Premesse

Il trattamento dei dati personali (nonché di categorie di dati sensibili/particolari) è disciplinato dal D.lgs. 196/03 (Codice in materia di protezione dei dati personali) e s.m.i., e a partire dal 25 maggio 2018, dal Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Ai sensi dell’art. 11 del Codice Privacy e dell’art. 5 del Regolamento EU 2016/679, i dati personali oggetto di trattamento devono essere:

  • Trattati in modo lecito, corretto e trasparente;
  • Raccolti e registrati per scopi determinati, espliciti, legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
  • Esatti e, se necessario, aggiornati;
  • Adeguati, pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;
  • Conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario per gli scopi per i quali essi sono stati raccolti o successivamente trattati: i dati personali possono essere trattati per periodi più lunghi a condizione che siano trattati esclusivamente ai fini di archiviazione nel pubblico interesse, di ricerca scientifica, storica o ai fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal GDPR;
  • Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

Finalità

La presente Data Retention Policy reca indicazioni sui tempi massimi di conservazione dei documenti generati e/o custoditi da Trelco Srl contenenti dati di natura personale anche particolari, di interessati al trattamento (utenti di siti web).

La procedura costituisce, quindi, un valido strumento di ausilio per conservare i dati personali trattati nel rispetto dei principi sopra indicati, per assicurare che il tempo di conservazione sia proporzionale alla realizzazione degli scopi per i quali tali dati sono stati raccolti; ciò consente di conservare solo quel che mantiene un rilievo giuridico o ha assunto valore storico e di eliminare la documentazione giudicata non più utile.

Criteri

Sono stati definiti dei criteri per la determinazione del periodo massimo di conservazione dei dati. Nella determinazione del periodo suddetto si è tenuto conto di:

  • Normative nazionali ed internazionali
  • Pronunce giurisprudenziali
  • Contributi della dottrina

Per il computo del periodo di conservazione dei dati e per supplire alle carenze e alle lacune normative in materia, uno dei criteri utilizzati è rappresentato dall’estensione analogica, atta a disciplinare casi equipollenti e non regolamentati applicando norme previste per fattispecie similari.

Il tempo di prescrizione per la proposizione di azioni giudiziarie (difesa in giudizio) ha costituito ulteriore elemento di valutazione per le categorie di atti passibili di una più consistente probabilità di coinvolgimento in procedure di contenzioso.

I tempi previsti sono riferibili sia a documenti su supporto tradizionale sia a quelli elettronici.

Il periodo temporale massimo indicato deve ritenersi applicabile a tutta la documentazione prodotta a seguito del conferimento dei dati personali e conservata nei luoghi di pertinenza (in caso di conservazione cartacea) o nei server o strumenti informatici (in caso di dati su supporto elettronico) il cui accesso è ammesso solo il personale autorizzato dal Titolare del trattamento (incaricati o responsabili).

Sistema di controllo

Per ogni ufficio / area funzionale i soggetti designati/delegati dovranno controllare periodicamente se esistono dati archiviati la cui Retention Time sia scaduta e quindi debbano essere cancellati, ciò al fine di gestire in maniera ordinata l’archivio e permettere di conservare solo i dati considerati necessari.

A tal fine le persone incaricate da dovranno procedere:

  • All’aggiornamento costante dei documenti prodotti e/o ricevuti, con opportuna classificazione;
  • Alla programmazione di periodiche verifiche, in rapporto ai tempi di conservazione;
  • All’eliminazione / cancellazione periodica degli atti inutili.

Cancellazione dei dati

Per cancellazione dei dati si intende la distruzione fisica o tecnica sufficiente per rendere le informazioni contenute in un documento non più recuperabili con gli ordinari mezzi disponibili in commercio.

Il Titolare del trattamento ha adottato dei metodi di distruzione concordati ed approvati tramite tecnici informatici, utilizzabili per ogni tipo di informazione archiviata su supporti elettronici/multimediali come CD- ROM, DVD, chiavette USB e altri tipi di supporti mobili, hard drives, mobile devices, drive portatili o database registrati o file di back up.

I documenti cartacei saranno triturati in modo sicuro e le relative postazioni chiuse nell’ufficio dell’incaricato designato. I rifiuti verranno periodicamente raccolti solo dal personale autorizzato per lo smaltimento.

Sanzioni

Il mancato rispetto delle misure può comportare la sospensione o la revoca dell’accesso individuale ai sistemi informatici della società, a relative procedure disciplinari e, in determinate circostanze, possono essere intraprese opportune azioni legali.

 

Dati trattati

DATI PERSONALI: ragioni sociali di persone giuridiche, nomi e cognomi di referenti aziendali di persone giuridiche, indirizzi della sede della persona giuridica, indirizzi e-mail (generici e nominativi es. nome.cognome@xxx.it), numeri di telefono (compresi i numeri diretti e numerazioni mobili di referenti aziendali), dati personali di persone fisiche quali nome, cognome, residenza, eventuale codice fiscale, data di nascita, indirizzi e-mail, numeri di telefono e dati relativi all’utilizzo di siti web di Trelco Srl.

DATI PARTICOLARI: non raccolti attraverso il sito web.

InteressatiUtenti di siti web
Modalità di trattamentoTrattamento dati effettuato in modalità elettronica, i.e. contatti via e-mail ed archiviazione di dati su CRM aziendale, trattamento effettuato mediante siti we
Finalità

Trattamento effettuato per acquisti e-commerce e connesse attività amministrativo-contabili, ossia connesso allo svolgimento delle attività di natura organizzativa e funzionale all'adempimento di obblighi contrattuali e precontrattuali nei confronti dell’interessato.

Trattamento effettuato per finalità di marketing diretto ossia per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale mediante e-mail.

 

Tempo di conservazione

Trattamento effettuato per fini amministrativo-contabili: 10 anni

Trattamento dati effettuato a fini di marketing diretto: 2 anni dalla raccolta del consenso con successivo aggiornamento del dato e rinnovo del consenso prestato.

Trattamento dati di potenziali clienti: conclusa la fase di trattativa se il cliente “potenziale” non si trasforma in un cliente “effettivo” i dati personali saranno immediatamente cancellati o trattati in forma anonima, ove la loro conservazione non risulti altrimenti giustificata.

Riferimenti normativi
  • Art. 2220 c.c. “le scritture devono essere conservate per dieci anni dalla data dell'ultima registrazione. Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti. Le scritture e i documenti di cui al presente articolo possono essere conservati sotto forma di registrazioni su supporti di immagini, sempre che le registrazioni corrispondano ai documenti e possano in ogni momento essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza detti supporti”;
  • Provvedimento in materia di gestione rifiuti apparecchiature elettriche ed elettroniche in relazione alle misure di sicurezza del 13 ottobre 2008, che ha definito le misure da adottare per la cancellazione dei dati trattati mediante l’uso di supporti di memorizzazione;
  • Art. 5 del Regolamento 2016/679 – Principi applicabili al trattamento di dati personali;
  • Art. 13 del Regolamento 2016/679 – Informazioni da fornire qualora i dati siano raccolti presso l’interessato;
  • C. 39 del Regolamento 2016/679 “. …. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica……”.

 

Modalità di distruzione dei dati

I dati trattati con strumenti informatici devono essere cancellati mediante eliminazione del file a sistema (funzione DELETE) e seguendo le seguenti regole in relazione ai supporti informatici utilizzati per il trattamento:

   Cancellazione sicura delle informazioni, ottenibile con programmi informatici – quali wiping program o file shredder - formattazione “a basso livello” dei dispositivi di tipo hard disk (low-level formatting–LLF), demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti magnetici o magneto-ottici).

    Nel caso di smaltimento dei supporti gli stessi devono essere distrutti attraverso uno dei seguenti sistemi:

        sistemi di punzonatura o deformazione meccanica;

        distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);

        demagnetizzazione ad alta intensità