Politica di conservazione dei dati


Documento conforme al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016

Campo d’applicazione, di scopo e destinatari

Questa politica stabilisce i periodi di conservazione richiesti per determinate categorie di dati personali e stabilisce gli standard minimi da applicare quando si distruggono determinate informazioni all’interno di ANSTEFAR Molise srl.

La presente politica si applica a tutte le unità aziendali, i processi e i sistemi in tutti i paesi in cui l’Azienda svolge attività commerciali e intrattiene rapporti commerciali o di altro tipo con terzi. Inoltre la presente Politica si applica a tutti i funzionari, amministratori, dipendenti, agenti, affiliati, collaboratori, consulenti o fornitori di servizi della Società che possono raccogliere, trattare o accedere ai dati (compresi i dati personali e/o dati personali sensibili).

E’ responsabilità di tutti i soggetti di cui sopra familiarizzare con questa Politica e garantire un’adeguata conformità con essa.

Questa si applica quindi a tutte le informazioni utilizzate presso la Società che sono contenute all’interno di messaggi di posta elettronica, documenti cartacei, documenti digitali, video, audio e dai dati generati da sistemi di controllo degli accessi fisici.

Documenti di Riferimento

  • Il GDPR dell’UE 2016/679 (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE).
  • Decreto Legislativo 30 giugno 2003, n. 196. “Codice in materia di protezione dei dati personali” pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003.
  • Politica sulla Protezione dei Dati Personali.

Regole per la Conservazione

Principio Generale della conservazione

Nel caso in cui, per qualsiasi categoria di documento non specificatamente definita altrove e nella presente Politica, salvo diversamente previsto dalla legge applicabile, il periodo di conservazione richiesto per tale documento sarà considerato 3 anni dalla data di creazione del documento.

Programma di Generale Conservazione dei Dati

Il Responsabile della Protezione dei Dati definisce il periodo di tempo in cui i documenti e le registrazioni elettroniche devono essere conservate attraverso il programma di conservazione dei dati. Come eccezione, i periodi di conservazione all’interno del Programma di Conservazione dei Dati possono essere prolungati in casi quali:

  1. Indagini in corso da parte delle autorità degli Stati Membri, se esiste la possibilità che i dati personali siano necessari all’Azienda per dimostrare la conformità con i requisiti legali;
  2. Nell’esercizio dei diritti legali in caso di cause legali o procedimenti giudiziari analoghi ai sensi della legge locale.

La Protezione dei Dati durante il Periodo di Conservazione

Sarà considerata la possibilità che i supporti dei dati utilizzati per l’archiviazione si esauriscano. Se vengono scelti supporti di registrazione elettronici, tutte le procedure e i sistemi che garantiscono l’accesso alle informazioni durante il periodo di conservazione devono essere anch’essi conservati al fine di salvaguardare l’informazione dalla perdita come risultato di futuri cambiamenti tecnologici. La responsabilità per la conservazione ricade sui responsabili del Trattamento dei Dati delle sedi operative di ANSTEFAR Molise srl, quella di Larino, di Santa Croce di Magliano e di Montenero di Bisaccia, nonché su Rewind srl, la società che si occupa della conservazione dei dati per ANSTEFAR Molise srl.

Distruzione dei dati

L’Azienda e i suoi dipendenti dovrebbero quindi, su base regolare, riesaminare tutti i dati, siano essi detenuti elettronicamente sul loro dispositivo o su carta, per decidere se distruggere o cancellare qualsiasi dato una volta che lo scopo per cui tali documenti sono stati creati non è più rilevante. Vedere l’Allegato per il Programma di Conservazione dei Dati.
La responsabilità generale per la distruzione dei dati ricade su ANSTEFAR Molise srl e su Rewind srl, ovvero la società che si occupa della conservazione dei dati per ANSTEFAR Molise srl.

Una volta presa la decisione di smaltirli secondo il Programma di Conservazione, i dati dovrebbero essere cancellati, triturati o altrimenti distrutti in misura equivalente al loro valore per gli altri e al loro livello di riservatezza. Il metodo di smaltimento varia e dipende dalla natura del documento. Ad esempio, tutti i documenti che contengono informazioni sensibili o riservate devono essere smaltiti come rifiuti riservati e soggetti a cancellazione elettronica sicura; alcuni contratti scaduti o sostituiti richiedono soltanto la distruzione interna con il trita-carte. La sezione Programma dello smaltimento dei documenti di seguito
definisce la modalità di smaltimento.

In questo contesto, il dipendente deve svolgere i compiti e assumere le responsabilità rilevanti per la distruzione delle informazioni in modo appropriato. Il processo specifico di cancellazione o distruzione può essere effettuato da un dipendente o da un fornitore di servizi interno o esterno che ANSTEFAR Molise srl subappalta a tale scopo. Devono essere rispettate tutte le disposizioni generali applicabili ai sensi delle leggi sulla protezione dei dati e la Politica sulla Protezione dei Dati Personali dell’Azienda.

Devono essere predisposti controlli adeguati che impediscano la perdita permanente delle informazioni essenziali dell’Azienda a seguito di distruzione intenzionale o involontaria delle informazioni, questi controlli sono descritti nelle Politiche di Sicurezza dell’Informazione.

ANSTEFAR Molise srl deve documentare e approvare pienamente il processo di distruzione. Devono essere pienamente rispettati i requisiti di legge applicabili per la distruzione delle informazioni, in particolare i requisiti delle leggi applicabili sulla protezione dei dati.

Violazione, Misure di Attuazione e Conformità

La persona incaricata della protezione dei dati ha la responsabilità di garantire che ciascuno degli uffici dell’Azienda rispetti questa Politica. E’ anche responsabilità del RPD assistere gli uffici locali per quanto riguarda le richieste delle autorità locali competenti per la protezione dei dati o delle autorità governative.

Il Responsabile della protezione dei Dati deve essere tempestivamente informato di qualsiasi sospetto di violazione di questa Politica. Tutti i casi di sospette violazioni della Politica devono essere investigati e devono essere attuate le relative azioni adeguate.

Il mancato rispetto di questa Politica può comportare conseguenze negative, tra cui, a titolo esemplificativo ma non esaustivo, la perdita della fiducia del cliente, contenziosi e perdita di vantaggio competitivo, perdita finanziaria e danni alla reputazione dell’Azienda, lesioni personali, danni o perdite. La mancata osservanza di questa Politica da parte dei dipendenti a tempo indeterminato, a tempo determinato o collaboratori, o di terzi, cui è stato concesso l’accesso ai locali o alle informazioni dell’Azienda, può pertanto comportare procedimenti disciplinari o la risoluzione del loro rapporto di lavoro o di contratto. Tale inosservanza può anche comportare un’azione legale nei confronti delle parti coinvolte in tali attività.

Smaltimento dei documenti

Programma dello Smaltimento di Routine

Documenti che possono essere regolarmente distrutti, a meno che non siano oggetto di un’inchiesta legale o normativa in corso, sono i seguenti:

  • Annunci e comunicazioni di riunioni quotidiane e altri eventi;
  • Richieste di informazioni ordinarie;
  • Prenotazioni per riunioni interne senza oneri/costi esterni;
  • Trasmissione di documenti quali lettere, copertine fax, messaggi e-mail, libretti di circolazione, biglietti di accompagnamento ed elementi simili che accompagnano i documenti ma non aggiungono alcun valore;
  • Moduli di messaggi;
  • Elenco indirizzi, liste di distribuzione sostituiti ecc. ;
  • Duplicati documenti come copie inviate per conoscenza o inoltrate per informazione, bozze inalterate, stampe di snapshot o estratti da database e file temporanei;
  • Pubblicazioni interne di magazzino che sono obsolete o sostituite;
  • Riviste del settore, cataloghi di venditori, volantini e newsletter da fornitori o altre organizzazioni esterne.

In tutti i casi, lo smaltimento è soggetto ad eventuali obblighi di divulgazione che possono esistere nel contesto di un contenzioso.

Metodo di distruzione degli stessi

I documenti di livello I^ sono quelli che contengono informazioni di massima sicurezza e riservatezza e quelli che includono dati personali. Questi documenti devono essere smaltiti come rifiuti riservati (distrutti con un tritacarte e inceneriti) e devono essere sottoposti a cancellazione elettronica sicura. Lo smaltimento dei documenti deve includere la prova della distruzione.

I documenti di livello II^ sono documenti proprietari che contengono informazioni riservate quali nomi, firme e indirizzi delle parti o che potrebbero essere utilizzati da terzi per commettere frodi, ma che non contengono dati personali. I documenti devono essere triturati e quindi collocati in bidoni dell’immondizia chiusi per essere raccolti da una ditta di smaltimento autorizzata, mentre i documenti elettronici saranno soggetti a cancellazione elettronica sicura.

I documenti di livello III^ sono quelli che non contengono informazioni riservate o dati personali e sono documenti aziendali pubblicati. Questi dovrebbero essere tagliati in strisce da un tritacarte o eliminati tramite una società di riciclaggio e includono, tra le altre cose, pubblicità, cataloghi, volantini e newsletter. Questi possono essere smaltiti senza una catena di controllo.

Gestione delle registrazioni sulla base di questo documento

Nome del documentoLuogo di archiviazionePersona responsabile dell’archiviazioneControlli per la protezione del documentoTempo di archiviazione
Programma conservazione dei datiIn forma cartacea presso le sedi operative di SANSTEFAR Molise srl (Campobasso e Termoli) e in formato digitale presso la sede operativa del responsabile della parte informatica Rewind srlIn formato digitale Rewind srl e in formato cartaceo i Responsabili del Trattamento dei dati delle sedi di SANSTEFAR Molise srl di Campobasso e TermoliSolo le persone
autorizzate possono accedere a questo documento
Permanente

Validità e gestione del documento

Questo documento ha effetto dal 03/12/2018.

Il responsabile per questo documento è il Titolare del Trattamento dei dati e i suoi delegati, i quali devono controllare e se necessario aggiornare il documento con frequenza almeno annuale.

ALLEGATO – Programma di Conservazione dei Dati

CATEGORIA DI DOCUMENTO CONTENENTE DATI PERSONALIPERIODO DI CONSERVAZIONE OBBLIGATORIOPROPRIETARIO DEL DOCUMENTO
Dati anagrafici, codice fiscale, indirizzi di residenza dei pazienti3 anni dalla prestazioneVendite/Amministrazione
Dati relativi alla salute dei pazienti3 anni dalla prestazioneVendite/Amministrazione
Fatture e ricevute fiscali rilasciate ai pazienti10 anni dalla fine del contrattoVendite/Amministrazione
Moduli per la Gestione dei Diritti degli interessati5 anni dalla fine del contrattoResponsabili del Trattamento Dati
Contratti con i dipendenti10 anni dalla fine del contrattoRisorse Umane
Buste paga dipendenti10 anni dalla fine del contrattoRisorse Umane
Contratti e fatture dei fornitori10 anni dalla fine del contrattoAcquisti/Amministrazione
Contratti e fatture dei professionisti10 anni dalla fine del contrattoAcquisti/Amministrazione