Caja Rural de Navarra
Política de Protección de Datos Clientes

Caja Rural de Navarra
El artículo 26 RGPD establece que cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. En este sentido, nuestra Entidad actúa como corresponsable del tratamiento junto con las siguientes entidades:
Como ahora le explicaremos, existen unos tratamientos de datos necesarios para el servicio contratado o solicitado, y otros voluntarios o adicionales, que se consideran compatibles con los primeros, pues únicamente tienen por objeto mejorar nuestros productos y servicios, así como remitirle publicidad lo más ajustada a su persona. Estas finalidades adicionales voluntarias requieren, según los casos, o bien que nos haya dado su consentimiento, o bien que no se haya opuesto, por existir un "interés legítimo" en el tratamiento. Puede encontrar la definición de interés legítimo a continuación.
Por tanto, en virtud de lo establecido en el artículo 21 de la Ley 34/2002 de Servicios de la Sociedad de la información, si Vd. es nuestro cliente y la relación contractual está activa, sus datos relativos a características personales, económicos, financieros y seguros se tratarán para el envío de comunicaciones comerciales por medios electrónicos. No obstante, usted podrá oponerse en cualquier momento a la recepción de estas comunicaciones.
Son responsables del fichero todas las entidades financieras que nos hemos adherido a dicho fichero común, en adelante los "corresponsables del tratamiento". Puede solicitar información adicional sobre los aspectos esenciales del acuerdo de corresponsabilidad entre las Entidades en la dirección electrónica del DPD. Además, puede consultar el listado actualizado de las entidades adheridas al fichero común a través del siguiente link https://www.iberpay.com/es/servicios/sectoriales/payguard/.
La base legitimadora del tratamiento es el interés legítimo, tanto de los titulares de las cuentas que pudieran resultar afectados por los fraudes cometidos por terceros, como de esta Entidad para lograr la detección y prevención del fraude en las operaciones bancarias con origen o destino en su cuenta.
Para ello podremos:
• Comunicar operaciones no autorizadas o sospechosas de fraude al fichero común de prevención del fraude.
• Le informamos de que sus datos de carácter personal podrán ser incluidos por la Entidad en un fichero común de prevención del fraude en las operaciones bancarias, gestionado por la Sociedad Española de Sistemas de Pago (Iberpay) para la detección, investigación, control y posible denuncia de operaciones no autorizadas o sospechosas cometidas en su cuenta corriente o de ahorro.
• Consultar operaciones no autorizadas y operaciones sospechosas de fraude al fichero común de prevención del fraude.
• Sus datos personales podrán ser consultados por la Entidad en el fichero común de prevención del fraude en las operaciones bancarias, gestionado por la Sociedad Española de Sistemas de Pago (Iberpay) para la detección, investigación, control y posible denuncia de operaciones no autorizadas o sospechosas cometidas en su cuenta corriente o de ahorro.
Los datos que se podrán incluir en dicho fichero por esta Entidad serán los relativos al número IBAN, titular de la cuenta y, en su caso, se podrán incluir también los datos de conexión IP, geolocalización, identificación del dispositivo donde se hubiera detectado la operación sospechosa o no autorizada.
Únicamente podrán acceder al fichero y utilizar la información, las entidades adheridas corresponsables, exclusivamente para las finalidades descritas relativas a detectar, prevenir y controlar el fraude.
Además, le informamos de que IBERPAY, como gestor del fichero común, tiene la consideración de Encargado del tratamiento de los datos, de manera que no podrá usar los mismos al margen de la mera gestión de este fichero común. Para este fin se ha firmado un contrato entre IBERPAY y las corresponsables, con las garantías y medidas de seguridad necesarias.
Este tratamiento tiene lugar en base tanto del interés legítimo de la entidad en la detección y prevención del fraude en las operaciones bancarias con origen y destino de su cuenta, como en interés de los titulares de las cuentas que pudieran resultar afectadas por los fraudes cometidos por terceros.
• En cuanto a la prevención del fraude, el tratamiento permite a los proveedores de servicios de pago (PSP) realizar análisis en tiempo real de los riesgos asociados a cuentas y pagos. Para ello, se les proporcionan herramientas que les permiten validar datos de cuentas y transacciones tomando como base patrones históricos previamente identificados y detectar posibles anomalías e indicadores que les ayuden a gestionar los riesgos de fraude antes de enviar un pago o como parte de las actividades de confirmación de cuenta.
• En cuanto a la detección del fraude, el tratamiento permite a los proveedores de servicios de pago (PSP) realizar análisis posteriores a la transacción. Proporciona módulos para ayudar a los PSP a investigar e identificar transacciones de alto riesgo una vez realizados los pagos.
• Finalmente, el tratamiento permite realizar análisis de datos para identificar nuevos patrones de riesgos y anomalías de pago que permitan mejorar los procesos de prevención y detección.
Perfilar consiste en utilizar sus datos personales para evaluar determinados aspectos de una persona física, en particular para nosotros para analizar o predecir aspectos relativos a su situación económica que conllevan el tratamiento de datos económicos, financieros y seguros (por ejemplo para así cumplir la normativa de solvencia que nos obliga a dotar provisiones, y también para conceder o no operaciones de riesgo de impago), preferencias personales e intereses que conllevan el tratamientos de características personales, circunstancias sociales, detalles de empleo, información comercial, datos económicos, financieros y seguros, transacciones de bienes, datos geográficos y datos digitales (para, por ejemplo, ajustar las ofertas comerciales a su perfil particular, como sería informarle de planes de pensiones en función de su edad o, de inversiones en función de su perfil inversor), fiabilidad, comportamiento (como sucede en los casos en los que la normativa nos obliga a evaluar su formación y experiencia para comprobar la asunción de los riesgos de ciertas inversiones), ubicación o movimientos (como cuando ha activado servicios de geolocalización en algún dispositivo para beneficiarse de algún servicio o localizarnos, etc.).
En ocasiones, estos perfiles dan lugar a que se adopten decisiones completamente automatizadas, es decir, sin intervención humana, pues ello nos permite adoptar decisiones homogéneas, iguales para todos, que tienen en cuenta datos objetivos o propensiones en función de la edad, lugar de residencia, capacidad económica, inclusión o no en ficheros de solvencia o de insolvencia, formación, profesión, actividad económica, etc. Así sucede cuando se da respuesta automática a través de web a ciertas peticiones de créditos, por ejemplo. De esta forma las decisiones son más justas al ser iguales para todos. En todo caso, en estos supuestos tiene siempre derecho a solicitar que le atienda una persona, a expresar su punto de vista y a impugnar la decisión, pues nuestro interés es siempre atenderle de la forma más eficiente posible. Si así sucede, por favor, recurra a nuestro DPO o al servicio de atención al cliente.
En suma, estos tratamientos nos permiten, especialmente cumplir con las obligaciones para dotar provisiones estadísticas (genéricas) ante posibles impagos, puesto que de esta forma se puede cumplir con la obligación de prevenir posibles pérdidas que afecten a sectores de actividad, demográficos u otros analizados de forma estadística, como los que afecten a una profesión o actividad económica en caso de crisis general de la economía. Evaluar las operaciones que conlleven un riesgo de impago, tomando datos de su persona para poder analizar su capacidad económica para poder devolver lo entregado. También la normativa nos obliga a analizar su experiencia, formación y capacidad para poder realizar ciertas operaciones de inversión o contractuales, por medio de test de idoneidad y conveniencia.
Finalmente, solo evaluando su perfil concreto puede remitírsele publicidad que realmente le pueda interesar en función de sus circunstancias particulares.
Observe que en los formularios de recogida de datos los campos marcados con un asterisco (*) son obligatorios para poder mantener y celebrar el contrato, precontrato o la solicitud del mismo, así como para cumplir las leyes y otras normas. En consecuencia, estos datos serán necesarios para estas finalidades y sin ellos no podrá continuarse la operativa.
El resto de datos y finalidades son opcionales, requieren consentimiento o están basados en un interés legítimo, de manera que siempre se puede oponer a ellos conforme a lo que se le ha indicado, sin que la retirada del consentimiento o tal oposición condicionen la ejecución del contrato, o la solicitud del mismo, o le generen perjuicio alguno.
También puede acudir ante nuestro Delegado de Protección de Datos a través de correo electrónico protecciondedatos@crnavarra.com
Para el ejercicio de cualquiera de los derechos enunciados, puede dirigir su solicitud mediante escrito dirigido a Caja Rural de Navarra – Departamento de Protección de datos en Plaza de los Fueros, nº1, CP 31003, Pamplona o en la dirección de correo electrónico protecciondedatos@crnavarra.com. Para el ejercicio de sus derechos, no será necesario que aporte copia de su DNI, salvo que no nos sea posible acreditar su identidad, en cuyo caso, se lo solicitaremos.
La Entidad realizará una revisión de la presente Política periódicamente, salvo que existan exigencias normativas o de otra índole que hagan necesario adaptar la Política con una periodicidad inferior. Por tanto, se aconseja que consulten periódicamente su contenido, con el objetivo de estar informado adecuadamente sobre cómo y para qué utilizamos sus datos.
Fecha de la última de actualización: Julio 2024.
1 "seudonimización": el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.