News

Pubblicato il

Le obiezioni dei lavoratori ai corsi sulla sicurezza

Ho deciso di scrivere un articolo scomodo. Un articolo che raccoglie le obiezioni che ho sentito esprimere da più lavoratori durante i miei corsi sulla sicurezza. E non si tratta di obiezioni alla mia docenza, ma all'utilità o all'applicabilità delle nozioni che si cerca di trasmettere.

Ho deciso di scrivere un articolo scomodo. Un articolo che raccoglie le obiezioni che ho sentito esprimere da più lavoratori durante i miei corsi sulla sicurezza. E non si tratta di obiezioni alla mia docenza, ma all’utilità o all’applicabilità delle nozioni che si cerca di trasmettere. Perché pubblicare queste obiezioni? Perché danno l’idea della complessità della situazione e rappresentano gli ostacoli da affrontare se si vuole che la formazione sia efficace. Ma, se si vuole essere intellettualmente onesti, bisogna anche ammettere che offrono spunti per migliorare l’organizzazione del lavoro in azienda.

“Sono cose inutili”

Ci sono casi in cui l'idea che i corsi sulla sicurezza siano inutili è una certezza fondata su due dati:

A volte è solo un pregiudizio. Chi esprime questa opinione si è appena seduto in aula e non saprebbe dire con precisione di che cosa si parlerà. Provare a verificare se cambia idea durante la lezione è un modo per testare la propria capacità di ascolto, qualità essenziale per un docente.

Ci sono casi, però, in cui l’idea che i corsi sulla sicurezza siano inutili è una certezza fondata su due dati:

  1. l’esperienza di innumerevoli volte in cui il lavoro è stato effettuato senza accorgimenti, e senza che nessuno (per fortuna o destino) si sia fatto nulla. Come se il non aver sperimentato direttamente il problema dimostri quanto il problema sia futile o del tutto inesistente;
  2. l’ostilità con cui alcune procedure sono accolte da parte di superiori o proprietà aziendali. In pratica questa ostilità genera una sensazione di impotenza rispetto a un metodo di lavoro che non si può decidere in autonomia, se non rischiando di creare tensioni nei rapporti di lavoro, pur nella certezza della sua bontà. E arriva anche a produrre situazioni di imbarazzo, con personale che viene deriso e sminuito anziché apprezzato per aver ricordato di mettere in pratica quello che gli è stato insegnato.
Oltre a confermare il fatto che la rapidità, considerata sinonimo di produttività, viene spesso prima della sicurezza, questa obiezione rivela quanto sia radicata l'idea che la sicurezza sia un dettaglio slegato dalla quotidianità operativa.

“Non abbiamo tempo di fare quello che dite”

Oltre a confermare il fatto che la rapidità, considerata sinonimo di produttività, viene spesso prima della sicurezza, questa obiezione rivela quanto sia radicata l’idea che la sicurezza sia un dettaglio slegato dalla quotidianità operativa, una cornice entro la quale forzare comportamenti e procedure. E non, al contrario, una componente essenziale del proprio lavoro, necessaria perché lo si possa definire eseguito a regola d’arte.

“Bella la teoria! Però in pratica non funziona così”

Non è sufficiente sapere quali sono i vincoli della sicurezza, ma bisogna anche capire quali sono i principi su cui questi vincoli si fondano: questo è l'unico modo per affrontare le difficoltà operative.

Ci sono tante prescrizioni nella normativa in materia di sicurezza, ma la sicurezza non è solo una lista di obblighi e divieti da mettere in atto. E questa è forse la questione più complicata da trasmettere, quella che rende più immediato lo scontro tra l’approccio burocratico-intellettual-intransigente e quello operativo-maneggione-sbrigativo. Il fatto è che non è sufficiente sapere quali sono i vincoli della sicurezza, ma bisogna anche capire quali sono i principi su cui questi vincoli si fondano: questo è l’unico modo per affrontare le difficoltà operative, le situazioni differenti e mutevoli e tutte le variabili del comportamento umano. L’obiettivo dei corsi sulla sicurezza è far capire che l’antidoto alle difficoltà operative non è trascurare i vincoli di legge, ma trovare una soluzione che non li violi.

Soluzioni ne abbiamo?

Non ho una soluzione efficace alle obiezioni dei lavoratori ai corsi sulla sicurezza. Ho più che altro una proposta, che consiste nel non fare finta di non sentire ma anche nell'evitare di giudicare.

Se avessi una soluzione, cioè una risposta efficace, sempre e comunque, a queste obiezioni, non sarei qui a parlarne. Ho più che altro una proposta, che consiste nel non fare finta di non sentire ma anche nell’evitare di giudicare. Credo che il primo passo da fare sia quello di accogliere queste obiezioni e provare a mostrare la questione da un altro punto di vista, spostando l’attenzione da ciò che sarebbe bello gli altri facessero a quello che ciascuno di noi può iniziare a fare.

Poi, magari, un giorno parlerò delle obiezioni dei datori di lavoro… Poi. Magari.

Pubblicato il

art. 32 del GDPR: procedura obbligatoria di valutazione

L'art. 32 del GDPR, al comma 1 lettera d), richiede al titolare di definire una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative. Di che cosa si tratta?

In diversi punti il GDPR lascia intendere che il titolare del trattamento deve definire delle procedure per rispondere ai requisiti di protezione dei dati personali. L’unico caso, però, in cui il testo di legge parla esplicitamente di “procedura” è all’articolo sulla sicurezza del trattamento. L’art. 32 del GDPR, al comma 1 lettera d), richiede al titolare di definire una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative. Di che cosa si tratta?

Che cosa non è la procedura dell’art. 32 del GDPR

La procedura di valutazione dell’efficacia non è né la verifica della conformità normativa né l’attività di controllo prevista dall’art. 39 a carico del DPO. Non ha quindi come obiettivo quello di verificare che il trattamento dei dati avvenga nel rispetto dei requisiti di legge e non è un’attività riservata alle sole realtà che dispongano, per scelta o per obbligo, del DPO.

Questa procedura non ha nemmeno a che vedere con l’aggiornamento del registro dei trattamenti o dell’analisi dei rischi, e non equivale all’esecuzione di verifiche / audit regolari.

La procedura di valutazione dell'efficacia non è né la verifica della conformità normativa né l'attività di controllo prevista dall'art. 39 a carico del DPO.

A che cosa serve la procedura dell’art. 32 del GDPR?

Si tratta di un obbligo che si applica al titolare del trattamento (o al responsabile) e ha come obiettivo quello di testare, verificare e valutare l’efficacia delle misure definite dall’organizzazione. Questo significa che:

  1. la procedura deve essere in grado di dimostrare che le misure tecniche e organizzative consentono di raggiungere l’obiettivo di protezione dei dati personali trattati dall’organizzazione;
  2. il titolare ha la possibilità di fare un bilanciamento (valutazione) delle misure rispetto agli interessi e al rischio che deve gestire, per cui la procedura serve per valutare se non siano troppo rigide o dispendiose le misure in atto o se, al contrario, non sia opportuno un loro rafforzamento;
  3. l’attività di test, verifica e valutazione deve essere effettuata con regolarità. Questa regolarità deve essere definita in funzione dell’esposizione al rischio connesso al trattamento dei dati, con una frequenza crescente al crescere dell’esposizione. Tenendo presente che quest’ultima cresce sia in funzione della tipologia e della quantità di dati trattati, sia in funzione della variabilità del contesto interno o esterno (ex. rapidità con cui è necessario apportare modiche tecnologiche o documentali).
Il titolare ha la possibilità di fare un bilanciamento (valutazione) delle misure rispetto agli interessi e al rischio che deve gestire, per cui la procedura serve per valutare se non siano troppo rigide o dispendiose le misure in atto o se, al contrario, non sia opportuno un loro rafforzamento.

In che cosa consiste questa procedura

Per chi ha famigliarità con i sistemi di gestione, può essere utile paragonare la procedura dell’art. 32 del GDPR all’attività di monitoraggio mediante indicatori di prestazione. Si tratta quindi di individuare degli aspetti che si ritengono essere capaci di rappresentare lo stato della situazione nel tempo, di avere in ogni istante il polso della situazione.

Gli indicatori sono valori numerici espressi in termini relativi ( percentuali) in modo che si possa valutare un dato evento in funzione della massa complessiva di dati/ eventi che si stanno considerando. Per ciascun indicatore vengono definiti dei valori di riferimento rispetto ai quali risulti possibile stabilire se la situazione procede in modo sostenibile o se si stanno registrando degli scostamenti potenzialmente problematici.

Ecco un esempio.

Per chi ha famigliarità con i sistemi di gestione, può essere utile paragonare la procedura dell'art. 32 del GDPR all'attività di monitoraggio mediante indicatori di prestazione.

Un esempio di indicatore

La sicurezza informatica è un aspetto importante di ogni realtà aziendale. La scelta dei sistemi informatici è il primo passo per la protezione dei dati personali trattati digitalmente. Testarne, verificarne e valutarne l’efficacia significa in questo caso valutare quanti tentativi di hackeraggio il sistema è stato capace di rilevare, affrontare e impedire. Così facendo, oltre a dimostrare che il processo di gestione della privacy è effettivo, si può anche rilevare la causa di un’eventuale problema, distinguere tra problematiche strutturali (ex. in caso di incapacità del sistema di neutralizzare gli attacchi) e problematiche di investimento (ex. in caso di una spesa ingente rispetto al numero di attacchi registrati), aggiustando il tiro delle misure tecniche e organizzative messe in atto.

TI SERVE AIUTO PER DEFINIRE LA PROCEDURA? CONTATTAMI

Pubblicato il

Piano pandemico influenzale 2021-2023

Il Piano pandemico influenzale 2021-2023 fornisce indicazioni alle istituzioni, ma nell'Appendice A1 parla di sicurezza sul lavoro.

Contenuto nell’Accordo Stato – Regioni del 25 gennaio 2021, il Piano strategico-operativo nazionale di preparazione e risposta a una pandemia influenzale ha raccolto l’esperienza dell’emergenza sanitaria in corso per aggiornare le linee nazionali in materia di prevenzione delle pandemie influenzali. I destinatari del Piano (PanFlu 2021-2023) sono in primo luogo le istituzioni (Ministero della Salute, Istituto Superiore di Sanità, Protezione Civile e Regioni), ma l’Appendice A1 parla di sicurezza sul lavoro perché tra gli obiettivi del piano c’è anche quello di preservare il funzionamento della società e delle attività economiche.

Distinguere i virus influenzali dai coronavirus

Il Piano pandemico influenzale 2021-2023 ha preso spunto dalla pandemia in corso in quanto il comportamento del nuovo coronavirus ricorda quello dei virus influenzali in termini di dinamica dell’epidemia, capacità di determinare una pandemia e conseguenze cliniche dei casi gravi. Il Piano però non nasce per fornire nuove indicazioni operative in relazione alla pandemia in corso, che continuerà a essere gestita attraverso gli strumenti utilizzati sinora (DPCM e Accordi Stato – Regioni specifici).

Il PanFlu 2021-2023 rappresenta l’aggiornamento di un documento precedente (2006) e si inserisce in un programma di prevenzione sanitaria più ampio, concentrandosi sulla gestione delle pandemie influenzali con l’obiettivo di proteggere la popolazione, tutelare il personale sanitario e, ripeto, preservare il funzionamento della società e le attività economiche.

Il Piano pandemico influenzale 2021-2023 ha preso spunto dalla pandemia in corso in quanto il comportamento del nuovo coronavirus ricorda quello dei virus influenzali in termini di dinamica dell'epidemia, capacità di determinare una pandemia e conseguenze cliniche dei casi gravi.

In sostanza, il Piano fornisce indicazioni alle istituzioni preposte alla gestione degli aspetti sanitari dal livello nazionale a quello locale e introduce a livello aziendale i principi che la pandemia ha reso famigliari.

L’emergenza sanitaria affrontata da febbraio 2020 a oggi ha ricordato che le pandemie hanno la potenzialità di incidere sul normale svolgimento delle attività produttive e che queste ultime possono mettere in campo misure a tutela della salute del proprio personale e, di conseguenza, della propria operatività. Proprio sulla base di questo doppio binario, di obbligo di tutela dei lavoratori e di vantaggio di contenimento del rischio di insostenibilità delle conseguenze economiche, il Piano fornisce gli indirizzi per la definizione di un “piano di preparazione aziendale“.

Piano pandemico influenzale e sicurezza sul lavoro

Il Piano pandemico influenzale è necessario che le aziende si preparino tempestivamente ad adottare piani di preparazione tenendo conto delle loro dimensioni, della loro specifica importanza economica e assumendosi le responsabilità delle strategie da adottare".

L’Appendice A del PanFlu 2021-2023 si fonda su due premesse:

1. una pandemia influenzale può incidere negativamente sull’organizzazione aziendale determinando difficoltà operative ed economiche, a causa della riduzione del personale disponibile (ex. assenteismo per malattia, per assistenza a conviventi malati o per timore di ammalarsi) e della possibile difficoltà di reperire beni necessari a consentire il regolare svolgimento delle attività;

2. tutte le attività lavorative possono essere esposte al rischio di infezione anche se con livelli variabili, e la normativa in materia di salute e sicurezza pone in carico al datore di lavoro l’obbligo di garantire la tutela della salute e sicurezza dei lavoratori a partire dalla valutazione dei rischi.

Sulla base di queste premesse stabilisce che “è necessario che le aziende si preparino tempestivamente ad adottare piani di preparazione tenendo conto delle loro dimensioni, della loro specifica importanza economica e assumendosi le responsabilità delle strategie da adottare“.

Che cosa fare in pratica?

Per prevenire una pandemia influenzale bisogna stimare il fabbisogno di materiale dal punto di vista delle misure igieniche e provvedere al loro approvvigionamento.

Ecco una scaletta per procedere alla definizione di un piano di preparazione aziendale secondo il contenuto dell’Appendice A1 del Piano pandemico influenzale:

  1. identificare il grado di esposizione del personale prima dell’arrivo di una pandemia di influenza;
  2. evidenziare le attività essenziali per l’azienda, i processi e i prodotti più importanti e prevedere una riorganizzazione dei processi di lavoro;
  3. aumentare le conoscenze specifiche sulla pandemia e sulle relative misure da adottare, creando un team di collaboratori formati ed esperti che definisca le procedure da adottare e le modalità di attuazione;
  4. stimare il fabbisogno di materiale dal punto di vista delle misure igieniche, come disinfettanti e mascherine protettive e altre misure fisiche di protezione, e provvedere al loro approvvigionamento;
  5. istruire il personale in merito ai compiti, alle responsabilità e competenze nell’ambito delle misure aziendali di gestione dell’emergenza e al comportamento personale da adottare.
L'Appendice A1 del Piano pandemico influenzale rappresenta una scaletta per procedere alla definizione di un piano di preparazione aziendale.

Tra le misure organizzative da valutare e adottare l’Appendice A1 elenca:

  • la garanzia delle sostituzioni con eventuale reclutamento di personale supplementare o trasferimento di personale, tenendo conto della situazione familiare dei collaboratori e dei possibili obblighi di assistenza che ne possono derivare (ex. cura di familiari malati, custodia di figli in età prescolastica e scolastica in caso di chiusura di asili o scuole);
  • la rinuncia alle attività non urgenti e non assolutamente necessarie;
  • la sospensione di tutte le attività aziendali che prevedono assembramento di persone;
  • l’adozione, sulla base degli aspetti epidemiologici della pandemia, di teleconferenza, telelavoro, modifiche degli spazi di lavoro, installazione di barriere di protezione impermeabili tra i clienti e il personale;
  • la disinfezione delle superfici contaminate con detergenti normalmente reperibili in commercio, con una formulazione attiva nei confronti del patogeno responsabile della pandemia;
  • la programmazione di sanificazioni ordinarie e/o straordinarie degli ambienti.

Tutte valutazioni divenuto famigliari con la pandemia provocata dal nuovo coronavirus.

L'appendice A1 del Piano pandemico influenzale prevede molte misure ormai famigliari dopo la pandemia da nuovo coronavirus.

Altrettanto famigliari sono i comportamenti individuali per i quali l’Appendice A1 prevede che si debba provvedere alla formazione del personale:

  • indossare mascherine chirurgiche o mascherine FFP secondo la valutazione dei rischi;
  • lavarsi spesso le mani con acqua e sapone o, in assenza, con soluzioni idroalcoliche, in particolare dopo aver starnutito, tossito o essersi soffiati il naso;
  • starnutire o tossire in un fazzoletto di carta o nella piega del gomito;
  • mantenere una distanza di sicurezza interpersonale di almeno 1 m (distanziamento fisico);
  • identificare e comunicare precocemente eventuali sintomi influenzali;
  • la necessità di adottare costantemente le misure di protezione individuali per impedire la trasmissione della malattia.

Infine sono previste alcune indicazioni di dettaglio per gli operatori sanitari e le forze dell’ordine.

Quali sono i tempi di attuazione?

Il PanFlu 2021-2023 rappresenta un documento di indirizzo. Non è quindi prevista una data di entrata in vigore del piano a partire dalla quale gli aspetti di sicurezza sul lavoro siano vincolanti e sanzionabili.

Il PanFlu 2021-2023 rappresenta un documento di indirizzo per il governo, gli operatori sanitari, il mondo socioeconomico e la popolazione e ha lo scopo di facilitare, oltre al processo decisionale, l’uso razionale delle risorse, l’integrazione, il coordinamento degli attori coinvolti e la gestione della comunicazione. Non è quindi prevista una data di entrata in vigore del Piano a partire dalla quale gli aspetti di sicurezza sul lavoro siano vincolanti e sanzionabili. Al contrario ogni impresa può da subito utilizzare i contenuti del Piano come riferimento per definire la propria operatività e aggiornare la documentazione di riferimento.

Pubblicato il

La formazione continua del RSPP “esterno”

L'obbligo dell'aggiornamento per l'RSPP esterno si inquadra nella dimensione della life long learning, cioè della formazione continua nell'arco della vita lavorativa.

Si parla comunemente di RSPP esterno per distinguerlo dal caso in cui la funzione di RSPP è svolta direttamente dal datore di lavoro ma, di fatto, il soggetto che svolge la funzione di RSPP senza essere datore di lavoro può essere sia un consulente esterno sia un dipendente, per questioni di strategia o per obbligo di legge.

I dettagli della formazione dell’RSPP “esterno” sono a oggi definiti dall’Accordo Stato – Regioni del 2016, che ha apportato modifiche alla disciplina precedente (Accordo Stato – Regioni del 2006). Oltre ai requisiti di istruzione/formazione/esperienza previsti per poter svolgere l’incarico, una novità importante e a volte trascurata riguarda la modalità di aggiornamento della formazione di questa figura.

Quante ore di aggiornamento per l’RSPP “esterno”?

La formazione degli RSPP che non sono datori di lavoro prevede un aggiornamento di almeno 40 ore, qualunque sia il settore operativo, nel quinquennio. E la definizione di questo quinquennio è la novità più rilevante dell’Accordo del 2016.

La formazione degli RSPP che non sono datori di lavoro prevede un aggiornamento di almeno 40 ore, qualunque sia il settore operativo, nel quinquennio.

Come si calcola il quinquennio?

La questione del calcolo del quinquennio non è definita in modo univoco.

Partiamo dalle certezze, che riguardano i soggetti esonerati alla frequenza dei corsi specifici (moduli A, B e C), perché in possesso di titoli di studio che abilitano allo svolgimento dell’incarico (art. 32, comma 5 del D. L.vo 81/08 e punto 1, Allegato A dell’Accordo del 2016), e chi si è formato dopo l’entrata in vigore dell’Accordo del 2016:

  • per i primi il calcolo del quinquennio parte dal 15 maggio 2008 (data di entrata in vigore del D. L.vo 81/08) o dalla data di conseguimento della laurea, se successiva al 15 maggio 2008;
  • per i secondi, invece, il calcolo del quinquennio parte dalla conclusione del corso relativo al modulo B comune a tutti i settori.
Mentre il primo quinquennio di aggiornamento della formazione per RSPP esterno sembra calcolarsi in avanti, i quinquenni successivi si devono verificare a ritroso.

A queste indicazioni se ne aggiungono altre tre. L’Accordo precisa che:

  1. è preferibile che il monte ore di aggiornamento venga distribuito nel quinquennio anziché essere concentrato in un unico periodo;
  2. l’obbligo dell’aggiornamento per RSPP “esterni “si inquadra nella dimensione della life long learning, cioè della formazione continua nell’arco della vita lavorativa“;
  3. per poter esercitare la funzione di RSPP (esterno) è necessario dimostrare, in ogni istante, che nel quinquennio antecedente si è partecipato a corsi di formazione per un numero di ore non inferiore a quello minimo previsto.

Quindi, mentre il primo quinquennio di aggiornamento sembra calcolarsi in avanti (dal 15.05.2008, dalla data di laurea o di conclusione del modulo B comune), i quinquenni successivi si devono verificare a ritroso: considerata una data specifica si deve verificare se nel quinquennio precedente è stato raggiunto il monte ore minimo, cioè le 40 ore di aggiornamento.

Una conferma di questa interpretazione è contenuta nella circolare n.296 del 16 ottobre 2018 del Consiglio Nazionale degli Ingegneri. E la conseguenza più immediata è che, per mantenere la qualifica nel tempo, la soluzione più pratica per avere continuità è di prevedere 8 ore di aggiornamento all’anno.

Di fatto non risulta possibile svolgere l'incarico di RSPP esterno sino al completamento dell'aggiornamento mancante, ma non viene meno la validità del percorso formativo effettuato.

In caso di ritardo nell’aggiornamento?

Di fatto non risulta possibile svolgere l’incarico di RSPP sino al completamento dell’aggiornamento mancante, ma non viene meno la validità del percorso formativo effettuato.

Come aggiornare la formazione?

L’aspetto incoraggiante è che l’aggiornamento può essere eseguito interamente in modalità e-learning e, per il 50%, partecipando a consegni o seminari che trattino argomenti coerenti con quelli previsti dall’Accordo per i corsi di aggiornamento.

Inoltre i corsi di aggiornamento per i formatori sicurezza e per i CSP/CSE sono validi anche per l’aggiornamento dell’RSPP.

Pubblicato il

Privacy e servizi informatici: software e cloud

Software e servizi cloud sono presenti in ogni azienda: i servizi informatici hanno implicazioni sulla privacy che le imprese devono gestire.

L’utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale. Forse per via del carattere di necessità per la quotidianità lavorativa, molte aziende tendono a sottovalutare il legame tra privacy e servizi informatici, complice anche l’impossibilità per l’utente di incidere realmente sulla modalità di gestione dei dati da parte dei fornitori di alcuni di questi servizi. Rispetto alla normativa privacy, però, i processi informatici devono essere considerati al pari di ogni trattamento dati e, quindi, valutati e gestiti.

Inventariare i trattamenti

Della necessità od opportunità di inventariare i trattamenti per poterne valutare i rischi in relazione alla sicurezza dei dati ho già parlato in precedenza. Oggi voglio sottolineare l’importanza di includere i servizi informatici nella propria analisi, inserendo tutti i dettagli opportuni per mettere a fuoco chi interviene nel trattamento e con quali responsabilità.

La gestione privacy e i software

L'utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale.

I software installati localmente (on-premises) prevedono sul fronte privacy aziendale il coinvolgimento del fornitore e del cliente. In questo caso il fornitore si qualifica come responsabile esterno del trattamento e come tale deve essere incaricato dal titolare, prevedendo contrattualmente i relativi compiti e vincoli. Il titolare, invece, dovrà formare e incaricare il proprio personale all’uso corretto dello strumento informatico. In caso di uso illecito da parte del titolare o dei suoi incaricati, il fornitore non può essere considerato responsabile.

In relazione ai software on-premises bisogna fare attenzione all’eventuale distinzione tra il fornitore del software e l’organizzazione che fornisce assistenza all’impresa durante l’uso del prodotto. Se così fosse, si dovrà avere chiaro com’è stata definita la catena contrattuale per disciplinare i rapporti anche sul fronte privacy: se il rapporto contrattuale tra utente e assistenza è diretto , allora si dovrà provvedere alla nomina di un secondo responsabile esterno, altrimenti sarà il fornitore del software a dover vincolare “a cascata” il servizio di assistenza al rispetto della normativa in materia di trattamento dei dati personali.

Nel caso di software in cloud, oltre al fornitore, all'utente (titolare del trattamento) e all'eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center.

Nel caso di software in cloud, oltre al fornitore, all’utente (titolare del trattamento) e all’eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center (il soggetto titolare della struttura fisica che ospita il software in cloud). E qui passiamo al secondo capitolo di oggi, perché le aziende che offrono servizi in cloud non si qualificano come responsabili del trattamento.

La gestione privacy dei servizi cloud

Il responsabile del trattamento è un soggetto che tratta i dati per conto del titolare, cioè è una sorta di braccio operativo, che deve sottostare alle regole definite dal titolare, regole che devono rientrare tra i vincoli contrattuali per esplicita previsione di legge.

Considerato che il titolare del trattamento può influire poco o nulla sulle modalità di gestione di un cloud provider, questo finisce per qualificarsi come un autonomo titolare come accade per tutti i soggetti che, pur trattando dati per conto del titolare, lo fanno con forte o totale autonomia (ex. medico competente), al punto che le clausole contrattuali non sono definibili, e finisce per venire meno anche il carattere strumentale del rapporto con il titolare del trattamento.

Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all'interno del registro dei trattamenti.

Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all’interno del registro dei trattamenti. Inoltre il titolare non deve dimenticarsi che resta a suo carico la responsabilità di scegliere un soggetto adeguato, capace di fornire garanzie alla sicurezza dei dati personali trattati. Quindi dovrebbe verificarne periodicamente l’operato e, nel caso in cui rilevi violazioni, valutare di rivolgersi ad altri fornitori, capaci di offrire maggiori garanzie.

Pubblicato il

Definire la mansione lavorativa per la sicurezza

La mansione lavorativa è l'espressione con cui vengono individuate le attività affidate a un lavoratore nell'ambito di un contratto di lavoro.

La mansione lavorativa è l’espressione con cui vengono individuate le attività affidate a un lavoratore nell’ambito di un contratto di lavoro. Può esistere una differenza significativa tra la mansione lavorativa contrattuale, riportata nel contratto di lavoro e nei modelli UniLav o UniSomm, e quella per la sicurezza, riportata per esempio nel certificato di idoneità alla mansione. La ragione della differenza sta nella diversa finalità con cui vengono definite.

I contratti collettivi nazionali

Nel momento in cui il lavoratore viene assunto, il datore di lavoro ne definisce il ruolo all’interno dell’organizzazione facendo riferimento alla classificazione contenuta nel contratto collettivo nazionale di rifermento, basata su tre criteri, che sono la categoria, la qualifica e le mansioni.

Nel momento in cui il lavoratore viene assunto, il datore di lavoro ne definisce il ruolo all'interno dell'organizzazione facendo riferimento alla classificazione contenuta nel contratto collettivo nazionale di rifermento, basata su tre criteri, che sono la categoria, la qualifica e le mansioni.

Se la categoria determina il livello gerarchico o il contesto lavorativo, distinguendo tra dirigenti, quadri, impiegati e operai, la qualifica (o livello retributivo) definisce il trattamento economico e riflette il grado di esperienza del lavoratore; le mansioni, infine, sono le attività svolte dal lavoratore, che sono un elemento utile per individuare la qualifica corretta da attribuire al dipendente.

La mansione lavorativa per la sicurezza

Sul fronte della sicurezza sul lavoro, la mansione lavorativa entra in gioco in relazione alla valutazione dei rischi e alla sorveglianza sanitaria. La normativa prevede cioè che:

  1. datore di lavoro, RSPP, RLS e medico competente effettuino la valutazione dei rischi per ciascuna mansione lavorativa;
  2. sulla base della valutazione dei rischi, il medico competente rediga il protocollo sanitario, ossia stabilisca gli accertamenti necessari per valutare l’idoneità dei lavoratori alla mansione loro assegnata;
  3. il datore di lavoro invii i lavoratori al medico competente per la sorveglianza sanitaria, comunicando la mansione lavorativa assegnata.
Tanto la valutazione dei rischi quanto il protocollo sanitario non contengo un elenco delle mansioni come definite a livello contrattuale, ma delle "mansioni tipo" caratterizzate da certe attività, certi rischi e una certa entità dei rischi stessi.

Tanto la valutazione dei rischi quanto il protocollo sanitario non contengo un elenco delle mansioni come definite a livello contrattuale, ma delle “mansioni tipo” caratterizzate da certe attività, certi rischi e una certa entità dei rischi stessi.

Le mansioni definite in ottica di salute e sicurezza sul lavoro possono coincidere con quelle contrattuali, ma non sempre questo avviene o è possibile. E questo perché, mentre nel caso della contrattualistica esiste una classificazione definita e riconosciuta, sul fronte della sicurezza sul lavoro la nomenclatura può essere creata in base alla specificità aziendale per mettere in luce differenze nei rischi e negli accertamenti sanitari richiesti in funzione del rischio specifico.

Rapporto tra contrattualistica e sicurezza

Il fatto che mansione contrattuale e mansione sicurezza non coincidano, non significa che sia possibile far svolgere al lavoratore mansioni diverse rispetto a quelle previste contrattualmente, ma che l’espressione utilizzata per descrivere la mansione sicurezza può essere differente da quella prevista contrattualmente. La differenza, se presente, è dettata dalla necessità di mettere in luce, sul fronte della sicurezza, la “classe di rischio” a cui appartiene il lavoratore, senza che questo crei incoerenze, nella sostanza, con la mansione contrattuale.

Il fatto che mansione contrattuale e mansione sicurezza non coincidano, non significa che sia possibile far svolgere al lavoratore mansioni diverse rispetto a quelle previste contrattualmente.

In sintesi

  1. Quando si parla di mansione di un lavoratore, si può fare riferimento a due ambiti distinti, quello contrattuale e quello della sicurezza sul lavoro;
  2. la dicitura utilizzata per identificare la mansione di un lavoratore può cambiare tra i due ambiti;
  3. se la dicitura contrattuale deve rientrare tra quelle previste dal contratto collettivo di riferimento, quella per la sicurezza può essere adattata maggiormente in funzione della specificità dell’azienda. L’obiettivo è quello di individuare al meglio eventuali differenze tra i rischi di mansioni simili se queste determinano differenze negli accertamenti sanitari che il medico competente deve attuare durante la sorveglianza sanitaria;
  4. il significato della mansione sicurezza è opportuno sia esplicitato nel documento di valutazione dei rischi;
  5. la sostanza delle due diciture, quindi le attività previste dalla mansione contrattuale e dalla mansione per la sicurezza, non può essere in contrasto.
Pubblicato il

5 consigli per una formazione sicurezza efficace

La formazione sicurezza ha come finalità quella di dare forma a comportamenti di lavoro sicuri, per chi li attua e per chi ne è influenzato.

La formazione sicurezza ha come finalità quella di dare forma a comportamenti di lavoro sicuri, per chi li attua e per chi ne è influenzato. E questo aspetto dovrebbe essere il preambolo di qualunque corso sicurezza, per sgombrare il campo dall’idea che sia solo un discutibile obbligo calato dall’alto e riportarlo in quello dell’utilità pratica. Allo stesso tempo l’attenzione ai risvolti operativi dovrebbe rappresentare un monito per i formatori affinché il loro lavoro sia davvero efficace.

Ci sono però altri 4 consigli che invito a seguire per erogare una formazione sicurezza efficace e non solo a prova di ispezione.

1. In parole semplici

Pare che un corso di formazione sicurezza non possa dirsi tale se non comprende una lista di termini e definizioni copiati dal Testo Unico Sicurezza e qualche citazione dei suoi articoli.

Pare che un corso di formazione sicurezza non possa dirsi tale se non comprende una lista di termini e definizioni copiati dal Testo Unico Sicurezza e qualche citazione dei suoi articoli. La convinzione che si possa parlare di obblighi di legge solo riportando parola per parola i testi è limitante e controproducente: serviranno più parole, forse, precisazioni, di certo, ma è possibile tradurre in parole semplici la questione e farsi capire da chiunque. L’unico requisito necessario per riuscire a cambiare le parole senza cambiare il significato del discorso è avere chiaro ciò di cui si deve parlare!

2. Concretezza e coerenza

Se è vero che l'addestramento è un'attività separata e distinta dalla formazione, è altrettanto vero che la formazione non deve passare necessariamente per concetti astratti.

Se è vero che l’addestramento è un’attività separata e distinta dalla formazione, è altrettanto vero che la formazione non deve passare necessariamente per concetti astratti. Anzi, è verissimo il contrario: è cosa buona e giusta che la formazione venga calata nella realtà attraverso esempi, esercizi e simulazioni. Deve essere reale e realistica.

Concretezza è anche parlare di ciò che è previsto a programma, invece di infarcire le ore di riferimenti di legge senza arrivare mai alla sostanza. Perché chiunque partecipi a un corso di formazione sicurezza ha un’unica domanda in testa e per la quale si aspetta una risposta:

“in pratica che cosa devo fare?”

3. Nuotare nel mare tra il dire e il fare

Essere consapevoli della difficoltà della messa in pratica e delle variabili che la influenzano è essenziale. Ci si guadagna in credibilità,

Lasciamo stare la delicata questione che riguarda se sia possibile o meno mettere in pratica tutto quanto è previsto dalla normativa. Ma essere consapevoli della difficoltà della messa in pratica e delle variabili che la influenzano è essenziale. Ci si guadagna in credibilità, anche se si vuole proporsi come intransigenti della materia. E si può facilmente avviare un confronto costruttivo con chi, sempre in trincea, ne vede ogni giorno di nuove.

4. Attenzione al giudizio

Fare della sicurezza sul lavoro una questione morale è forse il modo più sicuro per risultare irritanti. Si finisce per giudicare chi non attribuisce valore all'argomento con il risultato di trovarsi su schieramenti opposti senza possibilità di comunicazione.

Fare della sicurezza sul lavoro una questione morale è forse il modo più sicuro per risultare irritanti. Si finisce per giudicare chi non attribuisce valore all’argomento con il risultato di trovarsi su schieramenti opposti senza possibilità di comunicazione. E, se il canale della comunicazione si chiude, si perde ogni possibilità di trasferire anche le nozioni più banali.

Per altro, se tutto quello che si riesce a fare è giocarsela sul piano morale, non è inevitabile dare l’impressione di non avere argomenti a sostegno dell’utilità della formazione sicurezza che tanto si declama?

CERCHI UN FORMATORE? CONTATTAMI!

Pubblicato il

OdV 231: quale responsabilità per la privacy?

L'OdV 231 è una figura d'impresa di cui non è scontato inquadrare il ruolo in materia di privacy. L'aiuto arriva dal Garante!

Ci sono figure che operano nell’ambito d’impresa che non è scontato inquadrare in termini di ruolo in materia di trattamento dei dati personali, al punto che il Garante, di sua iniziativa o su richiesta di associazioni di categoria, fornisce valutazioni volte alla loro corretta individuazione. Dopo la figura del medico competente, da considerare titolare autonomo del trattamento al pari dell’azienda per la quale svolge il proprio incarico, oggi parlo dell’Organismo di Vigilanza 231 (OdV 231).

Che cos’è l’OdV 231?

Con il decreto legislativo 231 del 2001, il legislatore ha individuato una serie di reati per i quali, oltre alla responsabilità della persona fisica che li ha commessi o che se ne assume la responsabilità per il ruolo che ricopre all’interno di una data organizzazione, è prevista la possibilità, in fase di giudizio, di coinvolgere la responsabilità dell’organizzazione (ente).

Una delle caratteristiche del Modello 231 è quella di comprendere l'affidamento delle funzioni di vigilanza sull'efficacia e sull'attuazione delle procedure a una o più persone, con la formale costituzione dell'Organismo di Vigilanza.

Allo stesso tempo, il decreto ha individuato la possibilità per l’organizzazione di dotarsi di un modello di organizzazione e gestione (Modello 231), ossia di un insieme di procedure che, se in possesso di specifiche caratteristiche e se attuato in modo efficace, può rappresentare uno strumento per dimostrare l’estraneità dell’ente dal reato e, quindi, escluderne la responsabilità.

Una delle caratteristiche del Modello 231 è quella di comprendere l’affidamento delle funzioni di vigilanza sull’efficacia e sull’attuazione delle procedure a una o più persone, con la formale costituzione dell’Organismo di Vigilanza.

Quale responsabilità per la privacy?

Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un “parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231“.

Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un "parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231".

La posizione del Garante è netta e sintetizzabile in 4 punti:

  1. l’OdV 231, anche se dotato di potere d’iniziativa e controllo per svolgere la propria funzione in modo autonomo, non può essere considerato titolare del trattamento perché i suoi compiti non sono autodeterminati ma definiti dall’organo dirigente dell’organizzazione che lo ha incaricato e che ne definisce le modalità di funzionamento e le risorse a disposizione;
  2. l’OdV 231 non può essere considerato nemmeno responsabile del trattamento in quanto eventuali sue omissioni non ricadono sull’organismo ma sull’organizzazione, laddove la normativa in materia di privacy prevede che il responsabile del trattamento abbia a proprio carico una serie di obblighi e sia direttamente responsabile in caso della loro inosservanza;
  3. l’OdV 231 è parte dell’ente che, quale titolare del trattamento, deve designare i singoli membri dell’OdV come soggetti autorizzati al trattamento, che dovranno attenersi alle istruzioni del titolare;
  4. le istruzioni che il titolare definisce per i membri dell’OdV 231 quali soggetti autorizzati non devono minarne l’autonomia e l’indipendenza rispetto agli organi societari, che sono requisiti necessari per lo svolgimento della funzione dell’OdV 231 ai sensi del decreto 231/01.
L'OdV 231 non ha un "incarico privacy" in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.

Quindi l’OdV 231 non ha un “incarico privacy” in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.

Pubblicato il

Nuovo rischio videoterminali con lo smart working?

Chi in "tempi normali" svolgeva mansioni amministrative o commerciali con un'attività ridotta ai videoterminali, con il passaggio allo smart working può avere aumentato l'utilizzo del PC sino a superare la soglia delle 20 ore a settimana, a partire dalla quale scatta l'obbligo di sorveglianza sanitaria.

Chi in “tempi normali” svolgeva mansioni amministrative o commerciali con un’attività ridotta ai videoterminali, con il passaggio allo smart working può avere aumentato l’utilizzo del PC sino a superare la soglia delle 20 ore a settimana, a partire dalla quale scatta l’obbligo di sorveglianza sanitaria. In termini pratici questo può comportare conseguenze diverse per il datore di lavoro a seconda della realtà aziendale. Le metto in fila una alla volta.

Sorveglianza sanitaria per i videoterminalisti

Superata la soglia delle 20 ore a settimana ai videoterminali scatta l'obbligo di sorveglianza sanitaria.

Superata la soglia delle 20 ore a settimana ai videoterminali scatta l’obbligo di sorveglianza sanitaria. In pratica?

A. Se prima nessun comparto aziendale risultava soggetto a sorveglianza sanitaria, il datore di lavoro deve provvedere a nominare il medico competente e attivare la sorveglianza sanitaria.

B. Se prima la sorveglianza sanitaria era attiva per altre mansioni, adesso si tratta di integrare il protocollo sanitario, la lista degli accertamenti previsti per ciascuna mansione, includendo il da farsi per la nuova mansione e avviare le visite per gli interessati.

C. Se prima erano presenti lavoratori con una mansione corrispondente a quella adesso svolta da amministrativi e commerciali prima “rispettosi” della soglia delle 20 ore settimanali di VDR, si tratta solo di inviare questi ultimi a sorveglianza sanitaria.

Bisogna aggiornare il documento di valutazione dei rischi?

Lo smart working deve essere oggetto di valutazione dei rischi specifica, questo significa che l'unico caso in cui è di fatto possibile evitare di aggiornare il DVR è quello in cui l'attività specifica in smart working è già stata valutata.

La logica è analoga a quella della sorveglianza sanitaria: se la variazione dell’attività di alcuni lavoratori va a confluire in casistiche già previste dalla gestione sicurezza aziendale, allora è sufficiente integrare le visite mediche e la questione è risolta; se, invece, la variazione dell’attività rappresenta una novità assoluta, di questa variazione bisogna rendere conto nel documento di valutazione dei rischi (DVR) che, quindi, andrà aggiornato.

Attenzione a un aspetto: lo smart working deve essere oggetto di valutazione dei rischi specifica, questo significa che l’unico caso in cui è di fatto possibile evitare di aggiornare il DVR è quello in cui l’attività specifica in smart working è già stata valutata. Al contrario, l’introduzione di questa modalità di lavoro e modalità specifiche di svolgimento della mansione determinano sempre l’obbligo di aggiornamento del DVR.

E la formazione dei lavoratori?

Se parliamo di formazione obbligatoria, divisa in generale e specifica, la risposta è analoga a quella fornita per il DVR: se la formazione già erogata ai lavoratori comprendeva contenuti specifici per i videoterminali e lo smart working, allora non serve integrare nulla, in caso contrario è necessario aggiornarla.

Se la formazione già erogata ai lavoratori comprendeva contenuti specifici per i videoterminali e lo smart working, allora non serve integrare nulla, in caso contrario è necessario aggiornarla.

Attenzione a un altro aspetto! Quello dell’informativa.

La Direttiva n. 3 del 2017 in materia di lavoro agile del Presidente del Consiglio dei Ministri prevede che il datore di lavoro, in caso di attivazione dello smart working, consegni, sia al lavoratore interessato da questa modalità organizzativa sia al Rappresentante dei Lavoratori per la Sicurezza, “prima dell’avvio della prestazione di lavoro agile, con cadenza almeno annuale (e/o ad ogni variazione significativa delle condizioni lavorative e di rischio connesse in particolare con il cambio di mansione) l’informativa dove sono individuati i rischi generali e specifici relativi alla prestazione da svolgere e le misure da adottare“.

Quindi: se anche non si rendesse necessario aggiornare la formazione secondo l’Accordo Stato Regioni del 21 dicembre 2011, l’informativa è in ogni caso da predisporre e consegnare.

Pubblicato il

Sanzioni disciplinari, anche per salute e sicurezza

Tra le carte che il datore di lavoro si può giocare per sensibilizzare i lavoratori, le sanzioni disciplinari sono di certo la più antipatica

Datore di lavoro e lavoratori sono legati da un contratto che contiene le regole che entrambe le parti devono rispettare nel corso dell’attività di lavoro. Tra queste regole vi è quella che prevede che, in caso di violazione delle condizioni contrattuali, i lavoratori possono essere sanzionati. Le sanzioni sono dette disciplinari e il datore di lavoro deve applicarle rispettando le indicazioni previste dal contratto collettivo nazionale (CCNL) di riferimento e dallo Statuto dei lavoratori.

Non voglio addentrarmi nella normativa che definisce tipologia, modalità di applicazione, scelta e opposizione alle sanzioni disciplinari, pur accennando a qualche informazione di base. L’aspetto che mi interessa sottolineare è che gli obblighi di legge a carico dei lavoratori definiti dal D. L. vo 81/08 e ss.mm.ii., così come le procedure interne definite dal datore di lavoro con il supporto del Responsabile del Servizio di Prevenzione e Protezione e il medico competente, sono parte integrante dei vincoli contrattuali, e come tali possono essere oggetto di sanzione disciplinare se non rispettati.

Gli obblighi di legge a carico dei lavoratori definiti dal D. L. vo 81/08 e ss.mm.ii., così come le procedure interne definite dal datore di lavoro con il supporto del Responsabile del Servizio di Prevenzione e Protezione e il medico competente, sono parte integrante dei vincoli contrattuali.

Alcuni esempi di violazioni sanzionabili

La violazione del contratto può riguardare sia aspetti organizzativi, come il mancato rispetto degli orari di lavoro, sia aspetti relativi alla salute e sicurezza sul lavoro (ex. il mancato utilizzo dei DPI, il mancato rispetto delle procedure di lavoro, l’introduzione di alcol nel luogo di lavoro), sia la violazione delle regole che l’impresa può avere definito al proprio interno rendendole oggetto di un regolamento integrativo del contratto di lavoro (ex. la modalità di gestione delle attrezzature aziendali), sia la natura fiduciaria del rapporto di lavoro (ex. il furto di un bene aziendale, una minaccia personale).

In che cosa consistono le sanzioni disciplinari

Le sanzioni disciplinari comprendono, in ordine crescente di gravità:

  1. il rimprovero verbale;
  2. il rimprovero scritto;
  3. la multa, cioè la trattenuta economica dalla retribuzione (per un massimo di 4 ore);
  4. la sospensione dal servizio e dalla retribuzione (per un massimo di 10 giorni);
  5. il licenziamento (per giustificato motivo, con preavviso ma anche per giusta causa senza preavviso).
Fatta eccezione per il rimprovero verbale e per il licenziamento per giusta causa, in tutti gli altri casi il datore di lavoro, prima di applicare la sanzione disciplinare, deve formulare la propria contestazione al lavoratore in forma scritta.

Fatta eccezione per il rimprovero verbale e per il licenziamento per giusta causa, in tutti gli altri casi il datore di lavoro, prima di applicare la sanzione, deve formulare la propria contestazione al lavoratore in forma scritta, consegnarla con ricevuta a mano o con raccomandata postale all’interessato e consentirgli di fornire le sue spiegazioni a quanto gli viene contestato, nel termine di 5 giorni dalla data di ricevimento della contestazione.

Decorsi i 5 giorni, il datore di lavoro, tenendo conto di eventuali riscontri del lavoratore, può applicare una sanzione disciplinare scegliendola in modo che sia commisurata alla gravità della violazione e dandone comunicazione all’interessato.

Perché applicarle le sanzioni disciplinari in ambito di salute e sicurezza sul lavoro

Il datore di lavoro può rendere esplicite le proprie buone intenzioni prevedendo anche un meccanismo premiante per i più rispettosi, oltre a quello punitivo per gli "indisciplinati".

Per quanto le imprese siano più portate a concepire le sanzioni disciplinari come strumento repressivo di comportamenti che determinano costi aggiuntivi o una riduzione dei guadagni, di fatto le sanzioni disciplinari possono diventare uno strumento attraverso il quale rendere evidente e indiscutibile l’attenzione e la rilevanza che salute e sicurezza hanno per l’organizzazione.

Tra le carte che il datore di lavoro si può giocare per sensibilizzare i lavoratori, le sanzioni disciplinari sono di certo la più antipatica, sia perché incidono su aspetti relazionali sia perché rappresentano un ulteriore aspetto da gestire con attenzione dal punto di vista dei dettagli di legge. Inserite in un sistema più ampio di formazione e vigilanza, però, le sanzioni disciplinari possono risultare non solo efficaci, ma anche tutelanti per il datore di lavoro. Che, comunque, può rendere esplicite le proprie buone intenzioni prevedendo anche un meccanismo premiante per i più rispettosi, oltre a quello punitivo per gli “indisciplinati”.

Privacy policy Proudly powered by WordPress