Politica di conservazione dei dati
Documento conforme al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016
Campo d’applicazione, di scopo e destinatari
Questa politica stabilisce i periodi di conservazione richiesti per determinate categorie di dati personali e stabilisce gli standard minimi da applicare quando si distruggono determinate informazioni all’interno di CENTRI DI RIABILITAZIONE MOLISANI srl.
La presente politica si applica a tutte le unità aziendali, i processi e i sistemi in tutti i paesi in cui l’Azienda svolge attività commerciali e intrattiene rapporti commerciali o di altro tipo con terzi. Inoltre la presente Politica si applica a tutti i funzionari, amministratori, dipendenti, agenti, affiliati, collaboratori, consulenti o fornitori di servizi della Società che possono raccogliere, trattare o accedere ai dati (compresi i dati personali e/o dati personali sensibili).
E’ responsabilità di tutti i soggetti di cui sopra familiarizzare con questa Politica e garantire un’adeguata conformità con essa.
Questa si applica quindi a tutte le informazioni utilizzate presso la Società che sono contenute all’interno di messaggi di posta elettronica, documenti cartacei, documenti digitali, video, audio e dai dati generati da sistemi di controllo degli accessi fisici.
Documenti di Riferimento
- Il GDPR dell’UE 2016/679 (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE).
- Decreto Legislativo 30 giugno 2003, n. 196. “Codice in materia di protezione dei dati personali” pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003.
- Politica sulla Protezione dei Dati Personali.
Regole per la Conservazione
Principio Generale della conservazione
Nel caso in cui, per qualsiasi categoria di documento non specificatamente definita altrove e nella presente Politica, salvo diversamente previsto dalla legge applicabile, il periodo di conservazione richiesto per tale documento sarà considerato 3 anni dalla data di creazione del documento.
Programma di Generale Conservazione dei Dati
Il Responsabile della Protezione dei Dati definisce il periodo di tempo in cui i documenti e le registrazioni elettroniche devono essere conservate attraverso il programma di conservazione dei dati. Come eccezione, i periodi di conservazione all’interno del Programma di Conservazione dei Dati possono essere prolungati in casi quali:
- Indagini in corso da parte delle autorità degli Stati Membri, se esiste la possibilità che i dati personali siano necessari all’Azienda per dimostrare la conformità con i requisiti legali;
- Nell’esercizio dei diritti legali in caso di cause legali o procedimenti giudiziari analoghi ai sensi della legge locale.
La Protezione dei Dati durante il Periodo di Conservazione
Sarà considerata la possibilità che i supporti dei dati utilizzati per l’archiviazione si esauriscano. Se vengono scelti supporti di registrazione elettronici, tutte le procedure e i sistemi che garantiscono l’accesso alle informazioni durante il periodo di conservazione devono essere anch’essi conservati al fine di salvaguardare l’informazione dalla perdita come risultato di futuri cambiamenti tecnologici. La responsabilità per la conservazione ricade sui responsabili del Trattamento dei Dati delle sedi operative di CENTRI DI RIABILITAZIONE MOLISANI srl, quella di Larino, di Santa Croce di Magliano e di Montenero di Bisaccia, nonché su Rewind srl, la società che si occupa della conservazione dei dati per CENTRI DI RIABILITAZIONE MOLISANI srl.
Distruzione dei dati
L’Azienda e i suoi dipendenti dovrebbero quindi, su base regolare, riesaminare tutti i dati, siano essi detenuti elettronicamente sul loro dispositivo o su carta, per decidere se distruggere o cancellare qualsiasi dato una volta che lo scopo per cui tali documenti sono stati creati non è più rilevante. Vedere l’Allegato per il Programma di Conservazione dei Dati.
La responsabilità generale per la distruzione dei dati ricade su CENTRI DI RIABILITAZIONE MOLISANI srl e su Rewind srl, ovvero la società che si occupa della conservazione dei dati per CENTRI DI RIABILITAZIONE MOLISANI srl.
Una volta presa la decisione di smaltirli secondo il Programma di Conservazione, i dati dovrebbero essere cancellati, triturati o altrimenti distrutti in misura equivalente al loro valore per gli altri e al loro livello di riservatezza. Il metodo di smaltimento varia e dipende dalla natura del documento. Ad esempio, tutti i documenti che contengono informazioni sensibili o riservate devono essere smaltiti come rifiuti riservati e soggetti a cancellazione elettronica sicura; alcuni contratti scaduti o sostituiti richiedono soltanto la distruzione interna con il trita-carte. La sezione Programma dello smaltimento dei documenti di seguito
definisce la modalità di smaltimento.
In questo contesto, il dipendente deve svolgere i compiti e assumere le responsabilità rilevanti per la distruzione delle informazioni in modo appropriato. Il processo specifico di cancellazione o distruzione può essere effettuato da un dipendente o da un fornitore di servizi interno o esterno che CENTRI DI RIABILITAZIONE MOLISANI srl subappalta a tale scopo. Devono essere rispettate tutte le disposizioni generali applicabili ai sensi delle leggi sulla protezione dei dati e la Politica sulla Protezione dei Dati Personali dell’Azienda.
Devono essere predisposti controlli adeguati che impediscano la perdita permanente delle informazioni essenziali dell’Azienda a seguito di distruzione intenzionale o involontaria delle informazioni, questi controlli sono descritti nelle Politiche di Sicurezza dell’Informazione.
CENTRI DI RIABILITAZIONE MOLISANI srl deve documentare e approvare pienamente il processo di distruzione. Devono essere pienamente rispettati i requisiti di legge applicabili per la distruzione delle informazioni, in particolare i requisiti delle leggi applicabili sulla protezione dei dati.
Violazione, Misure di Attuazione e Conformità
La persona incaricata della protezione dei dati ha la responsabilità di garantire che ciascuno degli uffici dell’Azienda rispetti questa Politica. E’ anche responsabilità del RPD assistere gli uffici locali per quanto riguarda le richieste delle autorità locali competenti per la protezione dei dati o delle autorità governative.
Il Responsabile della protezione dei Dati deve essere tempestivamente informato di qualsiasi sospetto di violazione di questa Politica. Tutti i casi di sospette violazioni della Politica devono essere investigati e devono essere attuate le relative azioni adeguate.
Il mancato rispetto di questa Politica può comportare conseguenze negative, tra cui, a titolo esemplificativo ma non esaustivo, la perdita della fiducia del cliente, contenziosi e perdita di vantaggio competitivo, perdita finanziaria e danni alla reputazione dell’Azienda, lesioni personali, danni o perdite. La mancata osservanza di questa Politica da parte dei dipendenti a tempo indeterminato, a tempo determinato o collaboratori, o di terzi, cui è stato concesso l’accesso ai locali o alle informazioni dell’Azienda, può pertanto comportare procedimenti disciplinari o la risoluzione del loro rapporto di lavoro o di contratto. Tale inosservanza può anche comportare un’azione legale nei confronti delle parti coinvolte in tali attività.
Smaltimento dei documenti
Programma dello Smaltimento di Routine
Documenti che possono essere regolarmente distrutti, a meno che non siano oggetto di un’inchiesta legale o normativa in corso, sono i seguenti:
- Annunci e comunicazioni di riunioni quotidiane e altri eventi;
- Richieste di informazioni ordinarie;
- Prenotazioni per riunioni interne senza oneri/costi esterni;
- Trasmissione di documenti quali lettere, copertine fax, messaggi e-mail, libretti di circolazione, biglietti di accompagnamento ed elementi simili che accompagnano i documenti ma non aggiungono alcun valore;
- Moduli di messaggi;
- Elenco indirizzi, liste di distribuzione sostituiti ecc. ;
- Duplicati documenti come copie inviate per conoscenza o inoltrate per informazione, bozze inalterate, stampe di snapshot o estratti da database e file temporanei;
- Pubblicazioni interne di magazzino che sono obsolete o sostituite;
- Riviste del settore, cataloghi di venditori, volantini e newsletter da fornitori o altre organizzazioni esterne.
In tutti i casi, lo smaltimento è soggetto ad eventuali obblighi di divulgazione che possono esistere nel contesto di un contenzioso.
Metodo di distruzione degli stessi
I documenti di livello I^ sono quelli che contengono informazioni di massima sicurezza e riservatezza e quelli che includono dati personali. Questi documenti devono essere smaltiti come rifiuti riservati (distrutti con un tritacarte e inceneriti) e devono essere sottoposti a cancellazione elettronica sicura. Lo smaltimento dei documenti deve includere la prova della distruzione.
I documenti di livello II^ sono documenti proprietari che contengono informazioni riservate quali nomi, firme e indirizzi delle parti o che potrebbero essere utilizzati da terzi per commettere frodi, ma che non contengono dati personali. I documenti devono essere triturati e quindi collocati in bidoni dell’immondizia chiusi per essere raccolti da una ditta di smaltimento autorizzata, mentre i documenti elettronici saranno soggetti a cancellazione elettronica sicura.
I documenti di livello III^ sono quelli che non contengono informazioni riservate o dati personali e sono documenti aziendali pubblicati. Questi dovrebbero essere tagliati in strisce da un tritacarte o eliminati tramite una società di riciclaggio e includono, tra le altre cose, pubblicità, cataloghi, volantini e newsletter. Questi possono essere smaltiti senza una catena di controllo.
Gestione delle registrazioni sulla base di questo documento
Nome del documento | Luogo di archiviazione | Persona responsabile dell’archiviazione | Controlli per la protezione del documento | Tempo di archiviazione |
Programma conservazione dei dati | In forma cartacea presso le sedi operative di CENTRI DI RIABILITAZIONE MOLISANI srl (Larino, Santa Croce di Magliano e Montenero di Bisaccia) e in formato digitale presso la sede operativa del responsabile della parte informatica Rewind srl | In formato digitale Rewind srl e in formato cartaceo i Responsabili del Trattamento dei dati delle sedi di CENTRI DI RIABILITAZIONE MOLISANI srl di Larino, Santa Croce di Magliano e Montenero di Bisaccia. | Solo le persone autorizzate possono accedere a questo documento | Permanente |
Validità e gestione del documento
Questo documento ha effetto dal 03/12/2018.
Il responsabile per questo documento è il Titolare del Trattamento dei dati e i suoi delegati, i quali devono controllare e se necessario aggiornare il documento con frequenza almeno annuale.
ALLEGATO – Programma di Conservazione dei Dati
CATEGORIA DI DOCUMENTO CONTENENTE DATI PERSONALI | PERIODO DI CONSERVAZIONE OBBLIGATORIO | PROPRIETARIO DEL DOCUMENTO |
Dati anagrafici, codice fiscale, indirizzi di residenza dei pazienti | 3 anni dalla prestazione | Vendite/Amministrazione |
Dati relativi alla salute dei pazienti | 3 anni dalla prestazione | Vendite/Amministrazione |
Fatture e ricevute fiscali rilasciate ai pazienti | 10 anni dalla fine del contratto | Vendite/Amministrazione |
Moduli per la Gestione dei Diritti degli interessati | 5 anni dalla fine del contratto | Responsabili del Trattamento Dati |
Contratti con i dipendenti | 10 anni dalla fine del contratto | Risorse Umane |
Buste paga dipendenti | 10 anni dalla fine del contratto | Risorse Umane |
Contratti e fatture dei fornitori | 10 anni dalla fine del contratto | Acquisti/Amministrazione |
Contratti e fatture dei professionisti | 10 anni dalla fine del contratto | Acquisti/Amministrazione |