calcolo interessi, piani di rientro);
– informazioni creditizie (richiesta/rapporto di credito, tipologia di contratto, importo del credito, modalità di rimborso e dello stato della richiesta);
– dati finanziari relativi ai pagamenti al loro andamento periodico, all’esposizione debitoria anche residua e allo stato contabile del rapporto;
– dati relativi ad attività di recupero del credito o a contenziosi;
– altri dati riconducibili alle categorie sopra indicate (es. dati catastali).

4. Finalità del trattamento e base giuridica

Ai sensi del Regolamento UE 2016/679, il trattamento delle informazioni personali è improntato ai principi di correttezza, liceità, trasparenza e di tutela della riservatezza. I dati personali sono trattati per le seguenti finalità:
a) finalità strettamente connesse e strumentali alla gestione dei rapporti contrattuali e pre-contrattuali con l’Interessato (ad es.: acquisizione di informazioni preliminari alla conclusione dei contratti, esecuzione di operazioni sulla base degli obblighi derivanti dal contratto concluso con l’interessato, per la fatturazione e il recapito delle fatture anche tramite agenzia di recapito, per l’esazione delle morosità, per l’invio di supporti informatici alle banche e per le indagini necessarie per valutare il grado di soddisfazione della clientela, per esigenze amministrative);
b) finalità di controllo dei rischi derivanti dalla gestione e dall’esecuzione dei contratti con l’interessato;
c) finalità di verifica della solvibilità e della valutazione del merito creditizio, dei Clienti o potenziali Clienti di Gelsia, in fase di sottoscrizione o nel corso del rapporto contrattuale (anche al fine di prevenire eventuali frodi connesse ai prodotti e servizi prestati).
d) finalità di marketing, ossia invio di materiale pubblicitario, vendita diretta, ricerche di mercato o comunicazione commerciale di prodotti e/o servizi offerti da Gelsia. Tale attività potrà essere eseguita mediante l’invio di materiale pubblicitario, promozionale o commerciale e/o di inviti di partecipazione ad iniziative, programmi fedeltà, concorsi e/o operazioni a premi effettuate con modalità “tradizionali” (a titolo esemplificativo posta cartacea e/o chiamate con operatore), ovvero mediante modalità di contatto “automatizzate” (a titolo esemplificativo e-mail, SMS, servizi di instant messaging);
e) finalità di analisi delle abitudini e scelte di consumo (profilazione a scopo marketing), con l’obiettivo di offrire prodotti e servizi personalizzati;
f) finalità connesse agli obblighi imposti da leggi, da regolamenti e dalla normativa comunitaria o dalle Delibere settoriali vigenti dell’Autorità di Regolazione per Energia, Reti e Ambiente – ARERA e per finalità civilistiche, contabili e fiscali. I dati personali saranno altresì utilizzati ai fini dell’addebito del Canone RAI in bolletta;
g) difendere un diritto in sede giudiziaria e prevenire e/o individuare eventuali attività fraudolente;
h) svolgere attività di manutenzione ed implementazione dei sistemi informatici;
i) inviare comunicazioni commerciali finalizzate alla promozione e/o alla vendita diretta di prodotti o servizi analoghi a quelli acquistati o fruiti dall’Interessato, utilizzando le coordinate di posta elettronica indicate in tali occasioni e i recapiti di posta cartacea forniti dall’Interessato, fermo restando il diritto dell’Interessato di opporsi in qualsiasi momento con le modalità riportate in calce alla comunicazione o ai recapiti indicati al successivo paragrafo “Diritti degli Interessati” per l’esercizio dei diritti di cui agli artt. 15 e ss. del Regolamento UE 2016/679 (c.d. “soft spam”).

La base giuridica che giustifica il trattamento è costituita:

– per le finalità di cui alle lettere a) ed h) dall’esecuzione di un contratto di cui l’interessato è parte o dall’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lett. b) Regolamento UE 2016/679);
– per la finalità di cui alla lettera f) dall’adempimento di un obbligo legale al quale il Titolare è soggetto (art. 6, par. 1, lett. c), Regolamento UE 2016/679);
– per le finalità di cui alla lettera b), c), g), i), dal perseguimento del legittimo interesse del Titolare (art. 6, par. 1, lett. f), Regolamento UE 2016/679);
– per le finalità di cui alla lettera d) ed e) dal consenso liberamente espresso dell’interessato (art. 6, par. 1, lett. a), Regolamento UE 2016/679);

5. Trattamento di analisi del merito creditizio e affidabilità nei pagamenti

Prima o nel corso del rapporto contrattuale i suoi dati personali – in conformità a quanto rappresentato dal Garante della Privacy con Provvedimento n° 9141941 del 12/09/2019 – potrebbero essere trattati anche per la valutazione dei rischi di credito e prevenzione delle frodi, tramite l’analisi della sua affidabilità e puntualità nei pagamenti. Tale valutazione (credit scoring) viene elaborata da un sistema informatico ed è utilizzata per la decisione in merito all’eventuale attivazione di un contratto.

Le informazioni sopra citate provengono da:
– fonti pubbliche (visure e/o atti camerali, registro informatico dei protesti e atti pregiudizievoli, presenti nelle banche dati di CRIF S.p.A.);
– SIC EURISC (numero di rapporti di credito in corso a lei riferiti e numero di soggetti “partecipanti” al SIC con i quali ha in essere un rapporto di credito).

Le logiche di funzionamento del SIC EURISC, sono definite dal relativo gestore al quale può rivolgersi per ottenere maggiori informazioni di dettaglio. Il gestore del SIC è CRIF S.p.A. con sede legale in Bologna, via Fantin n. 1-3, Registro imprese Bologna, Codice Fiscale e Partita IVA n. 02083271201; le informative privacy rese dal gestore del SIC sono disponibili all’indirizzo https://www.crif.it/consumatori/. Il trattamento in oggetto è svolto sulla base del legittimo interesse del Titolare.
I dati sono trattati da CRIF S.p.A. anche mediante l’impiego di tecniche e sistemi di credit scoring che utilizzano diverse tipologie di fattori (a titolo esemplificativo e non esaustivo numero e caratteristiche dei rapporti di credito in essere, andamento e storia dei pagamenti dei rapporti in essere o estinti, eventuale presenza e caratteristiche delle nuove richieste di credito, storia dei rapporti di credito estinti, etc.) che consentono di ottenere, attraverso l’applicazione di metodi e modelli statistici, risultati espressi in forma giudizi sintetici, indicatori numerici o punteggi, diretti a fornire una rappresentazione in termini predittivi o probabilistici, del profilo di rischio, affidabilità o puntualità nei pagamenti dell’interessato.

6. Natura del conferimento e conseguenze di un eventuale rifiuto

Il conferimento dei dati personali è obbligatorio e indispensabile per perseguire le finalità del trattamento indicate al precedente paragrafo 4, lettere a), b), c), f), g), h). Il mancato conferimento e trattamento dei dati dell’Interessato comporterebbe infatti l’impossibilità di adempiere agli obblighi derivanti dal contratto.
Il conferimento dei dati personali per le sole finalità di marketing e profilazione è facoltativo. Il mancato conferimento non impedisce di dar corso al rapporto contrattuale, ma preclude al Titolare la possibilità di inviare comunicazioni di natura commerciale.

7. Modalità di trattamento

Il trattamento è effettuato dal personale autorizzato nell’espletamento delle proprie attività, con o senza l’ausilio di strumenti elettronici, secondo principi di liceità e correttezza in modo da tutelare in ogni momento la riservatezza e i diritti dell’Interessato.
Nel periodo di vigenza della normativa in materia, i dati personali raccolti per la fornitura dell’energia elettrica sono utilizzati, in base alla tipologia di tariffa applicata (residente/non residente), anche ai fini dell’individuazione dell’intestatario del canone di abbonamento RAI e del relativo addebito in bolletta che, in casi di tariffa residente, avviene in modo automatico.
Le attività di marketing possono essere realizzate attraverso modalità di contatto tradizionali, quali posta cartacea e telefonate con operatore, o con modalità di contatto automatizzate, quali e-mail, SMS.

8. Periodo di conservazione dei dati

I suoi dati saranno conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati ed in particolare:
– i dati necessari alla gestione del contratto verranno cancellati decorsi 10 anni dalla cessazione del rapporto contrattuale o servizio prestato;
– i dati trattati per esclusive finalità di marketing (non strettamente necessari alla gestione del contratto) saranno conservati per 24 mesi dalla raccolta/aggiornamento del dato e, in ogni caso, dall’ultima prestazione eseguita in favore del Cliente;
– i dati trattati per esclusive finalità di profilazione, previo suo apposito consenso, saranno conservati per 24 mesi dalla raccolta degli stessi;
– i dati relativi allo scoring sintetico del merito creditizio assegnato da CRIF S.p.A. sono conservati per un periodo di 30 giorni dall’elaborazione del dato.

9. Categorie di soggetti a cui possono essere comunicati i dati

I dati personali relativi al trattamento possono essere comunicati per le finalità di cui sopra a:
a) soggetti, anche esterni, che intervengono nell’effettuazione di prestazioni strettamente necessarie per l’esecuzione dei rapporti contrattuali esistenti con l’interessato (a titolo esemplificativo: società controllanti, controllate e collegate, società distributrici di gas e/o energia elettrica e/o energia termica competenti per il territorio per gli adempimenti e attività previste dall’ARERA, banche, istituti bancari, intermediari finanziari, assicurazioni, studi legali, studi commercialisti, agenzie di lettura, agenzie di stampa e imbustamento, agenzie di consegna, società appaltatrici di servizi, ecc.);
b) soggetti (a titolo esemplificativo: Agenzie), nominati responsabili del trattamento, ai quali Gelsia ha affidato i compiti di promozione e relativa assistenza alla clientela per agevolare la conclusione di rapporti contrattuali con il Titolare;
c) soggetti che intervengono per il controllo e l’ottimizzazione delle attività di Gelsia (a titolo esemplificativo: società certificazione di bilancio, controllo sistema di qualità, organismi di vigilanza, consulenti, ecc.), per il controllo del rischio finanziario e delle frodi, per il recupero cessione e tutela dei crediti, per perseguire un legittimo interesse del titolare;
d) enti pubblici per le comunicazioni e gli adempimenti di legge, di regolamento, di normativa comunitaria (a titolo esemplificativo: Camere di Commercio, Regione, Comuni, Autorità di settore, ecc.).
Tali soggetti agiranno a seconda dei casi come Titolari o Responsabili del trattamento.
I suoi dati, in ogni caso, non verranno diffusi (messi a disposizione di soggetti indeterminati).

10. Trasferimento dati personali ad un paese terzo

I suoi dati personali saranno trattati all’interno dello Spazio Economico Europeo (“SEE”). Qualora si rendesse necessario in via eccezionale il trasferimento dei suoi dati personali al di fuori dello SEE, tale trasferimento avverrà sulla base di una decisione di adeguatezza della Commissione Europea, se applicabile, o in presenza delle adeguate garanzie richieste dal GDPR.

11. Diritti dell’Interessato

Ai sensi degli artt. 15 – 22 del GDPR, in relazione ai dati personali trattati, i soggetti Interessati, hanno il diritto di chiedere al Titolare del trattamento:
– la conferma che sia o meno in corso un trattamento di Suoi dati personali e, in tal caso, di ottenerne l’accesso (diritto di accesso);
– la rettifica dei dati personali inesatti o l’integrazione dei dati personali incompleti (diritto di rettifica);
– la cancellazione dei dati stessi se sussiste uno dei motivi previsti dal Regolamento Privacy (diritto all’oblio);
– la limitazione del trattamento quando ricorre una delle ipotesi previste dal Regolamento Privacy (diritto di limitazione);
– di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali da Lei forniti al Titolare e di trasmettere tali dati a un altro Titolare del trattamento (diritto alla portabilità);
– di opporsi in qualsiasi momento al trattamento eseguito per il perseguimento di un legittimo interesse del titolare e per finalità di marketing e profilazione (diritto di opposizione);
– di revocare l’eventuale consenso al trattamento dei Suoi dati, in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

Il consenso rilasciato per lo svolgimento di attività di marketing con modalità di contatto automatizzate (a titolo esemplificativo e-mail, SMS, servizi di instant messaging) si estende anche alle modalità di contatto tradizionali (posta cartacea o chiamata telefonica con operatore). Analogamente, l’opposizione allo svolgimento di attività di marketing con modalità di contatto automatizzate si estende anche alle modalità di contatto tradizionali.

Per esercitare i diritti di cui sopra l’Interessato potrà rivolgersi al Titolare del trattamento dei dati personali al seguente indirizzo di posta elettronica privacy@gelsia.it. In alternativa, l’Interessato potrà contattare il Responsabile della protezione dei dati personali (RPD) al seguente indirizzo e-mail dpo@gelsia.it.

Ha il diritto di presentare un reclamo all’autorità di vigilanza sulla protezione dei dati, in particolare nello Stato dell’UE dove risiede. In Italia l’autorità di vigilanza è il Garante per la Protezione dei dati Personali con sede in Piazza Venezia, n. 11, Roma (00187), www.gpdp.it – www.garanteprivacy.it, telefono 06-696771, E-mail: protocollo@gpdp.it oppure protocollo@pec.gpdp.it