Politica di conservazione dei dati
1. Finalità, ambito e utenti
La presente informativa stabilisce i tempi di conservazione obbligatori per determinate categorie di dati personali, nonché stabilisce gli standard minimi applicabili in occasione della cancellazione di determinate informazioni in seno a Blakell Europlacer Ltd (in prosieguo, la “Società”).
La presente informativa si applica a tutte le unità aziendali, a tutti i processi e a tutti i sistemi in tutti i Paesi in cui la Società svolge attività commerciali e intrattiene rapporti commerciali o di altro tipo con terzi.
La presente informativa si applica a tutti i funzionari, dirigenti, dipendenti, agenti, affiliati, appaltatori, consulenti, consiglieri o i fornitori di servizi della Società che potrebbero raccogliere, elaborare o avere accesso ai dati (ivi inclusi dati personali e/o dati sensibili). Tutti i summenzionati soggetti dovranno familiarizzare con la presente informativa e attenervisi strettamente.
• E-mail
• Documenti in formato cartaceo
• Documenti in formato digitale
• Audio e video
• Dati generati da sistemi di controllo degli accessi fisici
2. Documenti di riferiment
• GDPR UE 2016/679 (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati e che abroga la direttiva 95/46/CE)
• Informativa sulla protezione dei dati personali
3. Regole di conservazione
3.1. Principio generale di conservazione
Nel caso in cui, per qualsiasi categoria di documenti non specificatamente definita altrove nella presente Informativa, (e in particolare all’interno del Calendario di conservazione dei dati) salvo quanto diversamente disposto dalla normativa applicabile, il periodo di conservazione richiesto per tale documento verrà fissato in 3 anni a decorrere dalla data di creazione del documento.
3.2. Calendario generale di conservazione
Il Responsabile della protezione dei dati stabilisce il periodo di tempo in cui i documenti e i registri elettronici devono essere conservati attraverso il Calendario di conservazione dei dati.
In deroga, i tempi di conservazione all’interno del Calendario di conservazione dei dati possono essere prolungati in casi quali:
• indagini in corso da parte delle autorità, qualora vi fossero registrazioni di dati personali necessarie alla Società per provare il rispetto di un determinato obbligo di legge; ovvero
• esercizio di legittimi diritti in caso di cause legali o analoghi procedimenti giudiziari ai sensi della normativa locale.
3.3. Protezione dei dati durante il periodo di conservazione
Verrà considerata l’eventualità che i supporti dati utilizzati per l’archiviazione si usurino. In caso di utilizzo di supporti di archiviazione elettronici, tutte le procedure e i sistemi che garantiscono l’accesso alle informazioni durante il periodo di conservazione (sia per quanto riguarda il supporto informativo che per la leggibilità dei formati) devono essere memorizzati al fine di tutelare le informazioni contro eventuali perdite risultanti da futuri cambiamenti tecnologici.
3.4. Distruzione di dati
La Società e i rispettivi dipendenti sono pertanto tenuti a verificare regolarmente tutti i dati, siano essi conservati in formato elettronico sui relativi dispositivi, ovvero in formato cartaceo, ai fini delle decisioni in merito all’eventuale distruzione o eliminazione di ciascun dato una volta esauritosi lo scopo della relativa creazione.
Una volta adottata la decisione di eliminare i dati conformemente al Calendario di conservazione, essi dovranno essere cancellati, triturati o altrimenti distrutti in misura equivalente al rispettivo valore per gli altri e al rispettivo livello di riservatezza. Il metodo di eliminazione varia, nonché dipende dalla natura del documento. Ad esempio, tutti i documenti contenenti dati sensibili o riservati (nonché dati personali particolarmente sensibili) devono essere eliminati come materiale di scarto riservato, soggetto a cancellazione elettronica sicura; alcuni contratti scaduti o sostituiti potrebbero giustificare la triturazione in azienda. Il paragrafo seguente relativo al Calendario di eliminazione dei documenti definisce la modalità di eliminazione.
In questo contesto, il dipendente dovrà svolgere i compiti e assumersi le relative responsabilità per la distruzione delle informazioni in modo appropriato. Il processo specifico di cancellazione o distruzione può essere effettuato da un dipendente o da un fornitore di servizi interno o esterno a cui il Responsabile della protezione dei dati conferisce l’incarico. Devono essere rispettate tutte le disposizioni generali applicabili ai sensi della legge sulla protezione dei dati e dell’informativa sulla protezione dei dati personali della Società.
Devono essere predisposti controlli appropriati che impediscano la perdita permanente delle informazioni essenziali della società a seguito di una distruzione intenzionale o involontaria delle stesse – tali controlli sono descritti nell’Informativa sulla sicurezza IT della Società.
Devono essere pienamente rispettati i requisiti di legge applicabili per la distruzione delle informazioni, in particolare i requisiti delle leggi in materia di protezione dei dati.
3.5. Violazione, applicazione e conformità
I soggetti nominati responsabili per la Protezione dei dati sono tenuti a garantire il rispetto della presente Informativa da parte di ciascuna delle sedi della Società. Il gruppo di Gestione della protezione dei dati assistere gli uffici locali per le richieste provenienti dalle autorità locali o governative garanti della privacy.
Qualsiasi sospetta violazione della presente Informativa deve essere immediatamente segnalata al gruppo di Gestione della protezione dei dati. Tutte le istanze di sospette violazioni della presente Informativa dovranno essere investigate e, a seconda dei casi, dovranno essere intraprese le opportune azioni.
Il mancato rispetto della presente Informativa potrebbe comportare conseguenze negative, ivi comprese, a titolo esemplificativo ma non esaustivo, perdita della fiducia da parte del cliente, contenzioso e perdita di vantaggio competitivo, perdite finanziarie, nonché danni alla reputazione della Società, lesioni personali, danni o altre perdite. Il mancato rispetto della presente Informativa da parte di dipendenti a tempo determinato, indeterminato o a contratto, ovvero da parte di soggetti terzi, a cui sia stato concesso l’accesso ai locali o alle informazioni della Società, potrebbe pertanto comportare procedimenti disciplinari ovvero la risoluzione del rispettivo contratto o rapporto di lavoro. Tale mancato rispetto potrebbe inoltre condurre a un’azione legale contro le parti coinvolte in tali attività.
4. Eliminazione dei documenti
4.1. Calendario per le procedure ordinarie di eliminazione
Di seguito si risporta un elenco dei documenti che possono essere regolarmente distrutti, salvo che non siano oggetto di un’inchiesta giudiziaria o amministrativa in corso:
• richieste di informazioni ordinarie quali indicazioni di viaggio;
• prenotazioni per riunioni interne senza spese/costi esterni;
• trasmissione di documenti quali lettere, copertine fax, messaggi e-mail, schede di accompagnamento, schede di congratulazioni e articoli similari allegati ai documenti ma che non aggiungono alcun valore;
• Moduli di messaggistica;
• elenco di indirizzi sostituiti, liste di distribuzione, ecc.;
• documenti duplicati come copie CC e FYI, bozze inalterate, stampe istantanee o estratti da database e file giornalieri;
• pubblicazioni interne di repertorio obsolete o sostituite; nonché
• riviste commerciali, cataloghi di rivenditori, volantini e newsletter di fornitori o altre organizzazioni esterne.
In tutti i casi, l’eliminazione è soggetta a eventuali obblighi di divulgazione eventualmente presenti nell’ambito del contenzioso.
4.2. Metodo di distruzione
Per documenti di livello I si intendono quelli contenenti informazioni di massima sicurezza e riservatezza, nonché quelli che includono dati personali. Questi documenti devono essere eliminati come elementi di scarto riservati (triturati e inceneriti), nonché sottoposti a cancellazione elettronica sicura. L’eliminazione dei documenti deve includere la prova di avvenuta distruzione.
Per documenti di livello II si intendono documenti proprietari contenenti informazioni riservate quali nomi, firme e indirizzi delle parti ovvero documenti che potrebbero essere utilizzati da terze parti per commettere frodi, ma che non contengono dati personali. I documenti devono essere triturati, quindi collocati in bidoni dell’immondizia a chiusura ermetica per essere raccolti da una ditta di smaltimento autorizzata, mentre i documenti elettronici saranno soggetti a cancellazione elettronica sicura.
Per documenti di livello III si intendono documenti aziendali pubblicati che non contengono informazioni riservate o dati personali. Tali documenti dovrebbero essere tagliati a striscioline o eliminati a cura di una società di riciclaggio, inoltre dovrebbero includere, tra le altre cose, pubblicità, cataloghi, volantini e newsletter. Tali documenti possono essere smaltiti anche in assenza di tracciabilità dei dati.
5. Validità e gestione del documento
Il presente documento decorre dal mese di gennaio 2019
Il presente documento è proprietà del gruppo di Gestione della protezione dei dati, il quale è tenuto a rivedere e, ove necessario, aggiornare il documento almeno una volta all’anno.
6. Allegati
Allegato – Calendario di conservazione dei dati
Registri contabili
Categoria dei registri di dati personali | Periodo di conservazione obbligatorio | Proprietario del registro |
Registri delle buste paga | Sette anni successivi alla revisione contabile | Finanza |
Recapiti dei fornitoriPiano dei conti | Sette anni successivi alla scadenza del contratto | Finanza |
Regolamenti e procedure fiscali | A tempo indeterminato | Finanza |
Revisioni contabili permanenti | A tempo indeterminato | Finanza |
Bilanci | A tempo indeterminato | Finanza |
Rendiconto finanziario | A tempo indeterminato | Finanza |
Libro mastro | A tempo indeterminato | Finanza |
Registri degli investimenti (depositi, ricavi, prelievi) | 7 anni | Finanza |
Fatture | 7 anni | Finanza |
Assegni annullati | 7 anni | Finanza |
Moduli di versamento bancario | 7 anni | Finanza |
Note spese aziendali | 7 anni | Finanza |
Registri/Libri di controllo | 7 anni | Finanza |
Patrimonio/inventario dei beni | 7 anni | Finanza |
Ricevute delle carte di credito | 3 anni | Finanza |
Ricevute/documenti di piccole spese | 3 anni | Finanza |
Registri aziendali
Categoria dei registri di dati personali | Periodo di conservazione obbligatorio | Proprietario del registro |
Statuto per l’ottenimento della forma giuridica di società | A tempo indeterminato | Finanza |
Delibere del consiglio di amministrazione | A tempo indeterminato | Finanza |
Verbali delle riunioni del Consiglio di amministrazione | A tempo indeterminato | Finanza |
Designazione del codice fiscale o del numero di matricola dei dipendenti | A tempo indeterminato | Finanza |
Verbali delle riunioni dell’ufficio e del team Documenti aziendali annuali |
A tempo indeterminato | Finanza |
Risorse umane: Registri dei dipendenti
Categoria dei registri di dati personali | Periodo di conservazione obbligatorio | Proprietario del registro |
Registri disciplinari, procedure di richiamo, verbali/orali, scritti, ammonimenti finali, ricorsi | Conformemente ai requisiti di legge | Risorse Umane |
Domande di lavoro, appunti dei colloqui – Gruppo interno di reclutamento/promozione In caso di mancata promozione del candidato In caso di promozione del candidato | Immediatamente cancellato
Durata dell’impiego |
Risorse Umane |
Moduli di inserimento a libro paga, registri salari/stipendi, pagamenti straordinari/bonus, buste paga, copie | 7 anni | Risorse Umane |
Dati bancari – attuali | Durata dell’impiego | Risorse Umane |
Libri paga/stipendi | Durata dell’impiego | Risorse Umane |
Cronologia dell’impiego, ivi comprese le registrazioni personali del personale: contratto/i, Ts & Cs; precedenti date di servizio; storia retributiva e pensionistica, stime previdenziali, lettere di dimissioni/di licenziamento | Conformemente ai requisiti di legge | Risorse Umane |
Recapiti del dipendente | Durata dell’impiego | Risorse Umane |
Richieste di spesa | Conformemente ai requisiti di legge | Risorse Umane |
Registri delle ferie annuali | Durata dell’impiego | Risorse Umane |
Registri degli incidenti Denunce di incidente e corrispondenza |
Conformemente ai requisiti di legge | Risorse Umane |
Certificati e autocertificati non collegati a infortuni sul lavoro; moduli di pagamento per malattia | Conformemente ai requisiti di legge | Risorse Umane |
Certificato di gravidanza/certificato di parto | Conformemente ai requisiti di legge | Risorse Umane |
Congedo parentale | Durata dell’impiego | Risorse Umane |
Registrazione della retribuzione e calcoli per la maternità | Conformemente ai requisiti di legge | Risorse Umane |
Dettagli sulla ridondanza, calcoli di pagamento, rimborsi, notifiche | Conformemente ai requisiti di legge | Risorse Umane |
Registrazioni relative a formazione e sviluppo | Durata dell’impiego | Risorse Umane |
Contratti
Categoria dei registri di dati personali |
Periodo di conservazione obbligatorio | Proprietario del registro |
Firmato | A tempo indeterminato | Finanza |
Modifiche contrattuali | A tempo indeterminato | Finanza |
Documenti relativi a gare d’appalto aggiudicate | A tempo indeterminato | Finanza |
Documenti relativi a gare d’appalto non aggiudicate | A tempo indeterminato | Finanza |
Gare d’appalto – requisiti degli utenti, specifiche, criteri di valutazione, invito a presentare offerte | A tempo indeterminato | Finanza |
Segnalazioni degli appaltatori | A tempo indeterminato | Finanza |
Gestione e monitoraggio, ad es. reclami | A tempo indeterminato | Finanza |
Dati relativi ai clienti
Categoria dei registri di dati personali | Periodo di conservazione obbligatorio | Proprietario del registro |
Dati della piattaforma – inclusi dati video, commenti, allegati, immagine del profilo, indirizzo email, nome e cognome | Da conservare per tutta la durata del rapporto contrattuale con una società cliente ovvero fino alla cancellazione da parte di un utente.In seguito alla richesta di cancellazione di tutte le registrazioni da parte di una società, i dati verranno rimossi dagli archivi entro 9 mesi | Cliente |
Registrazioni su schermo della sessione di assistenza | Cancellate automaticamente dopo 90 giorni | Assistenza |
Dati CRM – comprensivi di nome, indirizzo e-mail, numero di cellulare, indirizzo, e-mail e riepiloghi delle chiamate telefoniche, informazioni DPO | Da conservare per tutta la durata del rapporto contrattuale con una società cliente ovvero fino alla cancellazione da parte di un utente. Successivamente alla richesta di cancellazione di tutte le registrazioni da parte di una società, i dati verranno rimossi dagli archivi entro 9 mesi | Assistenza |
Dati metrici | Da conservare per tutta la durata del rapporto contrattuale con una società cliente ovvero fino alla cancellazione da parte di un utente. Successivamente alla richesta di cancellazione di tutte le registrazioni da parte di una società, i dati saranno resi anonimi | Team di sviluppo |
Dati relativi a soggetti diversi dai clienti
Categoria dei registri di dati personali | Periodo di conservazione obbligatorio | Proprietario del registro |
Nome, indirizzo e-mail | Conservato fino all’avvenuto disiscrizione / richiesta di rimozione dal sistema da parte di un soggetto | Marketing & Vendite |
Registrazioni telefoniche | Cancellate automaticamente dopo 6 mesi | Vendite |
IT
Categoria dei registri di dati personali | Periodo di conservazione obbligatorio | Proprietario del registro |
Cestini | Cancellati mensilmente | Singolo dipendente |
Documenti scaricati | Cancellati mensilmente | Singolo dipendente |
InboxPosta in arrivo | Tutte le e-mail contenenti allegati PII verranno cancellate dopo 3 anni. | Singolo dipendente |
Messaggi e-mail cancellati | Cancellati mensilmente | Singolo dipendente |
Unità di rete personale | Unità di rete personale Verificata trimestralmente, tutti i documenti contenenti PII verranno cancellati dopo 3 anni | Singolo dipendente |
Unità e file locali | Trasferiti su unità di rete mensilmente, quindi eliminati dall’unità locale | Singolo dipendente |
Area Onedrive/Dropbox | Verificata trimestralmente, tutti i documenti contenenti PII verranno cancellati dopo 3 anni | Singolo dipendente |