Politica di Conservazione dei Dati

 

Sommario

  1. CAMPO D’APPLICAZIONE, SCOPO E DESTINATARI
  2. DOCUMENTI DI RIFERIMENTO
  3. REGOLE PER LA CONSERVAZIONE

3.1. PRINCIPIO GENERALE DELLA CONSERVAZIONE

3.2. PROGRAMMA DI GENERALE CONSERVAZIONE DEI DATI

3.3. LA PROTEZIONE DEI DATI DURANTE IL PERIODO DI CONSERVAZIONE

3.4. DISTRUZIONE DEI DATI

3.5. VIOLAZIONE, MISURE DI ATTUAZIONE E CONFORMITÀ

  1. SMALTIMENTO DEI DOCUMENTI

4.1. PROGRAMMA DELLO SMALTIMENTO DI ROUTINE

4.2. METODO DI DISTRUZIONE

  1. GESTIONE DELLE REGISTRAZIONI SULLA BASE DI QUESTO DOCUMENTO
  2. VALIDITÀ E GESTIONE DEL DOCUMENTO
  3. ALLEGATI

 

 

  1. Campo d’applicazione, scopo e destinatari

Dal combinato disposto di cui agli artt. 5 e 6 del GDPR cioè a dire dalle condizioni di liceità e finalità –che, si rammenta, devono essere determinate, esplicite e lecite- nei limiti di quanto necessario per il raggiungimento dello scopo per i quali i dati sono stati raccolti, nasce il principio di minimizzazione del trattamento. Si tratta di una delle fondamenta dell’intero impianto normativo stabilendo come i dati debbono essere: adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Questa politica stabilisce i periodi di conservazione richiesti per determinate categorie di dati personali e stabilisce gli standard minimi da applicare quando si distruggono determinate informazioni all’interno di JERA srl (da ora in avanti “L’Azienda”).

La presente politica si applica a tutte le unità aziendali, i processi e i sistemi in tutti i paesi in cui l’Azienda svolge attività commerciali e intrattiene rapporti commerciali o di altro tipo con terzi.

La presente Politica si applica a tutti i funzionari, amministratori, dipendenti, agenti, affiliati, collaboratori, consulenti, procuratori o fornitori di servizi della Società che possono raccogliere, trattare o accedere ai dati (compresi i dati personali e / o dati personali sensibili). È responsabilità di tutti i soggetti di cui sopra familiarizzare con questa Politica e garantire un’adeguata conformità con essa.

Questa politica si applica a tutte le informazioni utilizzate presso la Società. Esempi di documenti includono:

  • Messaggi di posta elettronica
  • Documenti cartacei
  • Documenti digitali
  • Video e audio
  • Dati generati dai sistemi di controllo degli accessi fisici
  • Contenuti dei device in riparazione, manutenzione di terzi
  • Contenuti in software gestiti da JERA srl ma di proprietà di terzi
  1. Documenti di Riferimento
  • Il GDPR dell’UE 2016/679 (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE);
  • Legislazione nazionale in materia di privacy e provvedimenti del Garante per la protezione dei dati personali;
  • Politica sulla Protezione dei Dati Personali.
  1. Regole per la Conservazione

3.1. Principio Generale della conservazione

Nel caso in cui, per qualsiasi categoria di documento non specificatamente definita altrove nella presente Politica e salvo diversamente previsto dalla legge applicabile, il periodo di conservazione richiesto per tale documento sarà considerato 10 anni dalla data di creazione del documento.

3.2. Programma di Generale Conservazione dei Dati

Il Responsabile della Protezione dei Dati definisce il periodo di tempo in cui i documenti e le registrazioni elettroniche devono essere conservate attraverso il programma di conservazione dei dati.

Come eccezione, i periodi di conservazione possono essere prolungati qualora si renda necessario:

  • a fronte di indagini da parte delle competenti autorità;
  • qualora si renda necessario per esigenze di tutela legale della Società.

3.3. La Protezione dei Dati durante il Periodo di Conservazione

Sarà considerata la possibilità che i supporti dei dati utilizzati per l’archiviazione si esauriscano. Se vengono scelti supporti di registrazione elettronici, tutte le procedure e i sistemi che garantiscono l’accesso alle informazioni durante il periodo di conservazione (sia per quanto riguarda il supporto informativo sia per la leggibilità dei formati) devono essere anch’essi conservati al fine di salvaguardare l’informazione dalla perdita come risultato di futuri cambiamenti tecnologici. La responsabilità per la conservazione ricade sul Responsabile, che vi provvede dando specifiche istruzioni al personale addetto alla privacy ed al Responsabile IT interno.

3.4. Distruzione dei dati

L’Azienda e i suoi dipendenti dovrebbero quindi, su base regolare, riesaminare tutti i dati, siano essi detenuti elettronicamente sul loro dispositivo o su carta, per decidere se distruggere o cancellare qualsiasi dato una volta che lo scopo per cui tali documenti sono stati creati non è più rilevante. Vedere l’Allegato per il Programma di Conservazione dei Dati. La responsabilità generale per la distruzione dei dati ricade sul Responabile, che vi provvede vigilando il corretto adempimento di ciò da parte del personale addetto alla privacy.

Una volta presa la decisione di smaltirli secondo il Programma di Conservazione, i dati dovrebbero essere cancellati, triturati o altrimenti distrutti in misura equivalente al loro valore per gli altri e al loro livello di riservatezza. Il metodo di smaltimento varia e dipende dalla natura del documento. Ad esempio, tutti i documenti che contengono informazioni ex art. 9,  debbono essere smaltiti come rifiuti riservati e soggetti a cancellazione elettronica sicura e per i cartacei con la distruzione interna con il trita-carte. La sezione Programma dello smaltimento dei documenti di seguito definisce la modalità di smaltimento.

In questo contesto, il dipendente deve svolgere i compiti e assumere le responsabilità rilevanti per la distruzione delle informazioni in modo appropriato. Il processo specifico di cancellazione o distruzione può essere effettuato da un dipendente indicato dal Titolare a tale scopo.

Devono essere predisposti controlli adeguati che impediscano la perdita permanente delle informazioni essenziali dell’Azienda a seguito di distruzione intenzionale o involontaria delle informazioni.

3.5. Violazione, Misure di Attuazione e Conformità

La persona incaricata della protezione dei dati, il Titolare, ha la responsabilità di garantire che ciascuno all’interno dell’Azienda rispetti questa Politica. È anche responsabilità del Titolare riscontrare le eventuali richieste del Garante per la protezione dei dati personali.

Qualsiasi sospetto di violazione di questa Politica deve essere immediatamente segnalato al Titolare. Tutti i casi di sospette violazioni della Politica devono essere investigati e devono essere attuate le relative azioni adeguate.

Il mancato rispetto di questa Politica può comportare conseguenze negative, tra cui, a titolo esemplificativo ma non esaustivo, la perdita della fiducia del cliente, contenziosi e perdita di vantaggio competitivo, perdita finanziaria e danni alla reputazione dell’Azienda, lesioni personali, danni o perdite. La mancata osservanza di questa Politica da parte dei dipendenti a tempo indeterminato, a tempo determinato o collaboratori, o di terzi, cui è stato concesso l’accesso ai locali o alle informazioni dell’Azienda, può pertanto comportare procedimenti disciplinari o la risoluzione del loro rapporto di lavoro o di contratto. Tale inosservanza può anche comportare un’azione legale nei confronti delle parti coinvolte in tali attività.

  1. Smaltimento dei documenti

4.1. Programma dello Smaltimento di Routine

Documenti che possono essere regolarmente distrutti, a meno che non siano oggetto di un’inchiesta legale o normativa in corso, sono i seguenti:

  • Annunci e comunicazioni di riunioni quotidiane e altri eventi, comprese le accettazioni e le scuse;
  • Richieste di informazioni ordinarie come le indicazioni di viaggio;
  • Prenotazioni per riunioni interne senza oneri / costi esterni;
  • Trasmissione di documenti quali lettere, copertine fax, messaggi e-mail, libretti di circolazione, biglietti di accompagnamento ed elementi simili che accompagnano i documenti ma non aggiungono alcun valore;
  • Moduli di messaggi;
  • Elenco indirizzi, liste di distribuzione sostituiti ecc.;
  • Curriculum ricevuti di personale non assunto o da assumere;
  • Duplicati documenti come copie inviate per conoscenza o inoltrate per informazione, bozze inalterate, stampe di snapshot o estratti da database e file temporanei;
  • Pubblicazioni interne di magazzino che sono obsolete o sostituite;
  • Riviste del settore, cataloghi di venditori, volantini e newsletter da fornitori o altre organizzazioni esterne.

In tutti i casi, lo smaltimento è soggetto ad eventuali obblighi di divulgazione che possono esistere nel contesto di un contenzioso.

  1. Validità e gestione del documento

Questo documento ha effetto dal 11 novembre 2021.

Il responsabile per questo documento è il Titolare di JERA srl, l’amministratore delegato, il quale deve controllare e, se necessario, aggiornare il documento con frequenza almeno annuale, e sottoporlo all’approvazione del CDA che è il responsabile ultimo della conformità dell’Azienda alla normativa sul GDPR.

Programma di Conservazione dei Dati

 

Finalità del trattamento

Natura dei dati

Data Retention

Base Giuridica

l reclutamento e selezione del personale .

Dati Comuni

2 anni

Consenso

l reclutamento e selezione del personale per i soggetti non selezionati. CV dei candidati non selezionati. Sussiste la possibilità di utilizzare e quindi trattare i dati anche per eventuali posizioni differenti rispetto a quelle per le quali l’interessato si è candidato.

Dati Comuni

6 mesi

Consenso

Comunicazione e lettera di assunzione.

i termini di conservazione potrebbero essere più ampi in presenza di un contenzioso con il lavoratore o di un suo erede avente diritto. Infatti, comunicazione e lettera di assunzione possono costituire prova della data di inizio del rapporto di lavoro e consentire la determinazione certa di un obbligo contributivo.

Dati Comuni

10 anni

Obbligo di legge o la necessità di tutela in caso di disputa

Assenze del lavoratore. Sono documenti utili a dimostrare i versamenti contributivi effettuati dal datore di lavoro in materia di documentazione previdenziale ed assicurativa nonché in sede di dichiarazione della contribuzione figurativa ai fini pensionistici.

Dati Comuni

10 anni

Obbligo di legge o la necessità di tutela in caso di disputa

LUL Libro Unico del Lavoro.

Dati Comuni

10 anni dall’ultima registrazione

Obbligo di legge o la necessità di tutela in caso di disputa

Malattia professionale e Cartella sanitaria.

Il titolare del trattamento, una volta terminato il rapporto di lavoro è tenuto alla conservazione dei documenti originali per almeno dieci anni. Tuttavia, questo periodo può arrivare ad almeno quaranta anni se il dipendente è stato esposto ad agenti cancerogeni.

 

10 anni (in casi speciali fino a 40 anni)

Obbligo di legge o la necessità di tutela in caso di disputa

L’amministrazione dei fornitori e dei clienti. La gestione degli ordini emessi.

Dati Comuni

10 anni

 

Contratto

Gestione del contenzioso in essere della società.

Dati Comuni e dati

giudiziari

10 anni

 

Contratto

Svolgimento di attività “connesse” e “strumentali” della società, quali attività di

consulenza ed assistenza alle imprese ed ai privati in materia di ICT.

Dati Comuni

1 anno dopo fine contratto

Contratto, necessità di tutela in caso di disputa

Dati acquisiti da device dei clienti per essere elaborati, analizzati o riversati su altro device

Dati impossibili da predeterminare perché del cliente

Immediatamente dopo l’uso

Contratto

Gestione di tutte le fasi connesse all’amministrazione e alla tenuta della contabilità.

Dati Comuni

10 anni decorrenti

dalla chiusura del rapporto art.2220 cc.

 

Contratto

Gestione di tutte le fasi alla redazione delle relazioni semestrali ed annuali, agli adempimenti fiscali, alla redazione dei Budget annuali e alla verifica periodica degli

scostamenti tra budget ed effettivo

Dati Comuni

10 anni

Obbligo di legge

 

Gestione delle attività del rispetto di specifiche disposizioni impartite dal legislatore, da autorità di settore, da organismi di certificazione nonché di regolamentazioni interne alle società stesse.

Dati Comuni e dati

giudiziari

 

10 anni dall’ultima

richiesta

 

Obbligo di legge

 

Attività di segnalazione effettuate da soggetti terzi, della predisposizione e dell’eventuale stipula di contratti di segnalazione

 

Dati Comuni

10 anni dalla

chiusura del

rapporto

 

Consenso

Gestione del sistema informativo aziendale

 

Dati Comuni

10 anni dalla

chiusura del

rapporto

Contratto

Gestione di tutte le fasi connesse all’amministrazione e alla tenuta della contabilità generale.

Dati Comuni

10 anni

Obbligo di legge