Premessa

La presente informativa è resa da Master Mind NPL 114 S.r.l., con sede legale in Via Fra’ Paolo Sarpi 46/A, 35138 Padova (PD) (di seguito, la “Società” o il “Responsabile”), ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”), in relazione alle attività di gestione e recupero di crediti in sofferenza svolte per conto dei rispettivi titolari del trattamento.

La Società opera infatti quale Responsabile del trattamento ai sensi dell’art. 28 GDPR, in forza di specifici accordi contrattuali con gli acquirenti dei crediti in sofferenza o con altri mandanti che rivestono la qualifica di Titolari del trattamento.

Titolare del trattamento

Il Titolare del trattamento è l’acquirente del credito o il soggetto mandante che ha affidato alla Società la gestione della posizione debitoria.

I dati identificativi e i riferimenti del Titolare sono indicati nelle comunicazioni inviate all’interessato (ad es. lettera di cessione o comunicazione di affidamento in gestione).

Master Mind NPL 114 S.r.l. tratta i dati personali esclusivamente per conto del Titolare e nel rispetto delle istruzioni da questi impartite.

Il Responsabile della Protezione dei Dati (DPO) della Società è: Avv. Luigi Ciccarese – PEC: luigi.ciccarese@ordineavvocatipadova.it.

Tipologia di dati trattati

Nell’ambito delle attività svolta per conto del titolare, la Società può trattare:

• Dati identificativi e anagrafici (nome, cognome, data e luogo di nascita, codice fiscale, residenza, recapiti telefonici ed email);
• Dati economici, finanziari e creditizi (rapporti contrattuali, posizioni debitorie, insoluti, pagamenti, piani di rientro, rinegoziazioni);
• Dati contabili e documentazione amministrativa connessa alle posizioni gestite;
• Dati transazionali e bancari, anche ai fini degli obblighi di conformità normativa;
• Dati contenuti nei reclami e nelle comunicazioni formali presentate dagli interessati.

I trattamenti potranno essere effettuati sia mediante supporti elettronici sia in formato cartaceo, secondo logiche strettamente correlate alle finalità sopra indicate e nei limiti strettamente necessari all’esecuzione dell’attività di gestione dei crediti affidati.

Origine dei dati personali

I dati I dati personali trattati dalla Società nell’ambito dell’attività di gestione dei crediti in sofferenza provengono, in via principale, dal Titolare del trattamento (acquirente del credito o mandante), che trasmette i dataset relativi alle posizioni debitorie oggetto di gestione, comprensivi di dati anagrafici, fiscali, contrattuali, economici e contabili.

Nel corso della gestione dei crediti, la Società può inoltre acquisire ulteriori dati personali riferiti ai medesimi interessati (debitori, garanti, coobbligati o altri soggetti coinvolti nel rapporto) da fonti ulteriori, quali:

• soggetti terzi autorizzati che forniscono informazioni strumentali alla gestione della posizione (ad esempio informazioni provenienti da pubblici registri, banche dati legittimamente accessibili, informazioni catastali o recapiti);
• direttamente dagli interessati o dai loro rappresentanti (quali avvocati, consulenti o delegati), nel corso delle interlocuzioni, della definizione di piani di rientro o della gestione di reclami;
• soggetti coinvolti a vario titolo nella posizione debitoria (ad esempio coobbligati, eredi o garanti), limitatamente ai dati pertinenti e necessari.

In ogni caso, i dati acquisiti riguardano esclusivamente informazioni pertinenti alla posizione debitoria oggetto di gestione e sono trattati dalla Società per conto del Titolare e nel rispetto delle istruzioni da questo impartite, nonché in conformità agli artt. 13 e 14 del GDPR.

Finalità e basi giuridiche del trattamento

I dati personali sono trattati dalla Società esclusivamente per conto del Titolare e nei limiti delle istruzioni da questo impartite, al fine di consentire lo svolgimento delle attività di gestione dei crediti oggetto di mandato. In particolare, il trattamento è effettuato per le seguenti finalità:

• Gestione delle posizioni debitorie: recupero crediti, attività di servicing, gestione delle pratiche amministrative e contabili e altre attività collegate alla gestione delle posizioni debitorie. Il trattamento è effettuato per consentire al Titolare l’esecuzione di obblighi contrattuali o di legge, secondo le basi giuridiche da questo individuate ai sensi dell’art. 6 GDPR.
• Valutazioni e rinegoziazioni: esame e predisposizione di piani di pagamento, ristrutturazioni, accordi transattivi. Il trattamento è effettuato per consentire al Titolare l’esecuzione di obblighi contrattuali o di legge, secondo le basi giuridiche da questo individuate ai sensi dell’art. 6 GDPR.
• Gestione dei reclami: istruttoria e riscontro a reclami presentati dai debitori o da altri soggetti interessati. Il trattamento è effettuato per consentire al Titolare l’esecuzione di obblighi contrattuali o di legge, secondo le basi giuridiche da questo individuate ai sensi dell’art. 6 GDPR.
• Compliance normativa: osservanza degli obblighi normativi e regolamentari (segnalazioni di vigilanza e Centrale Rischi). Il trattamento è effettuato per consentire al Titolare l’esecuzione di obblighi contrattuali o di legge, secondo le basi giuridiche da questo individuate ai sensi dell’art. 6 GDPR.

Le basi giuridiche del trattamento sono determinate dal Titolare ai sensi dell’art. 6 del GDPR e possono consistere, a titolo esemplificativo, nell’esecuzione di un contratto o di misure precontrattuali, nell’adempimento di obblighi di legge o nel legittimo interesse del Titolare alla gestione e tutela del proprio credito.

La Società non determina autonomamente le finalità e le basi giuridiche del trattamento, ma opera esclusivamente quale Responsabile del trattamento ai sensi dell’art. 28 GDPR.

Il conferimento dei dati personali è necessario per la corretta gestione della posizione debitoria; l’eventuale mancata comunicazione di informazioni rilevanti può comportare l’impossibilità di dare seguito a richieste o definire soluzioni concordate.

Categorie di interessati

I dati personali oggetto di trattamento fanno riferimento alle seguenti categorie di interessati:

• debitori e garanti;
• controparti contrattuali;
• presentatori di reclami;
• soggetti terzi coinvolti nei rapporti connessi alla gestione dei crediti.

Oltre alle categorie sopra indicate, i dati personali possono riguardare anche altri soggetti che risultino coinvolti, a vario titolo, nei rapporti giuridici, patrimoniali o contrattuali connessi alla gestione dei crediti in sofferenza, inclusi eventuali coobbligati, eredi, rappresentanti legali o delegati

Destinatari dei dati personali

I dati personali trattati dalla Società nell’ambito dell’attività di gestione dei crediti possono essere comunicati, nei limiti delle istruzioni impartite dal Titolare del trattamento e nel rispetto della normativa applicabile, alle seguenti categorie di soggetti:

• fornitori di servizi informatici e gestionali, incluse società che forniscono software applicativi, servizi di hosting, manutenzione e assistenza tecnica;
• fornitori di servizi di archiviazione documentale, stampa e postalizzazione;
• consulenti, avvocati e professionisti incaricati nell’ambito della gestione delle posizioni debitorie o del contenzioso;
• società del gruppo o partner contrattuali coinvolti nella gestione operativa dei crediti, nei limiti delle rispettive competenze;
• autorità giudiziarie, autorità di vigilanza e altri enti pubblici, nei casi previsti dalla legge.

Tali soggetti, ove trattino dati personali per conto della Società, sono nominati sub-responsabili del trattamento ai sensi dell’art. 28 GDPR, mediante apposito accordo scritto, e operano nel rispetto delle istruzioni impartite e delle misure di sicurezza richieste.

I dati personali possono altresì essere comunicati al Titolare del trattamento per le attività di reporting, monitoraggio e controllo connesse al mandato di gestione.

L’elenco aggiornato dei sub-responsabili del trattamento è disponibile su richiesta dell’interessato.

Periodo di conservazione dei dati

La Società conserva i dati personali trattati per conto del Titolare per il tempo strettamente necessario all’esecuzione del mandato ricevuto e, comunque, nel rispetto delle istruzioni impartite dal Titolare stesso.

In particolare:

• i dati relativi alle posizioni debitorie sono trattati per tutta la durata della gestione e successivamente conservati nei limiti e secondo i tempi stabiliti dal Titolare, nonché per eventuali obblighi normativi applicabili;
• i dati connessi a valutazioni, rinegoziazioni e piani di rientro sono trattati per la durata dell’accordo e per il tempo necessario alla tutela dei diritti in sede giudiziaria;
• i dati trattati nell’ambito della gestione dei reclami sono conservati per il tempo necessario alla definizione del procedimento e per i termini previsti dalla normativa di riferimento.

Alla cessazione del rapporto con il Titolare, i dati personali saranno restituiti o cancellati secondo quanto previsto dall’accordo contrattuale ai sensi dell’art. 28 GDPR, salvo che la loro ulteriore conservazione sia richiesta da obblighi di legge o necessaria per la tutela dei diritti della Società.

Modalità del trattamento e misure di sicurezza

Il trattamento dei dati personali avviene mediante strumenti elettronici e cartacei, nel rispetto dei principi del GDPR. La società adotta misure tecniche e organizzative adeguate, quali:

• Acesso ai sistemi informatici riservato al personale autorizzato, mediante credenziali individuali e sistemi di autenticazione;
• sistemi di backup periodici e soluzioni di protezione antivirus e firewall;
• tracciamento e monitoraggio degli accessi ai sistemi (logging);
• archiviazione della documentazione cartacea in ambienti protetti e con accesso controllato;
• nomina dei sub-responsabili del trattamento con obblighi contrattuali di riservatezza e sicurezza;
• formazione del personale autorizzato al trattamento ai sensi dell’art. 29 GDPR.

Le misure adottate sono oggetto di revisione periodica, anche in relazione all’evoluzione normativa e tecnologica.

Diritti degli interessati

Gli interessati possono esercitare i diritti previsti dagli artt. 15–22 del GDPR (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità, ove applicabile) rivolgendosi direttamente al Titolare del trattamento.

Le richieste possono essere indirizzate anche alla Società ai recapiti indicati nella presente informativa; in tal caso, la Società provvederà a trasmettere tempestivamente la richiesta al Titolare e a collaborare con quest’ultimo per la gestione della stessa, nel rispetto delle istruzioni ricevute.

Resta ferma la possibilità per l’interessato di proporre reclamo al Garante per la protezione dei dati personali ai sensi dell’art. 77 GDPR.

Registro dei trattamenti

Le attività di trattamento svolte dalla Società per conto dei Titolari sono documentate nel Registro delle attività di trattamento del Responsabile, predisposto ai sensi dell’art. 30, par. 2, GDPR.

Il Registro è aggiornato periodicamente ed è messo a disposizione dell’Autorità competente in caso di richiesta o ispezione.

Trattamenti effettuati in qualità di Titolare autonomo

Per specifiche attività strettamente connesse alla propria organizzazione interna e agli obblighi normativi direttamente applicabili alla Società (quali, a titolo esemplificativo, adempimenti contabili, fiscali, obblighi di vigilanza o gestione del contenzioso relativo alla propria attività), Master Mind NPL 114 S.r.l. può operare in qualità di autonomo Titolare del trattamento.

In tali casi, il trattamento avviene nel rispetto del GDPR e della normativa applicabile, sulla base delle relative basi giuridiche.

Aggiornamento dell’Informativa

La presente informativa è soggetta a revisione periodica al fine di garantirne costante adeguatezza e conformità alla normativa vigente. In particolare, essa viene riesaminata almeno con cadenza annuale e, in ogni caso, aggiornata ogniqualvolta intervengano modifiche legislative, regolamentari o organizzative che incidano sulle modalità di trattamento dei dati personali.