La formazione per attività in ambienti sospetti di inquinamento o confinati

I soggetti formatori sviluppano proposte molto variegate per gli ambienti sospetti di inquinamento o confinati. E le differenze spesso non riguardano solo la durata (8, 12 o 16 ore sono le opzioni più diffuse), ma anche le differenze dei percorsi di formazione a seconda del ruolo specifico (addetti all'esecuzione dell'attività, RSPP, datore di lavoro, Coordinatori Sicurezza, rappresentante del datore di lavoro committente).

Non è mio interesse in questo momento ricostruire il contenuto della normativa di riferimento per individuare quale sia la definizione di ambienti sospetti di inquinamento o confinati e quali siano i requisiti per eseguire attività al loro interno introdotti dal DPR 177/2011Regolamento recante norme per la qualificazione delle imprese e dei lavoratori autonomi operanti in ambienti sospetti di inquinamento o confinanti, a norma dell’articolo 6, comma 8, lettera g), del decreto legislativo 9 aprile 2008, n. 81“.

Piuttosto mi interessa sottolineare come la formazione richiesta per i soggetti coinvolti nell’esecuzione delle attività in questi ambienti risulti a oggi priva di un riferimento univoco in termini di durata, contenuti e frequenza di aggiornamento, con la conseguenza che i soggetti formatori sviluppano proposte molto variegate tra le quali i non addetti ai lavori faticano a orientarsi. E le differenze spesso non riguardano solo la durata (8, 12 o 16 ore sono le opzioni più diffuse), ma anche le differenze dei percorsi di formazione a seconda del ruolo specifico (addetti all’esecuzione dell’attività, RSPP, datore di lavoro, Coordinatori Sicurezza, rappresentante del datore di lavoro committente).

La formazione richiesta per i soggetti coinvolti nell'esecuzione delle attività in questi ambienti risulti a oggi priva di un riferimento univoco in termini di durata, contenuti e frequenza di aggiornamento.

In attesa dell’accordo Stato- Regioni che l’art. 2, comma 1, lettera d) del DPR 177/2011 aveva previsto venisse emanato entro 90 giorni dall’entrata in vigore del decreto (23.11.2011) per definire “i contenuti e le modalità della formazione“, non resta che affidarsi al proprio formatore/ ente di formazione di fiducia per individuare il percorso che meglio risponda alla tipologia specifica di interventi che vengono svolti dall’impresa o dal lavoratore autonomo, in termini di durata e frequenza di aggiornamento.

Ma ci sono indicazioni istituzionali?

Uno dei riferimenti a mio avviso più strutturati e completi sul tema della gestione delle attività in ambienti sospetti di inquinamento o confinati sono “Le linee di indirizzo” del Consiglio Nazionale degli Ingegneri (versione aggiornata a gennaio 2020).

Il grande pregio di questo documento è la trattazione strutturata di tutti gli aspetti di gestione dell’attività, partendo dai requisiti del testo di legge di riferimento, il DPR 177/2011, fino a una sintesi ragionata di pubblicazioni istituzionali e norme tecniche.

In attesa di specifico accordo Stato- Regioni, non resta che affidarsi al proprio formatore/ ente di formazione di fiducia per individuare il percorso che meglio risponda alla tipologia specifica di interventi che vengono svolti dall'impresa o dal lavoratore autonomo, in termini di durata e frequenza di aggiornamento.

Tra gli aspetti analizzati, ovviamente, non manca quello relativo a formazione, informazione e addestramento di tutti i soggetti coinvolti nella gestione di tale attività. La conclusione alla quale arriva il documento non è diversa da quella dominante: mancano indicazioni univoche e si attende l’emanazione di specifico accordo Stato- Regioni.

Nell’analisi dell’argomento specifico, però, il documento raccoglie possibili spunti da utilizzare per progettare la formazione e, in merito alla questione della durata dei corsi, a conclusione del capitolo “Organizzazione e metodologia” di pagina 17, afferma:

La maggior parte dei documenti tecnici di riferimento emessi dagli enti istituzionali fornisce indicazione di durata minima del percorso di formazione e addestramento in ambito ambienti confinati pari a 16 ore.

E aggiungo che, il quaderno tecnico predisposto dal Dipartimento Medico di Prevenzione della ASL di Milano per EXPO 2015, citato anche dalle linee di indirizzo del Consiglio Nazionale degli ingegneri (CNI), parla di durata minima di 16 ore

In riferimento alla frequenza di aggiornamento, e linee di indirizzo del CNI richiamano quale "fondamento normativo" il  comma 6 dell’art. 37 del D.Lgs. n.81/2008 e, a seguire,  l'Accordo Stato-Regioni del 21 dicembre 2011 con l'indicazione dell'aggiornamento quinquennale, che, in pratica, viene utilizzato come riferimento nei casi in cui il legislatore non abbia esplicitato la relativa frequenza di aggiornamento.

Concludo con un riferimento alla frequenza di aggiornamento, elemento ancor più evanescente degli altri per questo tipo di formazione, al punto che sono davvero pochi i soggetti formatori che prevedono a catalogo il corso di aggiornamento per ambienti sospetti di inquinamento o confinati. In merito a questo aspetto, le linee di indirizzo del CNI richiamano quale “fondamento normativo” il comma 6 dell’art. 37 del D.Lgs. n.81/2008 e, a seguire, l’Accordo Stato-Regioni del 21 dicembre 2011 con l’indicazione dell’aggiornamento quinquennale, che, in pratica, viene utilizzato come riferimento nei casi in cui il legislatore non abbia esplicitato la relativa frequenza di aggiornamento.

Coronavirus: protocollo sicurezza e privacy

Governo e parti sociali hanno definito le misure che le imprese del territorio nazionale devono mettere in atto se intendono proseguire la proprie attività in corrispondenza del periodo di restrizioni imposte dal DPCM 11 marzo 2020 (il cui termine, a oggi, è previsto per il 25 marzo), garantendo la tutela dei lavoratori dal rischio di infezione dal coronavirus COVID-19.

Il 14 marzo è stato adottato il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro“. In tredici punti, Governo e parti sociali hanno definito le misure che le imprese del territorio nazionale devono mettere in atto se intendono proseguire la proprie attività in corrispondenza del periodo di restrizioni imposte dal DPCM 11 marzo 2020 (il cui termine, a oggi, è previsto per il 25 marzo), garantendo la tutela dei lavoratori dal rischio di infezione dal coronavirus COVID-19.

Leggendo nel dettaglio il Protocollo, al punto 2) relativo alle modalità di ingresso in azienda, si indica che “il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea“, richiamando in calce, con una nota, le indicazioni da adottare al fine di garantire il rispetto delle disposizioni vigenti in materia di trattamento dati.

Il Protocollo per il contenimento del Coronavirus nei luoghi di lavoro prevede che il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea.

Il problema è che il Garante per la protezione dei dati personali si è espresso sull’argomento in modo nettamente distinto lo scorso 2 marzo, precisando che “i datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato“.

La situazione è certamente complessa: alle paure connesse alla salute si aggiungono quelle economiche, e trovare l’equilibrio tra norme e pareri contrastanti risulta anche più difficile di quanto non sia in condizioni normali. Come ridurre il rischio di errore? Mi sono confrontata con la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali per riuscire a fornire, nei limiti consentiti dalla confusione del momento, informazioni precise.

Il protocollo per la gestione del Coronavirus richiama con una nota le indicazioni da adottare al fine di garantire il rispetto delle disposizioni vigenti in materia di trattamento dati. Il Garante però non sembra essere concorde.

Sulla base di questo confronto, posso dire che:

  1. si riscontra una distonia, se non un contrasto, tra il Protocollo sicurezza del 14 marzo e il comunicato del Garante del 2 marzo;
  2. il Garante, al termine del proprio comunicato, “invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”;
  3. se il datore di lavoro attua il Protocollo, si può ritenere non metta in campo un’iniziativa autonoma, fermo restando che il trattamento dei dati non vada oltre le finalità di contenimento dell’emergenza e rispetti i vincoli imposti dal provvedimento. Pertanto, in questo senso, la distonia (o contrasto) potrebbe dirsi superata o superabile.

I documenti di valutazione dei rischi

La valutazione dei rischi a cui sono esposti i lavoratori è il cuore della gestione della salute e sicurezza sul lavoro: solo se si conoscono tipologia ed entità dei rischi si possono definire le misure di prevenzione e protezione efficaci per eliminarli, ridurli e prevenirli.

La valutazione dei rischi a cui sono esposti i lavoratori è il cuore della gestione della salute e sicurezza sul lavoro: solo se si conoscono tipologia ed entità dei rischi si possono definire le misure di prevenzione e protezione efficaci per eliminarli, ridurli e prevenirli.

Il D. L.vo 81/08 e ss.mm.ii. prevede che la valutazione sia sempre formalizzata, quindi messa per iscritto, e individua dei documenti specifici in cui farlo, a seconda della “situazione” nella quale si sta operando. Vediamoli uno per uno.

DVR, documento di valutazione dei rischi

Il DVR offre quindi un quadro complessivo e articolato rispetto alle caratteristiche della specifica attività lavorativa o, meglio ancora, della singola unità produttiva.

Si tratta del punto di partenza della gestione dei rischi di ogni impresa che abbia anche un solo lavoratore. I requisiti sono introdotti dall’art. 28 del D. L.vo 81/08 e ss.mm.ii., insieme agli elementi che deve contenere la valutazione:

  • scelta delle attrezzature di lavoro;
  • scelta delle sostanze o delle miscele chimiche impiegate;
  • sistemazione (organizzazione) dei luoghi di lavoro;
  • tutti i rischi per la sicurezza e la salute dei lavoratori, compresi quelli riguardanti gruppi di lavoratori esposti a rischi particolari (ex. quelli collegati allo stress lavoro-correlato, quelli riguardanti le lavoratrici in stato di gravidanza, quelli connessi alle differenze di genere, all’età, alla provenienza da altri Paesi e quelli connessi alla specifica tipologia contrattuale attraverso cui viene resa la prestazione di lavoro, quelli derivanti dal possibile rinvenimento di ordigni bellici inesplosi nei cantieri temporanei o mobili).

Il DVR offre quindi un quadro complessivo e articolato rispetto alle caratteristiche della specifica attività lavorativa o, meglio ancora, della singola unità produttiva.

DUVRI, documento unico di valutazione dei rischi da interferenze

Se l'impresa affida lavori, servizi o forniture a terzi, siano questi lavoratori autonomi o imprese, si deve preoccupare di identificare e gestire i rischi derivanti dall'interferenza tra la sua attività e quella dei lavoratori autonomi e/o delle imprese a cui ha affidato tali attività.

Se l’impresa affida lavori, servizi o forniture a terzi, siano questi lavoratori autonomi o imprese, si deve preoccupare di identificare e gestire i rischi derivanti dall’interferenza tra la sua attività e quella dei lavoratori autonomi e/o delle imprese a cui ha affidato tali attività. La gestione dei rischi da interferenze avviene predisponendo il DUVRI, documento unico di valutazione dei rischi da interferenze, il cui contenuto è dettagliato dal comma 3 dell’art. 26 del D. L.vo 81/08 e ss.mm.ii.

Ci sono 2 eccezioni.

1- Nel caso di servizi di natura intellettuale, mere forniture di materiali o attrezzature, lavori o servizi di durata non superiore a 5 uomini-giorno che non comportino rischio di incendio di livello elevato, attività in ambienti confinati e/o sospetti di inquinamento, presenza di agenti cancerogeni, mutageni o biologici, amianto o atmosfere esplosive o uno o più dei rischi particolari di cui all’allegato XI del D. L.vo 81/08 e ss.mm.ii. (cfr. foto seguente), non è richiesta la redazione del DUVRI.

2- Nel caso in cui le attività oggetto di affidamento comportino lavori edili o di ingegneria civile indicati nell’allegato X del D. L.vo 81/08 e ss.mm.ii. (cfr. foto seguente), si ricade nella fattispecie dei cantieri temporanei o mobili dove non trova più applicazione l’art. 26 (DUVRI) del decreto, ma si devono seguire le disposizioni del Titolo IV dello stesso decreto, che prevedono la predisposizione di PSC e POS.

PSC (Piano di Sicurezza e Coordinamento) e POS (Piano Operativo di Sicurezza)

Se le attività che un soggetto giuridico (committente) affida a un altro soggetto giuridico (impresa o lavoratore autonomo) comportano i lavori edili o di ingegneria civile indicati nell'allegato X del  D. L.vo 81/08 e ss.mm.ii., si  applicano le disposizioni del Titolo IV del decreto citato.

Se le attività che un soggetto giuridico (committente) affida a un altro soggetto giuridico (impresa o lavoratore autonomo) comportano i lavori edili o di ingegneria civile indicati nell’allegato X del D. L.vo 81/08 e ss.mm.ii., si applicano le disposizioni del Titolo IV del decreto citato.

Si configura così un cantiere temporaneo o mobile che viene considerato come fosse un'”unità produttiva” a sé stante, soggetta a regole specifiche. In questo caso l’individuazione, la valutazione e la gestione dei rischi viene formalizzata:

  1. mediante la redazione del PSC da parte del coordinatore per la sicurezza e del POS da parte di ogni singola impresa esecutrice dei lavori, in caso la realizzazione dell’opera richieda l’intervento, anche non contemporaneo, di più imprese esecutrici;
  2. in caso di esecuzione dei lavori da parte di un’unica impresa, mediante la predisposizione del solo POS di quest’ultima.

PSS (Piano di Sicurezza Sostitutivo)

Di PSS parlava l’articolo 131 del D.Lgs. 163/2006 (il "vecchio" Codice degli appalti) e continua a parlarne, relativamente ai contenuti del documento, l'allegato XV del D. L.vo 81/2008 e ss.mm.ii.

Di PSS parlava l’articolo 131 del D.Lgs. 163/2006 (il “vecchio” Codice degli appalti) e continua a parlarne, relativamente ai contenuti del documento, l’allegato XV del D. L.vo 81/2008 e ss.mm.ii.

La vecchia normativa in materia di appalti pubblici prevedeva che, in caso di appalto di lavori che non richiedesse il ricorso a più imprese esecutrici e, quindi, nemmeno la redazione del PSC da parte del coordinatore per la sicurezza, l’impresa affidataria dei lavori predisponesse il PSS, secondo i contenuti definiti dall’allegato XV del D. L.vo 81/2008 e ss.mm.ii.

Con l’entrata in vigore della nuova normativa relativa alla disciplina degli appalti pubblici (D. L.vo 50/2016), in vigore dal 19 aprile 2016, l’articolo 131 della normativa precedente è stato abrogato. Inoltre il D. L.vo 50/2016 non contiene più alcun riferimento all’obbligo di redazione/ consegna da parte dell’appaltatore del Piano di Sicurezza Sostitutivo. Allo stesso tempo, però, l’allegato XV del D. L.vo 81/2008 e ss.mm.ii. è rimasto nella sua forma originaria. Quindi? Quindi in caso di appalto di lavori a un’unica impresa, quest’ultima redige il proprio POS e… punto!

Tutto chiaro?

Il registro dei trattamenti è obbligatorio?

Il registro dei trattamenti è un obbligo con deroghe, questo significa che la normativa (art. 30 del GDPR) prevede che ogni titolare e responsabile del trattamento debbano redigere il registro fatta eccezione per alcuni casi specifici che vengono elencati dal testo di legge.

Il registro dei trattamenti è il documento che il GDPR, nuovo Regolamento europeo in materia di privacy, ha disposto venga predisposto in forma scritta, e che possa essere conservato anche in formato elettronico, al fine di dare evidenza della modalità di gestione dei dati personali da parte del titolare del trattamento e del responsabile del trattamento (o dal loro rappresentante*).

Il registro dei trattamenti è un obbligo con deroghe, questo significa che la normativa (art. 30 del GDPR) prevede che ogni titolare e responsabile del trattamento debbano redigere il registro fatta eccezione per alcuni casi specifici che vengono elencati dal testo di legge.

Gli obblighi […] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Il registro dei trattamenti è il documento che il GDPR, nuovo Regolamento europeo in materia di privacy, ha disposto venga predisposto in forma scritta, e che possa essere conservato anche in formato elettronico, al fine di dare evidenza della modalità di gestione dei dati personali da parte del titolare del trattamento e del responsabile del trattamento (o dal loro rappresentante).

Il sito del Garante ha messo a punto una guida ragionata all’applicazione del GDPR, organizzata in forma di domande frequenti (FAQ) che consente, a chi è armato di santa pazienza, di orientarsi con un ottimo grado di precisione nella normativa in vigore. È presente anche una sezione dedicata al registro dei trattamenti, comprensiva di modelli semplificati per le PMI, motivo per cui non mi dilungo sugli aspetti relativi ai contenuti e alle modalità di conservazione del registro.

In quali casi non è quindi obbligatorio?

Il titolare e il responsabile del trattamento possono non predisporre il registro dei trattamenti nel caso di imprese od organizzazioni con meno di 250 dipendenti e purché non sussista una delle 3 condizioni seguenti:

  1. il trattamento dei dati che l’impresa o l’organizzazione effettua può presentare un rischio per i diritti e le libertà dell’interessato;
  2. il trattamento non è occasionale;
  3. il trattamento include categorie particolari di dati (art. 9, paragrafo 1) o i dati personali relativi a condanne (penali e a reati di cui all’art. 10).
Il titolare e il responsabile del trattamento possono non predisporre il registro dei trattamenti nel caso di imprese od organizzazioni con meno di 250 dipendenti e purché non sussista una delle 3 condizioni definite dal GDPR.

Per capire meglio queste disposizioni è molto utile la lettura del documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 ( Comitato europeo per la protezione dei dati). Il documento è disponibile solo in inglese, ma eccovi qui la sostanza:

  • i tre tipi di trattamento a cui la deroga nella tenuta del registro non si applica sono alternativi e il verificarsi di anche solo uno di questi innesca l’obbligo di predisposizione e conservazione del registro dei trattamenti;
  • nelle organizzazioni con meno di 250 dipendenti che effettuano sia trattamenti che non ricadono nelle 3 condizioni sopra elencate sia trattamenti che ricadono in una delle 3 condizioni in questione, è necessario predisporre il registro dei trattamenti per le sole attività che comportano una delle 3 condizioni elencate poco sopra.

L’esempio che viene prestato è quello di una piccola organizzazione che tratta con regolarità i dati relativi ai propri dipendenti. Come conseguenza, dice il documento, questo trattamento non può essere considerato occasionale e deve quindi essere incluso in un registro dei trattamenti. Altre attività che fossero occasionali non dovranno essere incluse nel registro dei trattamenti, a condizione che non comportino un rischio per i diritti e le libertà dell’interessato e non comprendano categorie particolari di dati o i dati personali relativi a condanne.

Il Garante sposa il contenuto del documento interpretativo del 19 aprile 2018 e ne ribadisce anche la considerazione finale in merito al vantaggio di predisposizione del registro dei trattamenti.

La posizione del Garante in relazione all’obbligatorietà del registro dei trattamenti

Il Garante sposa il contenuto del documento interpretativo del 19 aprile 2018 e ne ribadisce anche la considerazione finale, e cioè che, sebbene la normativa preveda esplicitamente delle deroghe all’obbligo di tenuta del registro dei trattamenti, questo documento agevola l’effettiva valutazione del rischio connesso alle attività di trattamento dei dati e l’identificazione e l’implementazione delle adeguate misure di sicurezza, entrambe componenti chiave del principio di responsabilità su cui si fonda il GDPR.

Per tale ragione “[…] anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento“.


* «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.

La formazione obbligatoria per i lavoratori autonomi

Artigiani o lavoratori autonomi sono soggetti a obblighi di legge diversi dalle imprese per quanto riguarda la salute e la sicurezza sul lavoro, ossia godono di alcune semplificazioni. Questo aspetto si applica anche alla formazione. Ecco quali sono i corsi sicurezza obbligatori per gli artigiani.

La norma li chiama lavoratori autonomi, in gergo li si chiama artigiani, i commercialisti li chiamano partite iva (liberi professionisti) e ditte individuali senza dipendenti. Quale che sia il nome che preferite, la sostanza è che questi soggetti devono sottostare a obblighi di legge diversi dalle imprese per quanto riguarda la salute e la sicurezza sul lavoro, ossia godono di alcune semplificazioni. Questo aspetto si applica anche alla formazione. Ecco quali sono i riferimenti di legge e gli aspetti operativi da verificare per individuare i corsi sicurezza obbligatori per i lavoratori autonomi.

Gli obblighi generali

L’articolo 3 (campo di applicazione), comma 11, del Testo Unico Sicurezza prevede che:

Nei confronti dei lavoratori autonomi […] si applicano le disposizioni di cui agli articoli 21 e 26.

L’articolo 21 stabilisce che le ditte individuali senza dipendenti debbano:

  1. utilizzare le attrezzature di lavoro in conformità alle disposizioni del Titolo III;
  2. munirsi di dispositivi di protezione individuale e utilizzarli conformemente alle disposizioni del Titolo III;
  3. munirsi di apposita tessera di riconoscimento se svolgono la loro prestazione in un luogo di lavoro nel quale si svolgano attività in regime di appalto o subappalto.
Relativamente ai rischi propri delle attività svolte e con oneri a proprio carico, gli artigiani hanno facoltà (quindi non sussiste un obbligo) di beneficiare della sorveglianza sanitaria e di partecipare a corsi di formazione specifici in materia di salute e sicurezza sul lavoro.

Lo stesso articolo di legge precisa che, relativamente ai rischi propri delle attività svolte e con oneri a proprio carico, gli artigiani hanno facoltà (quindi non sussiste un obbligo) di:
a) beneficiare della sorveglianza sanitaria;
b) partecipare a corsi di formazione specifici in materia di salute e sicurezza sul lavoro.

L’eccezione al carattere facoltativo è quella in cui disposizioni speciali contengano previsioni differenti.

L’articolo 26 riguardava invece il coordinamento nell’ambito dei contratti d’appalto o d’opera o di somministrazione e non è quindi rilevante per determinare quale sia la formazione obbligatoria per i lavoratori autonomi.

La “vecchia” interpretazione

Poiché l’Allegato XVII prevede che, nell’ambito dei cantieri temporanei e/o mobili, il committente o l’impresa subappaltante, verifichino l’idoneità tecnico- professionale dei lavoratori autonomi richiedendo, tra l’altro, gli attestati di formazione e l’idoneità sanitaria dal Testo Unico Sicurezza, si era diffusa l’idea che la formazione sicurezza e la sorveglianza sanitaria fossero un obbligo a carico dei lavoratori autonomi.

Poiché l'Allegato XVII prevede che, nell'ambito dei cantieri temporanei e/o mobili, il committente o l'impresa subappaltante, verifichino l'idoneità tecnico- professionale dei lavoratori autonomi richiedendo, tra l'altro, gli attestati di formazione e l'idoneità sanitaria dal Testo Unico Sicurezza, si era diffusa l'idea che la formazione sicurezza e la sorveglianza sanitaria fossero un obbligo a carico degli artigiani.

In merito si è però espressa la Commissione per gli interpelli con l’Interpello n.7/2013 che ha sottolineato che, non solo tale interpretazione era stata superata dalle modifiche introdotte all’Allegato XVII dal D. L.vo 106/2009, ma che l’Accordo Stato Regioni del 25 luglio 2012 ha espressamente precisato che le previsioni di formazione del Testo Unico Sicurezza non sono un obbligo a carico dei lavoratori autonomi salvo gli “obblighi previsti da norme speciali.

Esistono obblighi imposti da norme speciali? Sì!

L’Accordo Stato Regioni del 27 luglio 2012 aveva precisato che non si applica ai lavoratori autonomi l’obbligo di formazione previsto dall’art. 37, e disciplinato dall’Accordo Stato- Regioni del 21 dicembre 2011, e che le indicazioni di quest’ultimo Accordo potevano costituire un “utile parametro di riferimento” nel caso in cui gli stessi avessero deciso di procedere alla formazione “base” pur non sussistendo nei loro confronti un obbligo in tal senso.

Allo stesso tempo l’Accordo aveva ribadito che altre disposizioni di legge avrebbero potuto imporre obblighi specifici per i lavoratori autonomi, citando quale esempio il D. L.vo 177/2011, che disciplina l’operatività in spazi confinati e/o sospetti d’inquinamento, rendendo quindi evidente che gli artigiani che dovessero svolgere tale tipo di attività dovrebbero soddisfare i requisiti di formazione previsto dal decreto.

Altra disposizione di legge che prevede specificamente un obbligo di formazione per gli artigiani è l'Accordo Stato- Regioni del 22 febbraio 2012 " concernente l’individuazione delle attrezzature di lavoro per le quali è richiesta una specifica abilitazione degli operatori.

Altra disposizione di legge che prevede specificamente un obbligo di formazione per gli artigiani è l’Accordo Stato Regioni del 22 febbraio 2012concernente l’individuazione delle attrezzature di lavoro per le quali è richiesta una specifica abilitazione degli operatori, nonché le modalità per il riconoscimento di tale abilitazione, i soggetti formatori, la durata, gli indirizzi ed i requisiti minimi di validità della formazione“, il quale precisa l’applicabilità anche ai soggetti di cui all’art. 21 del Testo Unico Sicurezza, tra i quali ricadono appunto i lavoratori autonomi.

Ponteggi, posizionamento mediante funi e amianto: formazione obbligatoria per i lavoratori autonomi?

Il Testo Unico Sicurezza prevede una formazione aggiuntiva per i lavoratori addetti alle attività di montaggio, smontaggio e trasformazione ponteggi e per coloro che siano esposti o potenzialmente esposti a polveri di amianto. L’obbligo è posto a carico del datore di lavoro e si applica ai lavoratori, pertanto non è presente un riferimento esplicito ai lavoratori autonomi.

Il Testo Unico Sicurezza prevede una formazione aggiuntiva per i lavoratori addetti alle attività di montaggio, smontaggio e trasformazione ponteggi e per coloro che siano esposti o potenzialmente esposti a polveri di amianto. L'obbligo è posto a carico del datore di lavoro e si applica ai lavoratori, pertanto non è presente un riferimento esplicito ai lavoratori autonomi.

Il mancato riferimento agli artigiani risulta dettato da ragioni tecniche, ossia dal fatto che non è tecnicamente praticabile la gestione di queste tre tipologie di attività da parte di un lavoratore autonomo, se non in sinergia con altri artigiani o con un’impresa. In quest’ultimo caso verrebbero però meno le due condizioni previste dal codice civile perché un’attività si possa configurare come contratto d’opera in capo a una singola persona, ossia il fatto che il lavoro sia prevalentemente proprio e senza vincoli di subordinazione verso il proprio committente. A questo si aggiungerebbe la difficoltà oggettiva di gestire i rischi interferenziali tra i vari soggetti coinvolti. In altri termini il legislatore non prevede un obbligo specifico, ritenendo irrealistico che un artigiano svolga tali attività.

Il rapporto con il medico competente: consigli e opportunità

Il medico competente non vi dà la disponibilità di tempo e di informazioni per avere chiaro quel che succede? Forse è il caso che pensiate di rivolgervi a un altro professionista, perché la sua attività, se ben coordinata con quella dall'impresa, tutela anche il datore di lavoro e non solo i lavoratori, mentre se non si ha possibilità di interazione, allora si rischia diventi un boomerang del quale non è possibile nemmeno prevedere la traiettoria.

Gli si chiede di firmare il Documento di Valutazione dei Rischi, di visitare i lavoratori per accertarne l’idoneità alla mansione lavorativa, di fare il sopralluogo e di partecipare alla riunione periodica (per aziende o unità produttive con più di 15 lavoratori).

La sua attività viene percepita a volte come una scocciatura che impone limitazioni e prescrizioni alle possibilità operative dei lavoratori, ma la collaborazione continuativa tra datore di lavoro e medico competente consente al primo di prevenire problemi a suo carico e di tutelare in modo concreto la salute dei propri lavoratori.

L’importante è impostare il rapporto con il medico competente in modo efficace.

Valutazione dei rischi: come e perché coinvolgere il medico competente

La partecipazione del medico competente al processo di valutazione dei rischi ha due ragioni principali:

  • contribuire alla definizione delle mansioni o gruppi omogenei dei lavoratori in funzione dei rischi ai quali sono esposti nell’esecuzione delle loro attività, per poter arrivare a definire il protocollo sanitario, quindi tipologia e frequenza degli accertamenti sanitari ai quali ciascun lavoratore deve essere sottoposto;
  • avere un punto di vista specialistico che contribuisca a definire misure di prevenzione e protezione per la salute dei lavoratori. Alcuni esempi? L’individuazione di profilassi vaccinali o la definizione di requisiti fisici e non per svolgere attività specifiche, come il questionario per i lavoratori che si vogliono destinare ad attività in ambienti confinati e/o sospetti di inquinamento.
La partecipazione del medico competente al processo di valutazione dei rischi ha due ragioni principali: contribuire alla definizione delle mansioni o gruppi omogenei e avere un punto di vista specialistico che contribuisca a definire misure di prevenzione e protezione per la salute dei lavoratori.

Questa attività, che in termini astratti sembra porre solo vincoli e limitazioni, in pratica assicura la messa a fuoco di questioni che, se trascurate, diventerebbero fonte di problematiche a volte ingestibili a posteriori.

I consigli su questo fronte sono due.

1) Non dare mai per scontato che una determinata nuova attività non impatti sull’attività condotta dal medico competente o che il medico competente non possa fornire indicazioni operative e soluzioni utili. Meglio una telefonata o una mail in più per evitare di dover correre ai ripari poi. Questo aspetto è rilevante per chi opera in siti sempre diversi (ex. cantieri temporanei e/o mobili o manutenzioni in siti produttivi con caratteristiche differenti) e per chi decide di avviare nuove attività o di introdurre nuove modalità operative (ex. un’impresa edile che decide di sviluppare l’attività di carpenteria metallica per non dover ricorrere in modo sistematico a fornitori esterni).

2) Sollecitare risposte operative al medico competente senza la pretesa che sia lui a fornirle spontaneamente, in quanto il medico deve essere in grado di indicare in modo chiaro e pratico le strade da seguire ma non può immaginarsi quale sia la situazione specifica se non gli viene comunicata. Un esempio? Se per la prima volta i lavoratori possono entrare in contatto con agenti biologici (ex. un’impresa di demolizioni deve intervenire in un impianto di depurazione), il medico deve esserne informato per valutare la necessità di copertura vaccinale, ma potrebbe accadere che, pur ritenendo le vaccinazioni necessarie, in commercio non siano disponibili i vaccini. Quindi il medico deve fornire indicazioni su che cosa sia opportuno/necessario fare per poter dimostrare che tale obbligo non è assolvibile in quel dato momento.

La sorveglianza sanitaria, quando si basa su un protocollo sanitario ben studiato in relazione all'attività specifica, consente di fare prevenzione a 360°.

Sorveglianza sanitaria: il cuore della prevenzione

La sorveglianza sanitaria, quando si basa su un protocollo sanitario ben studiato in relazione all’attività specifica, consente di fare prevenzione a 360°.

L’aspetto più immediato è la rilevazione di situazioni cliniche che richiedono il coinvolgimento del medico curante di un dato lavoratore, prevenendo complicazioni di salute e tutelando il benessere dell’interessato, oppure la necessità di mettere in atto un progressivo o repentino cambio della mansione del lavoratore.

Meno evidente, ma non meno essenziale, è l’individuazione di condizioni cliniche la cui evoluzione richiede di valutare l’opportunità o la necessità per il datore di lavoro di denunciare una sospetta malattia professionale, prevenendo sia il rischio che siano altri soggetti a procedere senza preavviso (ex. i medici curanti) sia il rischio di procedimenti civili (richieste di risarcimento danni) da parte dei lavoratori.

Anche in questo caso sono la trasparenza e l’atteggiamento attivo gli elementi essenziali per poter gestire in modo efficace e positivo i dati più problematici che emergono dalla sorveglianza sanitaria.

Se si è costretti a prevedere di dedicare del tempo al sopralluogo annuale del medico competente e, per le aziende con più di 15 lavoratori, alla riunione periodica, è il caso di sfruttare quei momenti per condividere informazioni, problematiche e individuare soluzioni operative.

Sopralluogo e riunione periodica: due opportunità

Ci si lamenta spesso della quantità di obblighi imposti dalla normativa, trascurando la possibilità di trarre vantaggio dai vincoli di legge. Quel che intendo dire è che, se si è costretti a prevedere di dedicare del tempo al sopralluogo annuale del medico competente e, per le aziende con più di 15 lavoratori, alla riunione periodica, è il caso di sfruttare quei momenti per condividere informazioni, problematiche e individuare soluzioni operative.

Il medico competente non vi dà la disponibilità di tempo e di informazioni per avere chiaro quel che succede? Forse è il caso che pensiate di rivolgervi a un altro professionista, perché la sua attività, se ben coordinata con quella dell’impresa, tutela anche il datore di lavoro e non solo i lavoratori, mentre, se non si ha possibilità di interazione, si rischia diventi un boomerang del quale non è nemmeno possibile prevedere la traiettoria.


[L’obbligo della riunione periodica (art. 35, D. L.vo 81/08 e ss.mm.ii.) scatta per più di 15 lavoratori, cioè dai 16 in su: c’è scritto lavoratori, non c’è scritto dipendenti! Quindi, per esempio, un socio lavoratore è da conteggiare, così come un tirocinante o uno studente in alternanza scuola- lavoro. Per la definizione completa di “lavoratore” si fa riferimento all’art. 2 del D. L.vo 81/08 e ss.mm.ii.]

Registro dei trattamenti e DPIA: a che cosa servono?

La protezione dei dati deve essere gestita come la prevenzione e protezione della salute e sicurezza sul lavoro, ossia realizzando una vera e propria valutazione dei rischi che porti a definire le misure di prevenzione e protezione necessarie alla gestione dei rischi individuati e valutati. E, se è vero che il legislatore "si è liberato" dell'onere di individuare la modalità di gestione dei dati, è altrettanto vero che individua alcuni strumenti per rendere specifica e dimostrabile la sua progettazione: registro dei trattamenti e DPIA.

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Così recita la scheda di sintesi del GDPR predisposta per aziende ed enti dal Garante per la protezione dei dati personali. Ma in pratica che cosa bisogna fare? Partire da registro dei trattamenti e DPIA può essere una buona soluzione.

Progettare la gestione dei dati

Il GDPR sgombra il campo da soluzioni tecniche e organizzative standardizzate o, comunque, definite dal legislatore o dal Garante, e attribuisce ai soggetti titolari del trattamento dei dati l'onere di individuare le modalità di trattamento dei dati che consentano di rispettare i requisiti del Regolamento.

Sta diventando un tormentone l’espressione inglese ” data protection by default and by design“, che nella sua traduzione italiana perde forza e concisione (protezione dei dati fin dalla progettazione e protezione per impostazione predefinita). Nella sostanza, il GDPR sgombra il campo da soluzioni tecniche e organizzative standardizzate o, comunque, definite dal legislatore o dal Garante, e attribuisce ai soggetti titolari del trattamento l’onere di individuare le modalità di trattamento dei dati che consentano di rispettare i requisiti del Regolamento, tenendo conto di:

  • stato dell’arte;
  • costi di attuazione;
  • natura dei dati e del trattamento;
  • ambito di applicazione;
  • contesto;
  • finalità del trattamento;
  • rischi per i diritti e le libertà delle persone fisiche determinati dal trattamento.

Il Garante, nella sua guida online di applicazione del Regolamento, precisa che si deve trattare di “un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili“.

Per fare un paragone con una materia nota e (forse) più famigliare, potremmo dire che la protezione dei dati deve essere gestita come la prevenzione e protezione della salute e sicurezza sul lavoro, ossia realizzando una vera e propria valutazione dei rischi che porti a definire le misure (di prevenzione e protezione) necessarie alla gestione dei rischi individuati e valutati. E, se è vero che il legislatore “si è liberato” dell’onere di individuare la modalità di gestione dei dati, è altrettanto vero che individua alcuni strumenti per rendere specifica e dimostrabile la sua progettazione.

Registro dei trattamenti

Si tratta di un vero e proprio registro, i cui contenuti non sono affatto da inventare, ma sono dettagliati in forma di elenco dall’art. 30 (Registri delle attività di trattamento) del GDPR.

Lo presento come strumento al servizio dei soggetti titolari del trattamento dei dati in quanto, anche se la normativa prevede delle deroghe alla sua obbligatorietà, questo non toglie nulla alla sua utilità nel rendere evidente e tangibile l’attività di progettazione della protezione dei dati.

Il registro dei trattamenti è un vero e proprio registro, i cui contenuti non sono affatto da inventare, ma sono dettagliati in forma di elenco dall'art. 30 del GDPR.

DPIA: Data Protection Impact Assessment

In italiano, valutazione d’impatto sulla protezione dei dati. Anche in questo caso il suo contenuto è definito dal Regolamento (art. 35), e non si tratta di un obbligo applicabile a tutti i soggetti titolari del trattamento dei dati. Ancora più del registro dei trattamenti, però, si presta molto bene alla progettazione della protezione dei dati richiedendo, tra l’altro, di

  1. realizzare una valutazione dei rischi per i diritti e le libertà degli interessati;
  2. definire le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

È lo stesso Garante della privacy a raccomandare di andare oltre la lettura testuale degli obblighi introdotti dal Regolamento, per cogliere il senso della “nuova” gestione della privacy:

Lo stesso Garante della privacy raccomanda di andare oltre la lettura testuale degli obblighi introdotti dal Regolamento per cogliere il senso della "nuova" gestione della privacy.
Fonte: https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili

Qual è la scadenza del corso antincendio?

Il Decreto 10 marzo 1998 ha la “curiosa” caratteristica di definire i contenuti minimi dei corsi di formazione per addetti alla prevenzione incendi, lotta antincendio e gestione delle emergenze in caso di incendio ma di non preoccuparsi di definirne la scadenza.

I lavoratori incaricati dell’attività di prevenzione incendi e lotta antincendio, di evacuazione dei luoghi di lavoro in caso di pericolo grave ed immediato, di salvataggio, di primo soccorso e, comunque, di gestione dell’emergenza devono ricevere un’adeguata e specifica formazione e un aggiornamento periodico” recita il comma 9 dell’art. 37 del D. L.vo 81/08 e ss.mm.ii., concludendo che, in attesa di novità normative in materia, la disciplina della formazione per gli addetti all’antincendio continua a essere quella definita dal Decreto 10 marzo 1998.

Il decreto, ormai noto e ampiamente attuato, ha la “curiosa” caratteristica di definire (Allegato IX) i contenuti minimi dei corsi di formazione per addetti alla prevenzione incendi, lotta antincendio e gestione delle emergenze in caso di incendio in funzione del livello di rischio (basso, medio o elevato) dell’attività, ma di non preoccuparsi di definirne la frequenza dell’aggiornamento, che è di fatto un obbligo di legge a carico del datore di lavoro.

Quindi, qual è la scadenza del corso antincendio?

Qual è la scadenza del corso antincendio? In attesa di un'indicazione univoca da parte del legislatore, si possono sostenere 3 diverse posizioni.

In attesa di un’indicazione univoca da parte del legislatore, si possono sostenere 3 diverse posizioni:

  1. la più creativa dice che, visto che la frequenza di aggiornamento non è definita, si può definire liberamente la scadenza del corso antincendio in, diciamo, 10, 15 o 20 anni… Serve che dica che a me questa teoria non piace per niente?
  2. la più stringente si muove per analogia con l’aggiornamento della formazione di primo soccorso, quindi considera una scadenza triennale, appoggiandosi a una nota del 2012 del Comando Provinciale dei Vigili del Fuoco di Forlì- Cesena, poi adottata dal Dipartimento Regionale Emilia Romagna;
  3. la mezza via è quella di considerare l’aggiornamento quinquennale, per analogia con la restante formazione sicurezza (ex. specifica, aggiuntiva per preposti, dirigenti, RSPP, attrezzature), visto che il legislatore si è mosso in questa direzione anche per quanto riguarda la formazione della segnaletica e che da più di un anno si vocifera di una bozza di nuovo decreto antincendio che prevederebbe esplicitamente questo termine.

La bozza del nuovo decreto antincendio

La notizia ha iniziato a circolare a fine 2018: il "nuovo decreto antincendio" era in fase di emanazione, a inizio 2019 si diceva fosse oramai stato approvato in bozza.  A oggi non ci sono notizie di emanazione.

La notizia ha iniziato a circolare a fine 2018: il “nuovo decreto antincendio” era in fase di emanazione, a inizio 2019 si diceva fosse oramai stato approvato in bozza. Tra le novità previste, quella della definizione della frequenza di aggiornamento del corso per addetti all’antincendio che sarebbe stata fissata a 5 anni.

La bozza di decreto però è rimasta tale, cioè a oggi non ci sono notizie di emanazione della nuova norma. Anche se capita che Coordinatori per la Sicurezza e uffici incaricati della qualifica delle imprese sollecitino gli attestati di aggiornamento “come previsto dal decreto”, e trasmettano a sostegno della loro richiesta scocciata il testo di quella bozza, convinti che si tratti di normativa vigente.

In pratica, che cosa fare?

L'interpretazione della scadenza triennale del corso antincendio è comunque a oggi la più diffusa, ed è anche l'unica a trovare riscontro in un documento vigente, anche se di carattere non vincolante per i datori di lavoro.

Sicuramente è cosa buona e giusta scartare la teoria dell’anarchia. Tra la strada della scadenza triennale e quella della scadenza quinquennale, invece, si tratta di scegliere quale corrente di pensiero adottare e di portarla avanti con coerenza.

L’interpretazione della scadenza triennale del corso antincendio è comunque a oggi la più diffusa, ed è anche l’unica a trovare riscontro in un documento vigente, anche se di carattere non vincolante per i datori di lavoro (le circolari hanno infatti come destinatari gli enti, ai quali forniscono indirizzi per un’applicazione omogenea della normativa e dei controlli a livello territoriale).

La nota del 2011 dei Vigili del fuoco

Al mistero della scadenza del corso antincendio ha contributo anche una nota del 2011 che, sorvolando sulla questione della frequenza di aggiornamento dei corsi, ha invece fornito indicazioni in merito a durata e contenuti dei corsi di aggiornamento.

Al mistero della scadenza del corso antincendio ha contributo anche una nota del 2011 del Dipartimento dei Vigili del Fuoco – Direzione Centrale della Formazione (protocollo n. 5987 del 23 febbraio 2011) che, sorvolando sulla questione della frequenza di aggiornamento dei corsi, ha invece fornito indicazioni in merito a durata e contenuti dei corsi di aggiornamento per addetti all’emergenza incendio, mantenendo la distinzione in funzione del livello di rischio. Per conoscerne i dettagli, puoi scaricarla QUI.

L’Accordo Stato Regioni del 2016

Si tratta dell“Accordo tra Governo, Regioni e Province autonome di Trento e di Bolzano finalizzato all’individuazione della durata e dei contenuti minimi dei percorsi formativi per i Responsabili e gli Addetti dei Servizi di Prevenzione e Protezione, ai sensi dell’art. 32 del D.Lgs. 81/08 e ss.mm.ii.”.

Oltre a delineare le novità della formazione per RSPP e ASPP, l’Accordo riporta nell’Allegato V una tabella riassuntiva dei criteri della formazione rivolta ai soggetti con ruoli in materia di prevenzione, dettagliando i requisiti di corsi base e aggiornamenti, riportando, in relazione all’aggiornamento della formazione antincendio, che il Decreto 10 marzo 1998 non prevede una frequenza di aggiornamento.

C'è chi ha interpretato l'Accordo Stato Regioni del 2016 come la definitiva messa al bando di ogni esigenza di aggiornamento della formazione antincendio, rappresentando l'Accordo Stato Regioni una disposizioni di legge successiva al Testo Unico Sicurezza e alla nota del 2012 dei Vigili del Fuoco

C’è chi ha interpretato questo dettaglio come la definitiva messa al bando di ogni esigenza di aggiornamento della formazione antincendio, rappresentando l’Accordo Stato Regioni una disposizioni di legge successiva al Testo Unico Sicurezza e alla nota del 2012 dei Vigili del Fuoco.

Si tratta però di un’interpretazione forzata, nella misura in cui l’Accordo in questione si limita a riassumere le norme vigenti, mettendo in luce il fatto che l’allegato IX del Decreto del 1998 non preveda indicazioni in merito all’aggiornamento del corso antincendio, e non definisce in modo chiaro ed esplicito una modifica dell’obbligo previsto dal Testo Unico Sicurezza.

In altre parole, non condivido la posizione di chi sostiene che l’Accordo Stato Regioni del 2016 ha ufficialmente risolto l’incertezza della questione a favore di un secco “non bisogna aggiornare nulla”.

Le attività soggette a CPI

C'è chi ha avuto esperienza di Comandi Provinciali che applicano la nota del 2012 come un obbligo effettivo e, quindi, richiedono ai titolari delle attività soggette a Certificato Prevenzione Incendi un aggiornamento triennale della formazione antincendio, e c'è chi, invece, ha avuto esperienza di Comandi Provinciali che assumono un atteggiamento meno stringente, facendosi più promotori che controllori dell'aggiornamento periodico della formazione specifica.

In merito a questo aspetto si hanno esperienze diverse tra consulenti: c’è chi ha avuto esperienza di Comandi Provinciali che applicano la nota del 2012 come un obbligo effettivo e, quindi, richiedono ai titolari delle attività soggette a Certificato Prevenzione Incendi (D.P.R. 151/11) un aggiornamento triennale della formazione antincendio, e c’è chi, invece, ha avuto esperienza di Comandi Provinciali che assumono un atteggiamento meno stringente (quindi nessuna applicazione di sanzioni), facendosi più promotori che controllori dell’aggiornamento periodico della formazione specifica.

Se l’atteggiamento sembra legato a linee di condotta differenti dei Comandi Provinciali, in ogni caso resta un’indicazione importante per ragionare in modo consapevole sulla modalità di definizione dell’aggiornamento del corso antincendio.


[Articolo aggiornato in data 16.02.2020, dopo un intenso scambio di opinioni in gruppi Facebook che affrontano argomenti relativi alla salute e alla sicurezza sul lavoro: alla faccia di chi sostiene che la gestione dell’aggiornamento antincendio sia chiara e definita.]

Dallo standard 18001 allo standard 45001

A partire dal 10 marzo 2020, lo standard BS OHSAS 18001:2007 verrà a riposo a favore del nuovo standard internazionale ISO 45001:2018. Ma che cosa accadrà?

Oggi una notizia per chi già ha confidenza con i sistemi di gestione per la sicurezza: a partire dal prossimo 10 marzo (2020), lo standard BS OHSAS 18001:2007 verrà definitivamente messo a riposo a favore del nuovo standard internazionale ISO 45001:2018 (versione italiana del 13 marzo 2018, UNI ISO 45001:2018).

Ma che cosa accadrà? Che cosa deve fare chi ha un sistema di gestione per la sicurezza certificato rispetto allo standard britannico?

Tempistiche di transizione dalla 18001 alla 45001

Il nuovo standard ISO 45001 è stato pubblicato il 12 marzo 2018 e la migrazione dal vecchio standard BS OHSAS 18001 al nuovo standard è stata pianificata come di consueto in 3 anni, ossia:

  • il vecchio standard sarà ritirato in data 12 marzo 2021 e a partire da quella data le certificazioni rispetto allo standard britannico non godranno più di alcun riconoscimento;
  • sino al 12 marzo 2021 restano valide sia le certificazioni emesse a fronte della nuova norma sia le certificazioni emesse a fronte della BS OHSAS 18001:2007;
  • tutte le certificazioni rilasciate secondo lo standard BS OHSAS 18001 durante il periodo di migrazione avranno una durata inferiore ai tre anni , e sul certificato sarà riportata come scadenza l’11 marzo 2021.
Il nuovo standard ISO 45001 è stato pubblicato il 12 marzo 2018 e la migrazione dal vecchio standard BS OHSAS 18001 al nuovo standard è stata pianificata come di consueto in 3 anni

Ma c’è un obbligo aggiuntivo: a partire dal 12 marzo 2020 gli enti di certificazione potranno effettuare audit solo secondo i requisiti dello standard 45001.

Come avviene la transizione della certificazione

L’audit di migrazione della certificazione del proprio sistema di gestione alla nuova norma può essere effettuato in concomitanza con un audit di mantenimento (secondo o terzo audit del ciclo triennale) oppure con un audit di rinnovo, aggiungendo in entrambi i casi almeno 1 giorno-uomo alla durata pianificata originariamente. È quindi opportuno richiedere l’adeguamento del contratto con l’ente di certificazione.

Si può prevedere la pianificazione di un audit straordinario per la verifica della migrazione alla nuova norma, ma questa possibilità è poco pratica e più onerosa in termini economici e di impegno di tempo.

Come anticipato, a partire dal 12 marzo 2020 gli enti di certificazione renderanno vincolante l’applicazione dei requisiti dello standard ISO 45001, ma perché la certificazione sia riconosciuta, l’ente dovrebbe essere già accreditato per il nuovo standard internazionale. In caso contrario, durante l’audit di transizione il sistema di gestione verrà valutato sia rispetto allo standard BS OHSAS 18001:2007 sia rispetto allo standard ISO 45001:2018 e, alla conclusione dell’iter di transizione dell’accreditamento, l’ente di certificazione provvederà a riemettere il certificato accreditato.

Per approfondire le novità dal lato degli enti di certificazione, è possibile consultare la Circolare informativa DC N° 08/2018 di Accredia.

Quando ci si trova nelle fasi di passaggio da una vecchia norma a una nuova capita spesso che qualcuno si perda informazioni più o meno di dettaglio... Per esempio, potresti incappare in bandi di gara che non tengono conto di tutti i passaggi richiesti per la transizione delle certificazioni dallo standard 18001 allo standard 45001 e, magari, escludere i riferimenti alle certificazioni BS OHSAS 18001 a favore di quelli alle certificazioni UNI ISO 45001 o viceversa. Che cosa fare?

Attenzione ai bandi di gara

Quando ci si trova nelle fasi di passaggio da una vecchia norma a una nuova capita spesso che qualcuno si perda informazioni più o meno di dettaglio… Per esempio, potresti incappare in bandi di gara che non tengono conto di tutti i passaggi richiesti per la transizione delle certificazioni dallo standard 18001 allo standard 45001 e, magari, escludere i riferimenti alle certificazioni BS OHSAS 18001 a favore di quelli alle certificazioni UNI ISO 45001 o viceversa. Che cosa fare? Sempre meglio segnalare l’aspetto alla stazione appaltante attraverso la presentazione di un quesito, eventualmente richiedendo il supporto del tuo consulente o direttamente dell’ente di certificazione per formularlo in modo puntuale.

Che cosa cambia, in sintesi, dallo standard 18001 allo standard 45001

La pubblicazione di uno standard internazionale (ISO) consente prima di tutto di superare il problema della riconoscibilità delle certificazioni dei sistemi di gestione della salute e sicurezza a livello internazionale. In origine, infatti, era stata la prassi, ossia l’assenza di uno standard internazionale, a diffondere il ricorso su scala globale allo standard 18001, che era però uno standard britannico (BS sta per British Standard) e come tale non consentiva il mutuo riconoscimento delle certificazioni emesse dagli enti dei diversi Stati (aspetto con risvolti pratici per chi opera su scala internazionale).

Inoltre il nuovo standard ISO adegua la struttura e la logica a quella dell’ultima edizione degli standard di riferimento per i sistemi di gestione per la qualità (ISO 9001:2015) e per l’ambiente (ISO 14001:2015), nell’ottica di semplificare lo sviluppo di sistemi di gestione integrati, quindi strutturati in modo da rispondere contemporaneamente ai requisiti dei diversi standard di riferimento.

Che cosa cambia, in sintesi, dallo standard 18001 allo standard 45001.

Uguale struttura significa anche uguale approccio, basato su

  1. valutazione del rischio;
  2. analisi del contesto dell’organizzazione;
  3. partecipazione attiva dell’alta direzione;
  4. consultazione e partecipazione dei lavoratori.

Per iniziare un confronto più dettagliato tra i due standard, ti invito a consultare la tabella di comparazione che puoi scaricare al link riportato di seguito. Se sei in cerca di soluzioni operative, invece, bisogna passare alla consulenza sul campo in quanto è necessario valutare sia come opera l’organizzazione sia la struttura attuale del sistema di gestione.

Risorse gratuite

Il Comitato europeo per la protezione dei dati

Il Comitato europeo per la protezione dei dati influenza l'applicazione del GDPR da parte del Garante della privacy, è quini utile conoscerne l'attività.

Il Comitato europeo per la protezione dei dati o EDPB (European Data Proteciont Board) è stato istituito dal Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679 o GDPR). Non ha un ruolo diretto nell’applicazione della normativa per i soggetti operanti nei diversi Stati europei ma, di fatto, agendo per armonizzare l’applicazione del GDPR a livello europeo, influenza l’applicazione dello stesso da parte delle autorità di controllo nazionali (Garante della privacy). Per questo motivo è utile conoscerne l’attività.

Che cos’è il Comitato europeo per la protezione dei dati?

Il Comitato è un organismo dell’Unione europea con personalità giuridica, composto dai Garanti della privacy di ciascuno Stato membro dell’Unione Europea e dal Garante europeo della protezione dei dati.

A che cosa serve l’EDPB?

Il compito del Comitato è essenzialmente uno: garantire l’applicazione coerente del GDPR tra i vari Stati facenti parte dell’Unione Europea.

Il compito del Comitato è essenzialmente uno: garantire l'applicazione coerente del GDPR tra i vari Stati facenti parte dell'Unione Europea.

Nella pratica il Comitato:

  1. fornisce consulenza alla Commissione europea in materia di protezione dei dati personali;
  2. fornisce parere alle autorità di controllo nazionali in merito alle loro decisioni (ex. l’elenco di trattamenti soggetti alla valutazione d’impatto sulla protezione dei dati; la prima emissione, modifica o proroga di un codice di condotta);
  3. risolve le controversie tra le autorità di controllo nazionali attraverso l’emissione di decisioni vincolanti;
  4. pubblica linee guida, raccomandazioni e migliori prassi su qualsiasi questione relativa all’applicazione del Regolamento UE 2016/679 (
  5. promuove la cooperazione e lo scambio di informazioni e prassi tra le autorità di controllo;
  6. redige una relazione annuale sulla protezione dei dati personali all’interno dell’Unione europea e, se opportuno, nei paesi terzi e nelle organizzazioni internazionali (ossia nei casi in cui si ponga la problematica del trasferimento dei dati dall’Unione verso Stati non facenti parti dell’UE).

Quali sono le attività dell’EDPB da tenere sotto controllo

Il sito dell'EDPB merita di essere consultato per prendere visione delle linee guida adottate, che possono riguardare aspetti di interesse della gestione della privacy a livello aziendale. Per quanto si tratti di disposizioni non vincolanti, conoscere l'orientamento europeo nella gestione dei dati personali consente di attuare in maniera più consapevole i requisiti di legge.

Il sito dell’EDPB merita di essere consultato per prendere visione delle linee guida adottate, che possono riguardare aspetti di interesse della gestione della privacy a livello aziendale. Per quanto si tratti di disposizioni non vincolanti, conoscere l’orientamento europeo nella gestione dei dati personali consente di attuare in maniera più consapevole i requisiti di legge. Puoi trovare un esempio pratico nell’articolo relativo alla gestione delle telecamere in azienda.

Per lo stesso motivo, è utile una consultazione periodica del sito del Comitato per prendere visione delle news. Le notizie di stampa nazionale, in particolare, possono essere utili per le realtà che operano a livello internazionale, in quanto forniscono in via indiretta informazioni sull’applicazione del GDPR oltre le Alpi.

Prima dell’EDPB

Qui in Italia siamo appassionati di storia, per cui non possiamo sorvolare sulla differenza tra il prima e il dopo GPDR. Sarò molto sintetica, in ogni caso: prima dell’entrata in vigore del GDPR non esisteva un organismo del tutto equivalente, ma una parte delle attività veniva svolta dall’Article 29 Working Party (Art. 29 WP 29).

L’attività dell’Art. 29 WP è cessata ufficialmente il 25 maggio 2018, e le linee guida elaborate da questo organismo ritenute ancora attuali sono state approvate dall’EDPB nel corso della sua prima sessione plenaria, e sono infatti consultabili nel sito del Comitato alla pagina delle linee guida, pareri e raccomandazioni.

Attenzione a non fare confusione

Le sigle sono pratiche, ma c'è il rischio di confondersi: oltre all'EDPB potresti sentire parlare dell'EDPS, lo European Data Protection Supervisor o Garante europeo della privacy.  I due soggetti sono distinti, fatta eccezione per la loro segreteria che è comune (art. 75 del GDPR).

Le sigle sono pratiche, ma c’è il rischio di confondersi: oltre all’EDPB potresti sentire parlare dell’EDPS, lo European Data Protection Supervisor o Garante europeo della privacy. I due soggetti sono distinti, fatta eccezione per la loro segreteria che è comune (art. 75 del GDPR).

La differenza essenziale riguarda le relative competenze: quelle dell’EDPS, istituito dal Regolamento 45/2001, riguardano il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione europea.