La presente Informativa sulla Privacy spiega come Pionew Ireland Limited raccoglie, utilizza, condivide e protegge i Suoi dati personali quando utilizza la Piattaforma Webot.
Status normativo. Pionew Ireland Limited (operante con il marchio “Webot”) è autorizzata dalla Central Bank of Ireland come fornitore di servizi per cripto-attività CASP ai sensi del Regolamento (UE) 2023/1114 (“MiCA”). Trattiamo i dati personali in conformità al Regolamento (UE) 2016/679 (“GDPR”), al Data Protection Act irlandese del 2018, a MiCA, al quadro normativo UE in materia di antiriciclaggio e contrasto al finanziamento del terrorismo (AML/CFT), al Regolamento sui trasferimenti di fondi (UE) 2023/1113, al Regolamento (UE) 2022/2554 (“DORA”) e alla Direttiva del Consiglio (UE) 2023/2226 (“DAC8”).
Contatti rapidi:
Protezione dei dati: dpo@webot.eu
Servizio Clienti: service@webot.eu
1. Introduzione
La presente Informativa sulla Privacy si applica ai dati personali trattati da Pionew Ireland Limited (“Pionew”, “Webot”, “noi”, “nostro/a/i/e”) quando visita www.webot.com/eu (il “Sito”), utilizza la nostra applicazione mobile o accede in altro modo ai Servizi per cripto-attività che forniamo in qualità di fornitore di servizi per cripto-attività autorizzato ai sensi di MiCA (collettivamente, i “Servizi” forniti tramite la “Piattaforma”).
La presente Informativa sulla Privacy è incorporata per riferimento nei nostri Termini di Servizio e costituisce parte integrante del contratto stipulato con Lei. I termini con iniziale maiuscola utilizzati ma non definiti nel presente documento hanno il significato attribuito nei Termini di Servizio. Utilizzando i Servizi, Lei riconosce di aver letto la presente Informativa sulla Privacy. Qualora non concordi con qualsiasi aspetto della presente Informativa sulla Privacy, non deve utilizzare i Servizi.
La presente Informativa sulla Privacy è fornita in linguaggio chiaro e semplice, su supporto durevole e gratuitamente, in conformità agli articoli da 12 a 14 del GDPR. Qualora la presente Informativa sulla Privacy faccia riferimento a specifiche leggi o quadri normativi, può richiedere ulteriori informazioni in qualsiasi momento contattando il nostro Responsabile della Protezione dei Dati all’indirizzo dpo@webot.eu.
2. Chi siamo (Titolare del trattamento)
Il titolare del trattamento responsabile della raccolta e del trattamento dei Suoi dati personali, ai sensi dell’articolo 4(7) del GDPR, è:
Pionew Ireland Limited
Office 01, Ground Floor, Penrose Two, Penrose Dock
Cork, Irlanda T23 YY09
Autorizzata dalla Central Bank of Ireland come fornitore di servizi per cripto-attività il 18 dicembre 2025 ai sensi di MiCA.
clienti residenti in Italia hanno inoltre il diritto di proporre reclamo
al Garante per la protezione dei dati personali (www.garanteprivacy.it)3. Definizioni
Nella presente Informativa sulla Privacy:
• “Cripto-attività” ha il significato attribuito dall’articolo 3(1)(5) di MiCA.
• “GDPR” indica il Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati), integrato in Irlanda dal Data Protection Act 2018.
• “Dati personali” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile, come definita all’articolo 4(1) del GDPR.
• “Trattamento” ha il significato attribuito dall’articolo 4(2) del GDPR.
• “Servizi” indica i Servizi per cripto-attività che forniamo tramite la Piattaforma, come descritti nei nostri Termini di Servizio (custodia e amministrazione di cripto-attività, gestione di una piattaforma di negoziazione, scambio di cripto-attività contro valuta fiat e altre cripto-attività, esecuzione di ordini per conto dei clienti, ricezione e trasmissione di ordini e prestazione di servizi di trasferimento di cripto-attività per conto dei clienti).
4. Dati personali che raccogliamo
Raccogliamo e trattiamo le seguenti categorie di dati personali, a seconda di come interagisce con la Piattaforma:
4.1 Dati identificativi e di contatto
Nome completo, data e luogo di nascita, genere, nazionalità, Paese di residenza, indirizzo di residenza, indirizzo e-mail, numero di telefono e qualsiasi altro dato di contatto fornito da Lei.
4.2 Dati di verifica e KYC
Informazioni raccolte nell’ambito dei nostri obblighi di adeguata verifica della clientela ai sensi della normativa UE AML/CFT, inclusi, a titolo esemplificativo ma non esaustivo, documento d’identità rilasciato da un’autorità pubblica, prova di indirizzo, immagine o video “selfie” per controlli di vitalità (“liveness checks”), firma, vettori biometrici derivati dai dati del documento di identità e dai controlli di vitalità (ove strettamente necessari per l’identificazione), nazionalità, status di residenza fiscale e numeri di identificazione fiscale, informazioni sull’origine dei fondi e del patrimonio, stato occupazionale, settore lavorativo e informazioni sul fatto che Lei (o una persona a Lei vicina) sia una persona politicamente esposta (“PEP”) o soggetta a sanzioni.
4.3 Dati dell’account e di autenticazione
Credenziali di accesso, ID Account, ID Cliente, ID Dispositivo, impostazioni di autenticazione a due fattori (2FA), domande di sicurezza, indirizzo IP, token di sessione e informazioni di recupero.
4.4 Dati relativi a transazioni e negoziazione
Informazioni sui Suoi ordini, operazioni, saldi in custodia, depositi, prelievi, trasferimenti (compresi trasferimenti in entrata e in uscita di cripto-attività), informazioni sulla controparte richieste dal Regolamento sui trasferimenti di fondi (UE) 2023/1113, indirizzi wallet blockchain, hash delle transazioni, metadati di rete, IBAN e dettagli del conto bancario per operazioni fiat on/off-ramp, importi, valute, date e sedi di esecuzione.
4.5 Dati relativi a comunicazioni e assistenza
Contenuto delle comunicazioni intercorse con noi (inclusi chat di supporto, e-mail, telefonate — che possono essere registrate per finalità di qualità, formazione, risoluzione delle controversie e conservazione regolamentare delle registrazioni — e altri canali), dettagli delle richieste di assistenza, registrazioni dei reclami, preferenze linguistiche e qualsiasi altra informazione che scelga di condividere con noi.
4.6 Dati tecnici e del dispositivo
Indirizzo IP, identificativo del dispositivo, tipologia di dispositivo, versione e produttore del sistema operativo, tipo e versione del browser, fuso orario, lingua del browser, URL di provenienza, pagine visitate, link cliccati, comportamento di scorrimento e click-through, versione dell’applicazione, log di crash e altre informazioni diagnostiche.
4.7 Dati di marketing e preferenze
Preferenze di marketing, registrazioni del consenso, risposte ai sondaggi e feedback.
4.8 Informazioni provenienti da terze parti
Riceviamo inoltre dati personali da terze parti, tra cui:
• Fornitori di servizi di verifica dell’identità, KYC e biometria;
• Fornitori di analisi blockchain e rischio on-chain (ad esempio per sanzioni, frodi e scoring AML sugli indirizzi wallet);
• Prestatori di servizi di pagamento, banche e partner fiat on/off-ramp;
• Fornitori di dati relativi a sanzioni, watchlist, PEP e media negativi;
• Agenzie di credito e prevenzione frodi;
• Fonti pubbliche (compresi registri societari, blockchain pubbliche e media pubblicamente disponibili); e
• Autorità di regolamentazione, forze dell’ordine e tribunali.
Qualora raccogliamo dati personali direttamente da Lei, sarà tenuto a fornire le categorie di dati contrassegnate come obbligatorie nel relativo punto di raccolta (ad esempio durante l’apertura dell’Account). Se non fornisce tali informazioni, potremmo non essere in grado di stipulare o eseguire il contratto con Lei o di adempiere ai nostri obblighi legali ai sensi di MiCA, della normativa AML/CFT o della normativa fiscale (inclusa DAC8), e potremmo essere tenuti a rifiutare il Suo onboarding oppure a sospendere o chiudere il Suo Account.
5. Perché trattiamo i Suoi dati personali e base giuridica del trattamento
Trattiamo i Suoi dati personali esclusivamente laddove disponiamo di una valida base giuridica ai sensi dell’articolo 6 del GDPR (e, per le categorie particolari di dati, dell’articolo 9). Le principali finalità e basi giuridiche sono indicate nella tabella seguente.
| Finalità | Base giuridica | Categorie di dati |
| Apertura dell’Account, autenticazione, onboarding, accesso continuativo all’account e fornitura dei Servizi (custodia, gestione della piattaforma di negoziazione, scambio, esecuzione e ricezione/trasmissione di ordini, servizi di trasferimento). | Articolo 6(1)(b) GDPR — esecuzione di un contratto. | Dati identificativi e di contatto; dati dell’account e di autenticazione; dati relativi a transazioni e negoziazione; dati relativi a comunicazioni e assistenza. |
| Adeguata verifica della clientela (KYC), monitoraggio continuativo, monitoraggio delle transazioni, controlli su sanzioni e PEP, segnalazione di attività sospette e altri obblighi AML/CFT ai sensi del diritto UE e irlandese (incluso il Criminal Justice (Money Laundering and Terrorist Financing) Act 2010, come modificato). | Articolo 6(1)(c) GDPR — obbligo legale. Articolo 9(2)(g) per eventuali dati biometrici, per motivi di rilevante interesse pubblico. | Dati identificativi e di contatto; dati di verifica e KYC (inclusi vettori biometrici ove applicabile); dati relativi a transazioni e negoziazione; informazioni provenienti da terze parti. |
| Conformità agli obblighi MiCA in qualità di fornitore di servizi per cripto-attività, inclusi conservazione delle registrazioni, estratti di custodia (articolo 75 MiCA), sorveglianza degli abusi di mercato (Titolo VI MiCA), registrazioni dell’esecuzione degli ordini (articolo 78 MiCA), gestione dei conflitti di interesse (articolo 72 MiCA) e gestione dei reclami (articolo 71 MiCA e Regolamento Delegato (UE) 2025/294 della Commissione). | Articolo 6(1)(c) GDPR — obbligo legale. | Dati identificativi e di contatto; dati dell’account e di autenticazione; dati relativi a transazioni e negoziazione; dati relativi a comunicazioni e assistenza. |
| Conformità al Regolamento sui trasferimenti di fondi (UE) 2023/1113 (“Travel Rule”), inclusa la trasmissione e ricezione delle informazioni relative all’ordinante e al beneficiario per i trasferimenti di cripto-attività. | Articolo 6(1)(c) GDPR — obbligo legale. | Dati identificativi e di contatto; dati relativi a transazioni e negoziazione. |
| Obblighi fiscali e di reporting, inclusi obblighi ai sensi della DAC8 (Direttiva (UE) 2023/2226) e altri quadri normativi fiscali irlandesi ed europei. | Articolo 6(1)(c) GDPR — obbligo legale. | Dati identificativi e di contatto; dati di verifica e KYC (residenza fiscale, TIN); dati relativi a transazioni e negoziazione. |
| Gestione del rischio ICT, resilienza operativa, prevenzione delle frodi, rilevamento degli abusi di mercato, rilevamento e risposta agli incidenti di sicurezza, in conformità a DORA (Regolamento (UE) 2022/2554) e al nostro framework interno di sicurezza. | Articolo 6(1)(c) GDPR — obbligo legale; e articolo 6(1)(f) GDPR — legittimi interessi nella protezione della sicurezza e integrità della Piattaforma, dei nostri clienti e della nostra attività. | Dati dell’account e di autenticazione; dati relativi a transazioni e negoziazione; dati tecnici e del dispositivo; informazioni provenienti da terze parti (incluse analisi blockchain). |
| Servizio clienti, gestione dei reclami, risoluzione delle controversie e accertamento, esercizio o difesa di diritti legali. | Articolo 6(1)(b) GDPR — esecuzione di un contratto; articolo 6(1)(c) GDPR — obbligo legale; e articolo 6(1)(f) GDPR — legittimi interessi nella difesa e tutela dei nostri diritti legali. | Tutte le categorie di dati, se pertinenti al caso. |
| Miglioramento della Piattaforma, analisi dell’utilizzo, risoluzione di problemi tecnici, test di nuove funzionalità e analisi aggregate e anonimizzate dei prodotti. | Articolo 6(1)(f) GDPR — legittimi interessi nella gestione, protezione, miglioramento e sviluppo della Piattaforma, bilanciati rispetto ai Suoi diritti e libertà. | Dati dell’account e di autenticazione; dati relativi a transazioni e negoziazione; dati tecnici e del dispositivo; dati relativi a comunicazioni e assistenza (in forma pseudonimizzata o aggregata, ove possibile). |
| Marketing diretto dei nostri prodotti e servizi verso clienti esistenti (ove consentito) e marketing verso potenziali clienti sulla base del consenso. | Articolo 6(1)(a) GDPR — consenso; oppure articolo 6(1)(f) GDPR — legittimi interessi, laddove Lei sia già cliente e non si sia opposto. Può opporsi o revocare il consenso in qualsiasi momento (vedere Sezione 17). | Dati identificativi e di contatto; dati di marketing e preferenze; dati tecnici e del dispositivo. |
| Utilizzo di cookie e tecnologie simili non strettamente necessarie, inclusi cookie di analisi e marketing. | Articolo 6(1)(a) GDPR — consenso (in conformità alla Direttiva ePrivacy 2002/58/CE e S.I. n. 336/2011). | Dati tecnici e del dispositivo; dati di marketing e preferenze. |
| Conformità a ordini del tribunale, richieste legittime delle autorità pubbliche e altri obblighi legali ai quali siamo soggetti. | Articolo 6(1)(c) GDPR — obbligo legale. | Tutte le categorie di dati, come richiesto dal relativo ordine o richiesta. |
| Operazioni societarie (incluse potenziali fusioni, acquisizioni, vendite o riorganizzazioni di tutta o parte della nostra attività o dei nostri beni). | Articolo 6(1)(f) GDPR — legittimi interessi nello svolgimento e nella tutela della nostra attività. | Tutte le categorie di dati, secondo il principio della necessità di conoscenza e soggette a obblighi di riservatezza. |
Laddove facciamo affidamento sull’articolo 6(1)(f) (legittimi interessi), abbiamo effettuato una valutazione di bilanciamento per garantire che i nostri interessi non prevalgano sui Suoi interessi, diritti o libertà. Può richiedere ulteriori informazioni su tale valutazione contattando il nostro DPO all’indirizzo dpo@webot.eu.
6. Categorie particolari di dati
Non cerchiamo di raccogliere alcuna “categoria particolare” di dati personali ai sensi dell’articolo 9 del GDPR (quali dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati relativi alla salute o alla vita sessuale o orientamento sessuale di una persona).
Tuttavia, nel corso della fornitura dei Servizi, potremmo raccogliere e trattare dati biometrici limitati ai fini della verifica dell’identità e della prevenzione di frodi, furto d’identità e riciclaggio di denaro. In tali casi, facciamo affidamento sull’articolo 9(2)(g) GDPR (rilevante interesse pubblico), poiché il trattamento è necessario per adempiere ai nostri obblighi ai sensi dei quadri normativi UE AML/CFT e MiCA. I vettori biometrici vengono trattati esclusivamente nella misura strettamente necessaria, sono mantenuti separati dagli altri identificativi e vengono eliminati in conformità al nostro programma di conservazione dei dati.
Non estraiamo dai Suoi dati relativi alle transazioni alcuna inferenza riguardante opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, salute, vita sessuale o orientamento sessuale. I nostri dipendenti sono vietati, ai sensi delle politiche interne, dall’estrarre o analizzare tali inferenze dai dati delle transazioni.
7. Minori
Il Sito, la Piattaforma e i Servizi non sono destinati a persone di età inferiore ai 18 anni e non possono essere utilizzati da tali soggetti. Non raccogliamo consapevolmente dati personali di minori. Qualora veniamo effettivamente a conoscenza di aver raccolto dati personali di una persona di età inferiore ai 18 anni, provvederemo prontamente a cancellarli (salvo obblighi legali di conservazione) e adotteremo misure per disabilitare l’Account interessato. Se Lei è un genitore o tutore e ritiene che deteniamo dati personali di un minore, La invitiamo a contattare il nostro DPO all’indirizzo dpo@webot.eu.
8. Destinatari dei Suoi dati personali
Condividiamo dati personali con le categorie di destinatari indicate di seguito, secondo il principio della necessità di conoscenza e unicamente per le finalità descritte nella presente Informativa sulla Privacy. Tutti i destinatari sono soggetti a obblighi di riservatezza e, laddove agiscano come responsabili del trattamento per nostro conto, a un accordo scritto sul trattamento dei dati conforme all’articolo 28 del GDPR.
8.1 Società affiliate del nostro gruppo societario
Altre società appartenenti al gruppo societario di cui fa parte Pionew Ireland Limited, laddove ciò sia necessario per funzioni centralizzate quali compliance, sicurezza, gestione del rischio o supporto tecnologico. Ogni trasferimento è soggetto ad accordi interni di condivisione dei dati e, qualora il trasferimento avvenga al di fuori del SEE, alle garanzie descritte nella Sezione 9.
8.2 Fornitori di servizi e responsabili del trattamento
Fornitori terzi accuratamente selezionati che agiscono secondo le nostre istruzioni, inclusi:
• Fornitori di servizi cloud computing, hosting e archiviazione (ad esempio Amazon Web Services);
• Fornitori di servizi di verifica dell’identità, KYC e biometria;
• Fornitori di analisi blockchain e rischio on-chain (ad esempio per sanzioni, frodi e scoring AML degli indirizzi wallet);
• Fornitori di dati relativi a sanzioni, PEP, watchlist e media negativi;
• Piattaforme di supporto clienti, ticketing e comunicazione;
• Fornitori di analisi, business intelligence e product analytics (ad esempio Snowflake, Mode Analytics, Appsflyer, Amplitude, Google Analytics);
• Fornitori di servizi e-mail, SMS e notifiche push;
• Fornitori di prevenzione frodi e cybersecurity;
• Partner bancari e fiat on/off-ramp; e
• Consulenti professionali (legali, contabili, revisori e consulenti).
8.3 Controparti ai sensi del Regolamento sui trasferimenti di fondi
Qualora Lei invii o riceva trasferimenti di cripto-attività, condividiamo con il fornitore di servizi per cripto-attività dell’ordinante o del beneficiario le informazioni richieste dal Regolamento sui trasferimenti di fondi (UE) 2023/1113. Tali altri fornitori di servizi per cripto-attività agiscono come titolari autonomi del trattamento in relazione ai dati ricevuti.
8.4 Autorità pubbliche
Potremmo divulgare dati personali alla Central Bank of Ireland, alla Irish Data Protection Commission, ai Revenue Commissioners (anche per finalità DAC8), ad An Garda Síochána, alla Financial Intelligence Unit Ireland, ai tribunali, alle autorità fiscali e a qualsiasi altra autorità competente di regolamentazione, vigilanza, giudiziaria o di contrasto, laddove siamo obbligati a farlo per legge o laddove disponiamo di motivi legittimi per farlo (ad esempio per conformarci a un’ordinanza del tribunale, a una richiesta legittima o per proteggere i nostri diritti, beni o sicurezza).
8.5 Operazioni societarie
In caso di potenziale fusione, acquisizione, vendita, riorganizzazione o procedura di insolvenza, potremmo divulgare dati personali a potenziali o effettivi acquirenti, investitori, finanziatori o ai loro consulenti, soggetti ad adeguate garanzie di riservatezza.
8.6 Su Sua indicazione
Ad altri destinatari laddove Lei ci abbia specificamente indicato di farlo o abbia fornito il Suo consenso.
Un elenco più dettagliato dei nostri principali responsabili del trattamento e delle categorie di destinatari è disponibile su richiesta all’indirizzo dpo@webot.eu. Non vendiamo i Suoi dati personali e non li condividiamo per finalità di pubblicità comportamentale cross-context da parte di terzi.
9. Trasferimenti internazionali di dati personali
Pionew Ireland Limited è stabilita in Irlanda e tratta principalmente i Suoi dati personali all’interno dello Spazio Economico Europeo (SEE). Tuttavia, alcuni dei nostri fornitori di servizi, partner commerciali o società affiliate sono situati al di fuori del SEE e potremmo pertanto trasferire i Suoi dati personali verso “Paesi terzi” ai sensi del Capitolo V del GDPR.
Qualora trasferiamo dati personali al di fuori del SEE, garantiamo che si applichi uno dei seguenti meccanismi leciti di trasferimento:
• Decisioni di adeguatezza emesse dalla Commissione europea, laddove il Paese di destinazione sia stato riconosciuto come in grado di garantire un livello adeguato di protezione dei dati (l’elenco aggiornato delle decisioni di adeguatezza è disponibile su commission.europa.eu);
• Clausole Contrattuali Standard (“SCC”) approvate dalla Commissione europea ai sensi della Decisione (UE) 2021/914, integrate, ove necessario, da ulteriori garanzie tecniche, organizzative e contrattuali basate su una valutazione dell’impatto del trasferimento;
• Binding Corporate Rules (“Norme Vincolanti d’Impresa”), laddove approvate da un’autorità di controllo competente per il nostro gruppo; oppure
• Una delle deroghe specifiche previste dall’articolo 49 del GDPR (ad esempio il Suo consenso esplicito e informato oppure laddove il trasferimento sia necessario per l’esecuzione di un contratto concluso nel Suo interesse).
Può ottenere copia del meccanismo di trasferimento pertinente o ulteriori informazioni sulle garanzie applicate a uno specifico trasferimento contattando il nostro DPO all’indirizzo dpo@webot.eu.
10. Privacy nell’utilizzo di cripto-attività e blockchain
Le transazioni in cripto-attività vengono registrate su blockchain pubbliche, che costituiscono registri distribuiti gestiti da reti decentralizzate di partecipanti. Le blockchain pubbliche sono progettate per essere resistenti alle manomissioni e immutabili: una volta registrata una transazione, non possiamo cancellarla, modificarla o alterarla. I dati blockchain possono essere oggetto di tecniche forensi e analitiche (incluse quelle utilizzate dai fornitori di analisi blockchain) che, in combinazione con altri dati, potrebbero consentire la reidentificazione delle parti che effettuano transazioni.
Lei deve essere consapevole che:
• Gli indirizzi wallet, gli importi delle transazioni, i timestamp e le controparti su una blockchain pubblica sono per loro natura accessibili pubblicamente;
• Pionew non ha alcuna possibilità di ottenere la cancellazione o rettifica dei dati personali registrati su una blockchain pubblica che non è sotto il nostro controllo; e
• Qualora scelga di divulgare il Suo indirizzo wallet ad altri (ad esempio pubblicandolo o condividendolo con controparti), ciò potrebbe consentire ad altri di associare a Lei le attività on-chain.
Qualora eserciti diritti ai sensi del GDPR relativamente a dati che deteniamo off-chain, daremo esecuzione a tali diritti nella misura in cui i dati siano sotto il nostro controllo, in conformità alla Sezione 15.
11. Processo decisionale automatizzato e profilazione
Utilizziamo trattamenti automatizzati, inclusa la profilazione, in particolare per:
• Verifica dell’identità (inclusi controlli di vitalità e verifiche di autenticità dei documenti);
• Monitoraggio AML/CFT delle transazioni, screening sanzionatorio, screening PEP e rilevamento di attività sospette;
• Rilevamento e prevenzione delle frodi; e
• Rilevamento di abusi di mercato sulla piattaforma di negoziazione da noi gestita.
Qualora una decisione basata esclusivamente sul trattamento automatizzato produca effetti giuridici nei Suoi confronti o incida in modo analogo significativamente su di Lei (ad esempio una decisione di rifiutare l’onboarding, congelare, limitare o chiudere il Suo Account oppure rifiutare una transazione), facciamo affidamento sull’articolo 22(2)(a) GDPR (necessità per la conclusione o l’esecuzione di un contratto tra Lei e noi) oppure sull’articolo 22(2)(b) GDPR (autorizzazione ai sensi del diritto UE o irlandese, in particolare della normativa AML/CFT e di contrasto al finanziamento del terrorismo).
In tutti questi casi, Lei ha il diritto di ottenere l’intervento umano, di esprimere il Suo punto di vista e di contestare la decisione. Per esercitare tali diritti, La invitiamo a contattare il nostro DPO all’indirizzo dpo@webot.eu.
12. Conservazione dei dati
Conserviamo i Suoi dati personali solo per il tempo necessario alle finalità per cui sono stati raccolti, tenendo conto del nostro rapporto contrattuale con Lei, dei nostri obblighi legali e regolamentari e dei termini di prescrizione applicabili a eventuali pretese legali.
| Categoria di dati | Periodo di conservazione |
| Registrazioni KYC, adeguata verifica della clientela e AML/CFT (inclusi documenti di verifica dell’identità, risultati dello screening sanzionatorio e PEP). | Almeno 5 anni successivi alla cessazione del rapporto commerciale, in conformità al Criminal Justice (Money Laundering and Terrorist Financing) Act 2010 (come modificato) e alla normativa UE AML/CFT. Il periodo può essere esteso ove richiesto dalle autorità competenti. |
| Registrazioni relative a transazioni e negoziazione, estratti di custodia, registrazioni dell’esecuzione degli ordini e registrazioni delle comunicazioni relative alla fornitura dei Servizi. | Almeno 5 anni dalla data della transazione o comunicazione, in conformità agli obblighi di conservazione previsti da MiCA e dalla normativa irlandese applicabile. |
| Registrazioni fiscali e di reporting (incluse registrazioni DAC8). | Per il periodo richiesto dalla normativa fiscale irlandese (tipicamente fino a 7 anni). |
| Dati relativi ad Account inattivi o chiusi (ove non soggetti a un obbligo di conservazione più lungo). | Fino a 6 anni successivi alla chiusura dell’Account, per la gestione di potenziali controversie e pretese legali. |
| Registrazioni dei reclami. | Almeno 5 anni successivi alla risoluzione, in conformità all’articolo 71 MiCA e al Consumer Protection Code della Central Bank of Ireland. |
| Log ICT e di sicurezza (incluse registrazioni di incidenti correlati a DORA). | Per il periodo necessario a garantire resilienza operativa e reporting degli incidenti ai sensi di DORA e, in ogni caso, per i periodi previsti dalle nostre politiche interne di sicurezza delle informazioni. |
| Dati di marketing e preferenze. | Fino alla revoca del consenso o all’opposizione al trattamento, oltre a un periodo residuo necessario per mantenere una lista di soppressione. |
| Cookie e tecnologie simili. | Come descritto nella nostra Cookie Policy disponibile sulla Piattaforma. |
Quando i dati personali non sono più necessari, li cancelleremo o anonimizzermo in modo sicuro, salvo laddove una conservazione più lunga sia richiesta dalla legge, richiesta da un’autorità competente o necessaria per accertare, esercitare o difendere diritti legali.
13. Come proteggiamo i Suoi dati personali
Abbiamo implementato misure tecniche e organizzative adeguate, tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, ambito, contesto e finalità del trattamento, nonché dei rischi per i Suoi diritti e libertà, in conformità all’articolo 32 del GDPR. In qualità di entità finanziaria rientrante nell’ambito di applicazione di DORA, manteniamo un framework completo di gestione del rischio ICT, che include politiche di sicurezza delle informazioni, gestione delle identità e degli accessi, cifratura dei dati in transito e a riposo, segmentazione della rete, gestione delle vulnerabilità, continuità operativa e disaster recovery, gestione del rischio dei terzi e test periodici di resilienza.
Limitiamo l’accesso ai dati personali al personale e ai responsabili del trattamento che necessitano di tali dati per svolgere le proprie mansioni e formiamo il nostro personale in materia di protezione dei dati e obblighi di sicurezza.
Qualora incarichiamo responsabili del trattamento che trattano dati personali per nostro conto, svolgiamo attività di due diligence e stipuliamo accordi scritti sul trattamento dei dati che includono le garanzie richieste dall’articolo 28 GDPR e dall’articolo 30 DORA (ove applicabile).
14. Violazioni dei dati personali
Manteniamo un processo di gestione degli incidenti per le violazioni dei dati personali e gli incidenti correlati alle ICT. In conformità all’articolo 33 del GDPR, laddove una violazione dei dati personali possa comportare un rischio per i diritti e le libertà delle persone fisiche, notificheremo la violazione alla Irish Data Protection Commission senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne siamo venuti a conoscenza.
Qualora una violazione dei dati personali possa comportare un rischio elevato per i Suoi diritti e libertà, La informeremo altresì senza ingiustificato ritardo, in conformità all’articolo 34 del GDPR.
Laddove un grave incidente correlato alle ICT rientri nell’ambito di applicazione di DORA, lo segnaleremo alla Central Bank of Ireland entro le tempistiche previste da DORA e dalle relative Regulatory Technical Standards. Documentiamo tutte le violazioni dei dati personali e i gravi incidenti ICT in conformità ai nostri obblighi normativi.
15. I Suoi diritti
Fatte salve le condizioni e limitazioni previste dal GDPR e dal Data Protection Act irlandese del 2018, Lei dispone dei seguenti diritti in relazione ai Suoi dati personali:
• Diritto di accesso (articolo 15 GDPR) — ottenere conferma che sia o meno in corso un trattamento dei Suoi dati personali e, in tal caso, ricevere copia di tali dati e informazioni sul trattamento.
• Diritto di rettifica (articolo 16 GDPR) — ottenere la correzione di dati personali inesatti e l’integrazione di dati incompleti.
• Diritto alla cancellazione (articolo 17 GDPR), noto anche come “diritto all’oblio” — ottenere la cancellazione dei Suoi dati personali in determinate circostanze. Tale diritto non è assoluto e può essere limitato da obblighi legali prevalenti (in particolare obblighi AML/CFT, obblighi di conservazione MiCA e obblighi fiscali).
• Diritto di limitazione del trattamento (articolo 18 GDPR) — richiedere la sospensione del trattamento dei Suoi dati personali in determinate circostanze.
• Diritto alla portabilità dei dati (articolo 20 GDPR) — ricevere i dati personali da Lei forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico, laddove il trattamento si basi sul Suo consenso o su un contratto ed avvenga con mezzi automatizzati.
• Diritto di opposizione (articolo 21 GDPR) — opporsi al trattamento basato su legittimi interessi, inclusa la profilazione per tali finalità, e opporsi in qualsiasi momento al trattamento per finalità di marketing diretto.
• Diritto di non essere soggetto a decisioni automatizzate (articolo 22 GDPR), come ulteriormente descritto nella Sezione 11.
• Diritto di revocare il consenso (articolo 7 GDPR) — in qualsiasi momento, laddove il trattamento sia basato sul consenso. La revoca non pregiudica la liceità del trattamento effettuato prima della revoca.
• Diritto di proporre reclamo a un’autorità di controllo, come indicato nella Sezione 18.
Per esercitare uno qualsiasi di tali diritti, La invitiamo a contattare il nostro DPO all’indirizzo dpo@webot.eu. Potrà inoltre rettificare alcuni dati personali direttamente tramite le impostazioni del Suo Account sulla Piattaforma.
Risponderemo alla Sua richiesta senza ingiustificato ritardo e, in ogni caso, entro un (1) mese dal ricevimento della richiesta, in conformità all’articolo 12(3) del GDPR. Tale termine può essere prorogato di ulteriori due (2) mesi ove necessario, tenendo conto della complessità e del numero delle richieste; La informeremo di tale proroga entro un (1) mese dal ricevimento della richiesta, unitamente ai motivi del ritardo.
Potremmo aver bisogno di verificare la Sua identità prima di rispondere a una richiesta, al fine di proteggere i Suoi dati personali. L’esercizio di tali diritti è generalmente gratuito, sebbene potremmo addebitare un costo ragionevole o rifiutarci di agire laddove le richieste siano manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo.
16. Cookie e tecnologie simili
Utilizziamo cookie, pixel e tecnologie simili sul Sito e sulla Piattaforma, sia per finalità strettamente necessarie alla fornitura dei Servizi (ad esempio per sicurezza e autenticazione), sia, previo Suo consenso, per finalità di analisi e marketing.
Può gestire le Sue preferenze tramite il nostro banner cookie e la nostra Cookie Policy, che descrive i cookie utilizzati, le finalità per cui vengono utilizzati e i relativi periodi di conservazione.
17. Comunicazioni di marketing
Potremmo inviarLe comunicazioni di marketing relative ai nostri Servizi, inclusi messaggi tramite e-mail, notifiche push o messaggi in-app, laddove Lei abbia fornito il consenso o laddove ciò sia altrimenti consentito dalla legge.
Può revocare l’iscrizione alle comunicazioni di marketing in qualsiasi momento cliccando sul link “unsubscribe” presente in qualsiasi e-mail di marketing, modificando le Sue preferenze di notifica nella Piattaforma oppure contattandoci all’indirizzo dpo@webot.eu.
La rinuncia alle comunicazioni di marketing non incide sulle comunicazioni relative al servizio necessarie per il funzionamento del Suo Account.
18. Reclami a un’autorità di controllo
Qualora abbia dubbi sul modo in cui trattiamo i Suoi dati personali, apprezzeremmo l’opportunità di affrontare direttamente la questione — La invitiamo pertanto a contattare in prima istanza il nostro DPO all’indirizzo dpo@webot.eu.
Lei ha inoltre il diritto, in qualsiasi momento, di proporre reclamo a un’autorità di controllo competente per la protezione dei dati, in particolare nello Stato membro dell’UE della Sua residenza abituale, del Suo luogo di lavoro o del luogo della presunta violazione.
L’autorità di controllo capofila per Pionew Ireland Limited è:
Data Protection Commission
21 Fitzwilliam Square South
Dublino 2, D02 RD28, Irlanda
Sito web: www.dataprotection.ie
Telefono: +353 (0)761 104 800
Lei mantiene inoltre qualsiasi altro rimedio amministrativo o giudiziario disponibile ai sensi del diritto UE o nazionale.
19. Modifiche alla presente Informativa sulla Privacy
Potremmo aggiornare periodicamente la presente Informativa sulla Privacy per riflettere modifiche ai nostri Servizi, alla tecnologia, alla normativa applicabile o ai requisiti regolamentari.
Laddove le modifiche incidano in modo sostanziale sui Suoi diritti, Le forniremo un preavviso di almeno trenta (30) giorni tramite la Piattaforma o al Suo indirizzo e-mail registrato prima che le modifiche entrino in vigore.
Aggiornamenti meno significativi (ad esempio chiarimenti minori) possono essere effettuati pubblicando una versione aggiornata sul Sito con una data di “Ultimo aggiornamento” rivista. La invitiamo a consultare periodicamente la presente Informativa sulla Privacy.
L’utilizzo continuato dei Servizi dopo la data di efficacia di una modifica costituisce presa d’atto della versione aggiornata della presente Informativa sulla Privacy.
20. Contattaci
Per qualsiasi domanda, commento o richiesta riguardante la presente Informativa sulla Privacy o il trattamento dei Suoi dati personali, può contattare:
Pionew Ireland Limited
E-mail: dpo@webot.eu
Indirizzo postale:
Office 01, Ground Floor, Penrose Two, Penrose Dock, Cork, Irlanda T23 YY09.