20/01/2020 - Adempimenti privacy GDPR

Dettagli

Pubblicato Lunedì, 20 Gennaio 2020 07:43

La nuova privacy europea, la direttiva 679/2016 (GDPR), non sostituisce la precedente (196/2003) ma la integra e focalizza l'attenzione sia sugli aspetti informatici che burocratici.

Dal punto di vista della documentazione cartacea e della gestione burocratica amministrativa occorrono:

• Nuovo manuale della gestione della privacy (GDPR, ovvero regolamento di protezione dei dati sulla privacy) che integra o sostituisce il DPS
• Nomina, se necessario, di un responsabile della protezione dei dati (DPO, ovvero colui che Organizza la Protezione dei Dati della Privacy) che può essere anche il titolare
• Individuazione delle figure che avranno accesso e gestione delle banche dati (dipendenti, soci, fornitori ecc.) e conferirgli incarico formale (responsabile del trattamento dei dati)
• Predisposizione delle lettere di incarico per il trattamento dei dati (clienti, fornitori, dipendenti, collaboratori ecc., con possibilità dell'oblio), allegata all'informativa sulla privacy
• Predisporre un inventario delle banche dati (cartacee o informatizzate)
• Predisporre un'analisi formale dei rischi ai quali vengono sottoposti le banche dati (fisici, es. furto, o informatici, es. hackeraggi) e le misure di tutela
• Indicazioni dei processi di ripristino a seguito di una violazione della privacy e una eventuale classificazione codificata delle banche dati stesse
• Predisposizione di un codice etico e di condotta indicato dalla Normativa stessa

Dal punto di vista della gestione informatizzata occorrono:

• Tecnicamente dalla semplice analisi della struttura informatica (reti, internet, sito, server o cloud) con la razionalizzazione della gestione dei backup e password
• Configurazione del router esistente per i più piccoli, alla cifratura dei dati pseudomizzazione (trasformazione in codici),
• Invio dei dati in forma protetta al posto delle mail, fino ad arrivare, per le aziende più strutturate, al VA (Vulnerability Assestment) sia sulle infrastrutture informatiche che sui siti web (i più esposti e a rischio insieme alle mail)
• PT (penetration test) per valutare il livello di protezione e la reazione ad eventuali attacchi esterni

CE.S.AM. srl fornisce i servizi separatamente, cioè la parte formale, cartacea e burocratica (il manuale per intenderci) è a nostra cura e il costo è di 400,00 €+IVA fino a 5 addetti e 5 postazioni di lavoro e per unità produttiva (sul di più, aggiungere 100,00 € a postazione).

La parte informatica può essere affidata in convenzione a un esperto professionista in materia con il quale verrà garantito un rapporto diretto.

Per info: contattaci tramite form via web

21/12/2019 - Il datore di lavoro deve verificare adeguatezza e completezza del DVR

Dettagli

Pubblicato Sabato, 21 Dicembre 2019 10:43

Le Sezioni Unite della Corte di Cassazione, pronunciandosi sul caso ThyssenKrupp (Cassazione Penale, Sez.Un., 18 settembre 2014 n.38343), hanno chiarito che il Responsabile del Servizio di Prevenzione e Protezione, quale "peculiare figura istituzionale del sistema prevenzionistico […], insieme al medico competente, svolge un importante ruolo di collaborazione con il datore di lavoro". 

In particolare, l'RSPP "svolge una delicata funzione di supporto informativo, valutativo e programmatico ma è priva di autonomia decisionale: essa, tuttavia coopera in un contesto che vede coinvolti diversi soggetti, con distinti ruoli e competenze. In breve, un lavoro in équipe".

In tal senso, il ruolo svolto dai componenti del SPP "è parte inscindibile di una procedura complessa che sfocia nelle scelte operative sulla sicurezza compiute dal datore di lavoro. La loro attività può ben rilevare ai fini della spiegazione causale dell’evento illecito. Si pensi al caso del SPP che manchi di informare il datore di lavoro di un rischio la cui conoscenza derivi da competenze specialistiche".

Diversamente, si "rischierebbe di far gravare sul datore di lavoro una responsabilità che esula dalla sfera della sua competenza tecnico-scientifica".

Così premessa e definita l'area di competenza dell'RSPP in relazione a quello che la giurisprudenza identifica ripetutamente come il perimetro delle "competenze specialistiche" attribuite dalla legge a tale soggetto, la Suprema Corte (Cassazione Penale, Sez.IV, 23 gennaio 2017 n.3313) non manca dall'altra parte di sottolineare che, come noto, “il datore di lavoro, avvalendosi della consulenza del responsabile del servizio di prevenzione e protezione, ha l'obbligo giuridico di analizzare e individuare, secondo la propria esperienza e la migliore evoluzione della scienza tecnica, tutti i fattori di pericolo concretamente presenti all'interno dell'azienda e, all'esito, deve redigere e sottoporre periodicamente ad aggiornamento il documento di valutazione dei rischi previsto dall'art.28 del D.Lgs.n.81 del 2008, all'interno del quale è tenuto a indicare le misure precauzionali e i dispositivi di protezione adottati per tutelare la salute e la sicurezza dei lavoratori".

Una sentenza dell'anno scorso (Cassazione Penale, Sez.IV, 20 luglio 2018 n.34311) poi, ricorda che "il contenuto di tale documento è chiaramente definito dall'art.2 lett.q del citato D.Lgs., laddove parla di valutazione globale di tutti i rischi per la salute e la sicurezza dei lavoratori presenti nell'ambito dell'organizzazione in cui essi prestando la propria attività, finalizzata ad individuare le adeguate misure di prevenzione e protezione e ad elaborare il programma delle misure atte a garantire il miglioramento dei livelli di salute e sicurezza".

E aggiunge un elemento essenziale ai fini della concreta ricostruzione delle prerogative del datore di lavoro e dell'RSPP in relazione al DVR.

La Cassazione precisa infatti in tale pronuncia che, se da un lato"per la redazione di tale documento, fondamentale per lo svolgimento in sicurezza della vita lavorativa all'interno di ogni azienda, il datore di lavoro può avvalersi della collaborazione di un professionista, prevedendo la legge la consulenza del responsabile del servizio di prevenzione e protezione", tuttavia l'ausilio che tale soggetto presta per la "redazione di suddetto documento non esonera il datore di lavoro dall'obbligo di verificarne l'adeguatezza e l'efficacia, di informare i lavoratori dei rischi connessi alle lavorazioni in esecuzione e di fornire loro una formazione sufficiente ed adeguata (Sez.4, n.27295 del 2/11/2016, Rv.270355), con particolare riferimento al proprio posto di lavoro ed alle proprie mansioni (Sez.4, n.22147 del 11/2/2016, Rv.266859)".

Nel caso di specie trattato dalla pronuncia, in cui erano presenti "carenze evidenti del DVR", la Corte sottolinea che dato il "carattere non delebile dell'obbligo di valutazione dei rischi inerenti l'attività aziendale gravante sul D.L. [datore di lavoro, n.d.r.], i giudici di appello hanno ritenuto, con motivazione corretta in diritto ed immune da censure, che la collaborazione prestata dal responsabile del servizio di protezione e prevenzione nello svolgimento di tale attività e nell'individuazione delle misure atte a fronteggiare i rischi presenti in azienda, non esimeva il datore di lavoro dal sottoporre il documento redatto dal professionista ad una approfondita analisi critica e verificacirca la concreta individuazione e indicazione della evidenziata situazione di palese rischio e delle misure precauzionali atte a fronteggiarlo. […]

Di qui la colposa condotta omissiva del datore di lavoro, il quale, a fronte di un DVR così inidoneo a consentire in sicurezza il lavoro cui era addetto il lavoratore, non ha svolto alcun doveroso controllo sul contenuto del documento, imponendone al professionista incaricato le necessarie integrazioni".

In particolare, per quanto riguarda il "dedotto principio dell’affidamento, quale esonero da responsabilità, la ricorrente dimentica che il datore di lavoro è l'unico destinatario degli obblighi prevenzionali e, quand'anche abbia delegato [commissionato, n.d.r.] ad altri la stesura del documento di valutazione dei rischi, non di meno è tenuto, nel momento della sua attuazione, a verificarne la completezza e l'efficacia, adempimento che la [datrice di lavoro, n.d.r.] non ha svolto, attesa l'evidente inadeguatezza del documento, come prima evidenziato".

Tale pronuncia aveva affermato il principio secondo cui, nel caso specifico, "il Datore di lavoro avrebbe dovuto controllare la relazione predisposta dall'ing. Pa. [RSPP] onde poter segnalare al detto professionista quelle attività del ciclo produttivo eventualmente ignorate".

Ricostruiamo molto sinteticamente la vicenda di cui si è occupata la Cassazione.

Con questa sentenza, la Corte aveva confermato la responsabilità di un datore di lavoro (ed escluso quella del Responsabile del Servizio di Prevenzione e Protezione) per un infortunio occorso ad un lavoratore il quale, durante il turno di lavoro notturno (22,00-6,00), mentre era intento alle operazioni di pulizia all'interno di un silo contenente grano in fase di svuotamento era venutosi a trovarsi disteso sulla superficie granaria sulla quale si muoveva, e, non percependo il progressivo assorbimento del suo corpo all'interno della massa di grano, era rimasto poi completamento coperto dal grano decedendo per asfissia.

La Cassazione aveva precisato che "quanto alla posizione di garanzia del [datore di lavoro, n.d.r.] va innanzi tutto sottolineato che, per come accertato in sede di merito, l’ing. Pa. [RSPP, n.d.r.] era stato incaricato dell'individuazione dei fattori di rischio e dell'elaborazione delle misure di prevenzione e delle procedure di sicurezza.

Il detto professionista aveva predisposto una relazione nella quale però non era stata esaminata la specificità della mansione svolta dagli operai all'interno dei silos e pertanto aveva omesso ogni valutazione dei rischi collegabili alla stessa.

A fronte della contestazione di tale omissione, "l'[RSPP] aveva dichiarato di non essere a conoscenza di tale lavorazione: dunque, in assenza di informazioni rilevanti che avrebbero dovuto essere fornite da persone informate, "in primis" il datore di lavoro, non aveva mai fatto riferimento, nella sua relazione, all'operazione di pulizia delle celle granarie".

Pertanto "l'omessa previsione, da parte dell'RSPP dei rischi correlati alle operazioni di pulizia all'interno delle celle granarie, è pienamente riconducibile al [datore di lavoro, n.d.r.] il quale era perfettamente a conoscenza delle caratteristiche del luogo, del tempo e delle più rilevanti circostanze concernenti lo svolgimento del lavoro di pulizia all'interno dei silos, così come puntualmente e dettagliatamente posto in evidenza dai giudici di seconda istanza".

La Cassazione aveva concluso dunque che nel caso di specie "il Datore di lavoro avrebbe dovuto controllare la relazione predisposta dall'[RSPP] onde poter segnalare al detto professionista quelle attività del ciclo produttivo eventualmente ignorate (come poi in concreto si è verificato) nella valutazione dell'attività aziendale ai fini della pianificazione dei rischi".

Pertanto "l'omissione di tale controllo vale a concretizzare un evidente profilo di colpa".

Concludiamo questa breve rassegna (condotta come sempre senza pretese di esaustività) illustrando sinteticamente una più recente sentenza (Cassazione Penale, Sez.IV, 12 giugno 2017 n.29062) con cui la Suprema Corte ha confermato la responsabilità di un datore di lavoro per il reato di lesioni personali colpose "ai danni del lavoratore, dipendente della detta società con qualifica di operaio addetto ai servizi generali di stabilimento, e della contravvenzione di cui all'art.28, comma 2, lett.b), D.Lgs.n.81 del 2008 per aver adottato un documento di valutazione dei rischi carente in punto di individuazione delle misure di prevenzione e protezione correlate con le operazioni svolte con il carrello elevatore nel reparto oli".

In particolare il lavoratore "doveva movimentare una cisterna utilizzata per trasportare l'olio esausto proveniente dal reparto di lavorazione e destinato al reparto trattamento oli" e "aveva quindi prelevato la cisterna, del peso di circa 900/1000 kg., mediante il carrello elevatore, utilizzando le forche del mezzo e bloccandole all'altezza di circa un metro da terra per consentire il travaso dalla cisterna all'altro serbatoio; per eseguire tale operazione si era quindi posizionato davanti alla cisterna e mentre si accingeva ad avvitare il tubo corrugato al rubinetto, la cisterna era caduta improvvisamente e lo aveva travolto procurandogli fratture alla gamba sinistra".

Era stato "documentalmente provato che l'operazione che stava eseguendo il LAVORATORE non era stata presa in considerazione al fine di valutare il rischio specifico".

La sentenza specifica altresì che tale "rischio specifico e la previsione degli accorgimenti tecnici idonei a neutralizzarlo non erano stati considerati nel DVR, predisposto da un'azienda specializzata del settore, e ciò perché nei dieci anni precedenti non si era mai verificato alcun inconveniente o sinistro collegato a tale operazione di travaso".

Peraltro "nella evidente consapevolezza della carenza del DVR, il datore di lavoro aveva organizzato un corso di formazione "fast training", cui il LAVORATORE aveva partecipato, risultato però in concreto inadeguato".

Rispetto al tema che ci occupa, la Cassazione conferma l'impostazione della Corte d'Appello, la quale "reputava sussistente il profilo psicologico della condotta, non potendo l'imputato essere scagionato né per le sue specifiche qualità e cariche sociali, né per il passivo affidamento al DVR elaborato da un'impresa terza, la quale aveva comunque evidenziato come "remoto" il rischio oggettivo di investimento per scivolamento della cisterna dai supporti del carrello elevatore ed aveva predisposto misure preventive palesemente inadeguate".

Per info: contattaci tramite form via web

21/09/2018 - Controlli su alimenti, rifiuti e regolamento Privacy GDPR

Dettagli

Pubblicato Venerdì, 21 Settembre 2018 00:43

Siamo a conoscenza che da visite ispettive presso alcune ditte continuano i controlli NAS sugli alimenti e, in aggiunta, della Polizia di Stato sui rifiuti. La raccomandazione è quindi quella di non "mollare" mai la presa e di attenersi alle solite indicazioni:

Per i RIFIUTI: la compilazione almeno ogni 10 gg. del registro di carico e scarico dei rifiuti, di tenere separati gli stessi dentro a contenitori specifici, i rifiuti liquidi devono essere all'interno di contenitori specifici, i rifiuti all'esterno devono essere dentro cassoni e coperti e così via.

Per gli ALIMENTI: compilare le schede di pulizia e temperature frigo, applicare la TRACCIABILITA’ degli alimenti venduti o prodotti, all'interno dei frigo gli alimenti vanno tenuti separati tra tipologie e all'interno di contenitori, non usare contenitori in metallo, pulire i locali e togliere ragnatele e muffe e così via.

PRIVACY: come ormai noto è entrato in vigore il regolamento UE del 2016 n.679 sulla Privacy. Molte aziende si sono adeguate, ma ho avuto l'impressione che ancora in tanti non abbiano attivato la nuova disposizione. CE.S.AM. srl ha attivato il servizio, chi vuole adeguarsi... si affretti.

Per info: contattaci tramite form via web

04/05/2018 - Privacy: nuova normativa europea 679/2016 GDPR

Dettagli

Pubblicato Venerdì, 04 Maggio 2018 00:43

Premesso che in questi giorni sarete stati tempestati di avvisi sulla applicazione del nuovo regolamento europeo sulla Privacy, in scadenza per il 25 Maggio 2018, precisando che NON E' specificatamente di competenza degli studi di sicurezza sul lavoro, CE.S.AM.srl, per le aziende convenzionate, propone l'opportunità dettagliata a seguire, di seguito potete leggere i chiarimenti e gli adempimenti su ciò che dovrete affrontare nel prossimo mese.

La nuova normativa sulla privacy europea, la direttiva 679/2016, non sostituisce la precedente (196/2003) ma la integra e focalizza l'attenzione sia sugli aspetti informatici che burocratici.

Dal punto di vista della documentazione cartacea e della gestione burocratica amministrativa occorrono:

• Nuovo manuale della gestione della privacy (GDPR, ovvero regolamento di protezione dei dati sulla privacy) che integra o sostituisce il DPS
• Nomina di un responsabile della protezione dei dati (DPO, ovvero colui che Organizza la Protezione dei Dati della Privacy) che può essere anche il titolare
• Individuazione delle figure che avranno accesso e gestione delle banche dati (dipendenti, soci, fornitori ecc.) e conferirgli incarico formale (responsabile del trattamento dei dati)
• Predisposizione delle lettere di Incarico per il trattamento dei dati (clienti, fornitori, dipendenti, collaboratori ecc., con possibilità dell'oblio), allegata all'informativa sulla Privacy
• Predisporre un inventario delle banche dati (cartacee o informatizzate)
• Predisporre un'analisi formale dei rischi ai quali vengono sottoposti le banche dati (fisici es. furto o informatici es. hackeraggi) e le misure di tutela
• Indicazioni dei processi di ripristino a seguito di una violazione della privacy e una eventuale classificazione codificata delle banche dati stesse
• Predisposizione di un codice etico e di condotta indicato dalla Normativa stessa

Dal punto di vista della gestione informatizzata occorrono:

• Tecnicamente l'analisi della struttura informatica (reti, internet, sito, server o cloud) con la razionalizzazione della gestione dei backup e password
• Configurazione del router esistente per i più piccoli, alla cifratura dei dati pseudonimizzazione (trasformazione in codici)
• Invio dei dati in forma protetta al posto delle mail, fino ad arrivare, per le aziende più strutturate, al VA (Vulnerability Assestment) sia sulle infrastrutture informatiche che sui siti web (i più esposti e a rischio insieme alle mail)
• PT (penetration test) per valutare il livello di protezione e la reazione ad eventuali attacchi esterni

CE.S.AM. srl, per i propri assistiti, fornisce i servizi separatamente: la parte formale, cartacea e burocratica (il manuale per intenderci) è a nostra cura ed il costo è di 400,00 € + IVA fino a 5 addetti e 5 postazioni di lavoro e per unità produttiva (per addetti/pdl aggiuntivi 100,00 € + IVA a postazione). Per la parte informatica, affidata ad un esperto professionista in materia con il quale intratterrete un rapporto diretto, il costo è di 500,00 € + IVA a giornata di lavoro, in alternativa potete rivolgerVi al vostro consulente informatico o al tecnico dei vostri gestionali e del sito web.

Per info: contattaci tramite form via web

17/04/2018 - Valutazione rischio legionellosi e nomina del responsabile legionella

Dettagli

Pubblicato Martedì, 17 Aprile 2018 06:50

Per legionella si intende un batterio aerobio definito gram-negativo di cui si conoscono molte specie tra cui la più pericolosa è la Legionella pneumophila. Il batterio prolifera negli ambienti acquatici naturali, risalendo poi a quelli artificiali come le tubature e gli impianti idrici dei centri abitati (serbatoi, piscine, fontane). Contrarre la legionellosi è, quindi, un rischio insito in diversi ambienti che, per questo motivo, necessitano di una corretta valutazione del rischio legionellosi e di misure preventive per impedire la proliferazione del batterio.

Il 4 aprile 2000 in sede di conferenza Stato-Regioni viene siglato l’accordo pubblicato nel G.U. n.103 del 5 maggio 2000 dal titolo “Linee guida recanti indicazioni sulla legionellosi per i gestori di strutture turistico-ricettive e termali” mentre il 13 gennaio 2005 vengono siglati gli accordi pubblicati in G.U. n.28 del 4 febbraio del 2005, in virtù dei quali corre l’obbligo di procedere alla valutazione del rischio legato all’infezione da legionella con conseguente obbligo di elaborare il relativo documento ai fini dell’autocontrollo per le seguenti tipologie di attività:

• Strutture turistico recettive (alberghi, hotel, pensioni, campeggi, residence)
• Agriturismi, bed&breakfast, soggiorni di vacanza, affittacamere, navi da crociera
• Strutture ad uso collettivo (piscine, impianti sportivi e ludici, palestre, centri commerciali)
• Fiere, esposizioni, centri benessere, strutture termali
• Strutture sanitarie, socio-sanitarie e socio-assistenziali, odontotecnici e dentisti
• Sistemi importanti di condizionamento d’aria, saune, piscine

Tale documento dovrà specificare:

• Nomina di un responsabile per la gestione del rischio che comprenda la valorizzazione della politica di prevenzione e l’applicazione delle misure di controllo
• Valutazione del rischio mediante un’attenta analisi delle condizioni di normale funzionamento dell’impianto idrosanitario al fine di individuarne i punti critici
• Ispezione della struttura (mappa della rete idrica)
• Gestione dell’eventuale rischio rilevato derivante dall’impianto idrosanitario creando le misure correttive necessarie al ridurre al minimo il rischio evidenziato

Dovrà inoltre essere istituito il “Registro degli interventi”, cioè un documento riassuntivo degli interventi di manutenzione ordinari e straordinari sugli impianti idrici e di climatizzazione. Dovranno essere eseguiti da laboratorio accreditato almeno sei campionamenti all’anno per la ricerca ed il conteggio della legionella sui punti critici dell’impianto idrico e di climatizzazione identificati nel processo di valutazione dei rischi. Si dovrà procedere alla formazione ed informazione del personale coinvolto nel controllo e nella prevenzione della legionellosi.

La periodicità dell’analisi del rischio e la rielaborazione del Documento deve essere effettuata regolarmente, con frequenza di almeno 2 anni e ogni volta che sia legittimo pensare che la situazione si sia modificata (ad esempio: ristrutturazioni, manutenzione straordinaria ecc.). L’analisi deve, comunque, essere rifatta ad ogni segnalazione di un possibile caso di legionellosi.