Informativa sulla conservazione dei dati

1. Finalità, ambito e utenti

La presente informativa stabilisce i tempi di conservazione obbligatori per determinate categorie di dati personali, nonché stabilisce gli standard minimi applicabili in occasione della cancellazione di determinate informazioni in seno a Speed Print Technology Limited (in prosieguo, la “Società”).
La presente informativa si applica a tutte le unità aziendali, a tutti i processi e a tutti i sistemi in tutti i Paesi in cui la Società svolge attività commerciali e intrattiene rapporti commerciali o di altro tipo con terzi.
La presente informativa si applica a tutti i funzionari, dirigenti, dipendenti, agenti, affiliati, appaltatori, consulenti, consiglieri o i fornitori di servizi della Società che potrebbero raccogliere, elaborare o avere accesso ai dati (ivi inclusi dati personali e/o dati sensibili). Tutti i summenzionati soggetti dovranno familiarizzare con la presente informativa e attenervisi strettamente.

La presente informativa si applica a tutte le informazioni utilizzate in seno alla Società. Esempi di documenti comprendono:
• E-mail
• Documenti in formato cartaceo
• Documenti in formato digitale
• Audio e video
• Dati generati da sistemi di controllo degli accessi fisici

2. Documenti di riferiment

• GDPR UE 2016/679 (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati e che abroga la direttiva 95/46/CE)
• Informativa sulla protezione dei dati personali

3. Regole di conservazione

3.1. Principio generale di conservazione

Nel caso in cui, per qualsiasi categoria di documenti non specificatamente definita altrove nella presente Informativa, (e in particolare all’interno del Calendario di conservazione dei dati) salvo quanto diversamente disposto dalla normativa applicabile, il periodo di conservazione richiesto per tale documento verrà fissato in 3 anni a decorrere dalla data di creazione del documento.

3.2. Calendario generale di conservazione

Il Responsabile della protezione dei dati stabilisce il periodo di tempo in cui i documenti e i registri elettronici devono essere conservati attraverso il Calendario di conservazione dei dati.
In deroga, i tempi di conservazione all’interno del Calendario di conservazione dei dati possono essere prolungati in casi quali:

• indagini in corso da parte delle autorità, qualora vi fossero registrazioni di dati personali necessarie alla Società per provare il rispetto di un determinato obbligo di legge; ovvero
• esercizio di legittimi diritti in caso di cause legali o analoghi procedimenti giudiziari ai sensi della normativa locale.

3.3. Protezione dei dati durante il periodo di conservazione

Verrà considerata l’eventualità che i supporti dati utilizzati per l’archiviazione si usurino. In caso di utilizzo di supporti di archiviazione elettronici, tutte le procedure e i sistemi che garantiscono l’accesso alle informazioni durante il periodo di conservazione (sia per quanto riguarda il supporto informativo che per la leggibilità dei formati) devono essere memorizzati al fine di tutelare le informazioni contro eventuali perdite risultanti da futuri cambiamenti tecnologici.

3.4. Distruzione di dati

La Società e i rispettivi dipendenti sono pertanto tenuti a verificare regolarmente tutti i dati, siano essi conservati in formato elettronico sui relativi dispositivi, ovvero in formato cartaceo, ai fini delle decisioni in merito all’eventuale distruzione o eliminazione di ciascun dato una volta esauritosi lo scopo della relativa creazione.
Una volta adottata la decisione di eliminare i dati conformemente al Calendario di conservazione, essi dovranno essere cancellati, triturati o altrimenti distrutti in misura equivalente al rispettivo valore per gli altri e al rispettivo livello di riservatezza. Il metodo di eliminazione varia, nonché dipende dalla natura del documento. Ad esempio, tutti i documenti contenenti dati sensibili o riservati (nonché dati personali particolarmente sensibili) devono essere eliminati come materiale di scarto riservato, soggetto a cancellazione elettronica sicura; alcuni contratti scaduti o sostituiti potrebbero giustificare la triturazione in azienda. Il paragrafo seguente relativo al Calendario di eliminazione dei documenti definisce la modalità di eliminazione.
In questo contesto, il dipendente dovrà svolgere i compiti e assumersi le relative responsabilità per la distruzione delle informazioni in modo appropriato. Il processo specifico di cancellazione o distruzione può essere effettuato da un dipendente o da un fornitore di servizi interno o esterno a cui il Responsabile della protezione dei dati conferisce l’incarico. Devono essere rispettate tutte le disposizioni generali applicabili ai sensi della legge sulla protezione dei dati e dell’informativa sulla protezione dei dati personali della Società.
Devono essere predisposti controlli appropriati che impediscano la perdita permanente delle informazioni essenziali della società a seguito di una distruzione intenzionale o involontaria delle stesse – tali controlli sono descritti nell’Informativa sulla sicurezza IT della Società.
Devono essere pienamente rispettati i requisiti di legge applicabili per la distruzione delle informazioni, in particolare i requisiti delle leggi in materia di protezione dei dati.

3.5. Violazione, applicazione e conformità

I soggetti nominati responsabili per la Protezione dei dati sono tenuti a garantire il rispetto della presente Informativa da parte di ciascuna delle sedi della Società. Il gruppo di Gestione della protezione dei dati assistere gli uffici locali per le richieste provenienti dalle autorità locali o governative garanti della privacy.
Qualsiasi sospetta violazione della presente Informativa deve essere immediatamente segnalata al gruppo di Gestione della protezione dei dati. Tutte le istanze di sospette violazioni della presente Informativa dovranno essere investigate e, a seconda dei casi, dovranno essere intraprese le opportune azioni.
Il mancato rispetto della presente Informativa potrebbe comportare conseguenze negative, ivi comprese, a titolo esemplificativo ma non esaustivo, perdita della fiducia da parte del cliente, contenzioso e perdita di vantaggio competitivo, perdite finanziarie, nonché danni alla reputazione della Società, lesioni personali, danni o altre perdite. Il mancato rispetto della presente Informativa da parte di dipendenti a tempo determinato, indeterminato o a contratto, ovvero da parte di soggetti terzi, a cui sia stato concesso l’accesso ai locali o alle informazioni della Società, potrebbe pertanto comportare procedimenti disciplinari ovvero la risoluzione del rispettivo contratto o rapporto di lavoro. Tale mancato rispetto potrebbe inoltre condurre a un’azione legale contro le parti coinvolte in tali attività.

4. Eliminazione dei documenti

4.1. Calendario per le procedure ordinarie di eliminazione

Di seguito si risporta un elenco dei documenti che possono essere regolarmente distrutti, salvo che non siano oggetto di un’inchiesta giudiziaria o amministrativa in corso:

• annunci e comunicazioni di riunioni quotidiane e altri eventi, ivi comprese le ammissioni e le scuse;
• richieste di informazioni ordinarie quali indicazioni di viaggio;
• prenotazioni per riunioni interne senza spese/costi esterni;
• trasmissione di documenti quali lettere, copertine fax, messaggi e-mail, schede di accompagnamento, schede di congratulazioni e articoli similari allegati ai documenti ma che non aggiungono alcun valore;
• Moduli di messaggistica;
• elenco di indirizzi sostituiti, liste di distribuzione, ecc.;
• documenti duplicati come copie CC e FYI, bozze inalterate, stampe istantanee o estratti da database e file giornalieri;
• pubblicazioni interne di repertorio obsolete o sostituite; nonché
• riviste commerciali, cataloghi di rivenditori, volantini e newsletter di fornitori o altre organizzazioni esterne.

In tutti i casi, l’eliminazione è soggetta a eventuali obblighi di divulgazione eventualmente presenti nell’ambito del contenzioso.

4.2. Metodo di distruzione

Per documenti di livello I si intendono quelli contenenti informazioni di massima sicurezza e riservatezza, nonché quelli che includono dati personali. Questi documenti devono essere eliminati come elementi di scarto riservati (triturati e inceneriti), nonché sottoposti a cancellazione elettronica sicura. L’eliminazione dei documenti deve includere la prova di avvenuta distruzione.
Per documenti di livello II si intendono documenti proprietari contenenti informazioni riservate quali nomi, firme e indirizzi delle parti ovvero documenti che potrebbero essere utilizzati da terze parti per commettere frodi, ma che non contengono dati personali. I documenti devono essere triturati, quindi collocati in bidoni dell’immondizia a chiusura ermetica per essere raccolti da una ditta di smaltimento autorizzata, mentre i documenti elettronici saranno soggetti a cancellazione elettronica sicura.
Per documenti di livello III si intendono documenti aziendali pubblicati che non contengono informazioni riservate o dati personali. Tali documenti dovrebbero essere tagliati a striscioline o eliminati a cura di una società di riciclaggio, inoltre dovrebbero includere, tra le altre cose, pubblicità, cataloghi, volantini e newsletter. Tali documenti possono essere smaltiti anche in assenza di tracciabilità dei dati.

5. Validità e gestione del documento

Il presente documento decorre dal mese di gennaio 2019
Il presente documento è proprietà del gruppo di Gestione della protezione dei dati, il quale è tenuto a rivedere e, ove necessario, aggiornare il documento almeno una volta all’anno.

6. Allegati

Allegato – Calendario di conservazione dei dati

Registri contabili

Categoria dei registri di dati personali Periodo di conservazione obbligatorio Proprietario del registro
Registri delle buste paga Sette anni successivi alla revisione contabile Finanza
Recapiti dei fornitoriPiano dei conti Sette anni successivi alla scadenza del contratto Finanza
Regolamenti e procedure fiscali A tempo indeterminato Finanza
Revisioni contabili permanenti A tempo indeterminato Finanza
Bilanci A tempo indeterminato Finanza
Rendiconto finanziario A tempo indeterminato Finanza
Libro mastro A tempo indeterminato Finanza
Registri degli investimenti (depositi, ricavi, prelievi) 7 anni Finanza
Fatture 7 anni Finanza
Assegni annullati 7 anni Finanza
Moduli di versamento bancario 7 anni Finanza
Note spese aziendali 7 anni Finanza
Registri/Libri di controllo 7 anni Finanza
Patrimonio/inventario dei beni 7 anni Finanza
Ricevute delle carte di credito 3 anni Finanza
Ricevute/documenti di piccole spese 3 anni Finanza


Registri aziendali

Categoria dei registri di dati personali Periodo di conservazione obbligatorio Proprietario del registro
Statuto per l’ottenimento della forma giuridica di società A tempo indeterminato Finanza
Delibere del consiglio di amministrazione A tempo indeterminato Finanza
Verbali delle riunioni del Consiglio di amministrazione A tempo indeterminato Finanza
Designazione del codice fiscale o del numero di matricola dei dipendenti A tempo indeterminato Finanza
Verbali delle riunioni dell’ufficio e del team
Documenti aziendali annuali
A tempo indeterminato Finanza

Risorse umane: Registri dei dipendenti

Categoria dei registri di dati personali Periodo di conservazione obbligatorio Proprietario del registro
Registri disciplinari, procedure di richiamo, verbali/orali, scritti, ammonimenti finali, ricorsi Conformemente ai requisiti di legge Risorse Umane
Domande di lavoro, appunti dei colloqui – Gruppo interno di reclutamento/promozione In caso di mancata promozione del candidato In caso di promozione del candidato Immediatamente cancellato

Durata dell’impiego

Risorse Umane
Moduli di inserimento a libro paga, registri salari/stipendi, pagamenti straordinari/bonus, buste paga, copie 7 anni Risorse Umane
Dati bancari – attuali Durata dell’impiego Risorse Umane
Libri paga/stipendi Durata dell’impiego Risorse Umane
Cronologia dell’impiego, ivi comprese le registrazioni personali del personale: contratto/i, Ts & Cs; precedenti date di servizio; storia retributiva e pensionistica, stime previdenziali, lettere di dimissioni/di licenziamento Conformemente ai requisiti di legge Risorse Umane
Recapiti del dipendente Durata dell’impiego Risorse Umane
Richieste di spesa Conformemente ai requisiti di legge Risorse Umane
Registri delle ferie annuali Durata dell’impiego Risorse Umane
Registri degli incidenti
Denunce di incidente e corrispondenza
Conformemente ai requisiti di legge Risorse Umane
Certificati e autocertificati non collegati a infortuni sul lavoro; moduli di pagamento per malattia Conformemente ai requisiti di legge Risorse Umane
Certificato di gravidanza/certificato di parto Conformemente ai requisiti di legge Risorse Umane
Congedo parentale Durata dell’impiego Risorse Umane
Registrazione della retribuzione e calcoli per la maternità Conformemente ai requisiti di legge Risorse Umane
Dettagli sulla ridondanza, calcoli di pagamento, rimborsi, notifiche Conformemente ai requisiti di legge Risorse Umane
Registrazioni relative a formazione e sviluppo Durata dell’impiego Risorse Umane

Contratti


Categoria dei registri di dati personali
Periodo di conservazione obbligatorio Proprietario del registro
Firmato A tempo indeterminato Finanza
Modifiche contrattuali A tempo indeterminato Finanza
Documenti relativi a gare d’appalto aggiudicate A tempo indeterminato Finanza
Documenti relativi a gare d’appalto non aggiudicate A tempo indeterminato Finanza
Gare d’appalto – requisiti degli utenti, specifiche, criteri di valutazione, invito a presentare offerte A tempo indeterminato Finanza
Segnalazioni degli appaltatori A tempo indeterminato Finanza
Gestione e monitoraggio, ad es. reclami A tempo indeterminato Finanza

Dati relativi ai clienti

Categoria dei registri di dati personali Periodo di conservazione obbligatorio Proprietario del registro
Dati della piattaforma – inclusi dati video, commenti, allegati, immagine del profilo, indirizzo email, nome e cognome Da conservare per tutta la durata del rapporto contrattuale con una società cliente ovvero fino alla cancellazione da parte di un utente.In seguito alla richesta di cancellazione di tutte le registrazioni da parte di una società, i dati verranno rimossi dagli archivi entro 9 mesi Cliente
Registrazioni su schermo della sessione di assistenza Cancellate automaticamente dopo 90 giorni Assistenza
Dati CRM – comprensivi di nome, indirizzo e-mail, numero di cellulare, indirizzo, e-mail e riepiloghi delle chiamate telefoniche, informazioni DPO Da conservare per tutta la durata del rapporto contrattuale con una società cliente ovvero fino alla cancellazione da parte di un utente. Successivamente alla richesta di cancellazione di tutte le registrazioni da parte di una società, i dati verranno rimossi dagli archivi entro 9 mesi Assistenza
Dati metrici Da conservare per tutta la durata del rapporto contrattuale con una società cliente ovvero fino alla cancellazione da parte di un utente. Successivamente alla richesta di cancellazione di tutte le registrazioni da parte di una società, i dati saranno resi anonimi Team di sviluppo

Dati relativi a soggetti diversi dai clienti

Categoria dei registri di dati personali Periodo di conservazione obbligatorio Proprietario del registro
Nome, indirizzo e-mail Conservato fino all’avvenuto disiscrizione / richiesta di rimozione dal sistema da parte di un soggetto Marketing & Vendite
Registrazioni telefoniche Cancellate automaticamente dopo 6 mesi Vendite

IT

Categoria dei registri di dati personali Periodo di conservazione obbligatorio Proprietario del registro
Cestini Cancellati mensilmente Singolo dipendente
Documenti scaricati Cancellati mensilmente Singolo dipendente
InboxPosta in arrivo Tutte le e-mail contenenti allegati PII verranno cancellate dopo 3 anni. Singolo dipendente
Messaggi e-mail cancellati Cancellati mensilmente Singolo dipendente
Unità di rete personale Unità di rete personale Verificata trimestralmente, tutti i documenti contenenti PII verranno cancellati dopo 3 anni Singolo dipendente
Unità e file locali Trasferiti su unità di rete mensilmente, quindi eliminati dall’unità locale Singolo dipendente
Area Onedrive/Dropbox Verificata trimestralmente, tutti i documenti contenenti PII verranno cancellati dopo 3 anni Singolo dipendente