Gestione dei cookie secondo la proposta del Garante

Con la pubblicazione delle "Linee guida cookie e altri strumenti di tracciamento", il Garante per la protezione dei dati personali ha individuato alcune pratiche che proprio non vanno nell'attuale gestione dei cookie e ha proposto una soluzione operativa dettagliata da adottare nei siti web di cui si è titolari.

Con la pubblicazione delle “Linee guida cookie e altri strumenti di tracciamento“, il Garante per la protezione dei dati personali ha individuato alcune pratiche che proprio non vanno nell’attuale gestione dei cookie e ha proposto una soluzione operativa dettagliata da adottare nei siti web di cui si è titolari. Ecco una sintesi della proposta del Garante, punto per punto.

0. Impostazioni di default

Per impostazione predefinita nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente al momento del primo accesso a un sito web, né deve essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Il proprietario del sito può definire un meccanismo in base al quale l’utente, accedendo per la prima volta a una qualunque pagina del sito web, visualizzi immediatamente un’area o banner di dimensioni sufficienti a essere individuato e riconoscibile.

1. Il banner per la gestione dei cookie

Il proprietario del sito può definire un meccanismo in base al quale l’utente, accedendo per la prima volta a una qualunque pagina del sito web, visualizzi immediatamente un’area o banner di dimensioni sufficienti a essere individuato e riconoscibile, ma tale da impedire che l’utente possa compiere scelte indesiderate o inconsapevoli.

Il banner può consentire il mantenimento di impostazioni di default e, attraverso un’azione specifica dell’utente, l’espressione del suo consenso. In particolare, se l’utente scegliesse di mantenere le impostazioni di default e di non prestare il consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento, dovrebbe limitarsi a chiudere il banner mediante selezione di una X posizionata in alto a destra e all’interno del banner, senza essere costretto ad accedere ad altre aree o pagine. La X deve avere la stessa evidenza grafica dei comandi a disposizione dell’utente per esprimere le proprie scelte.

Il banner per la gestione dei cookie può consentire il mantenimento di impostazioni di default e, attraverso un'azione specifica dell'utente, l'espressione del suo consenso.

Il banner deve contenere anche le seguenti indicazioni e opzioni come contenuto minimo:

  • l’avvertenza che la chiusura del banner mediante selezione della X comporta l’accettazione delle impostazioni di default (navigazione senza cookie o altri strumenti di tracciamento diversi da quelli tecnici);
  • un’informativa minima relativa al fatto che il sito utilizza cookie o altri strumenti tecnici e potrà utilizzare, esclusivamente previa acquisizione del consenso dell’utente, anche cookie di profilazione o altri strumenti di tracciamento per inviare messaggi pubblicitari, personalizzare il servizio e/o per effettuare analisi e monitoraggio dei comportamenti dei visitatori del sito;
  • il link alla privacy policy (che deve essere presente anche nel footer di ogni pagina del sito), accessibile con un solo click, che fornisca in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai cookie o ad altri strumenti tecnici utilizzati dal sito;
L'utente deve poter modificare in ogni momento le scelte compiute in materia di cookie o altri sistemi di tracciamento.
  • un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
  • il link a un’ulteriore area dedicata nella quale l’utente possa selezionare in modo analitico soltanto le funzionalità, i soggetti (cd. terze parti) e i cookie, eventualmente raggruppati per categorie omogenee, a cui sceglie di acconsentire. L’elenco delle terze parti deve essere tenuto costantemente aggiornato e consentire di raggiungere il sito del soggetto specifico o di un soggetto intermediario che lo rappresenta. E le impostazioni di default di ogni singolo elemento devono prevedere il diniego all’installazione dei cookie, con possibilità per l’utente di accettarne il posizionamento caso per caso.
Il proprietario del sito deve prevedere un'ulteriore area dedicata nella quale l'utente possa selezionare in modo analitico soltanto le funzionalità, i soggetti (cd. terze parti) e i cookie, eventualmente raggruppati per categorie omogenee, a cui sceglie di acconsentire.

1.1 Solo cookie tecnici o strumenti analoghi

Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, il titolare del sito potrà darne informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.

2. La gestione delle scelte in merito ai cookie

L’utente deve poter modificare in ogni momento le scelte compiute. Pertanto deve essere introdotto un link nel footer delle pagine del sito con una dicitura del tipo “rivedi le tue scelte sui cookie” che dia accesso alla sezione relative ai consensi. Ogni modifica delle scelte dovrà sovrascrivere e superare le precedenti e le scelte di design di quest’area non devono influenzare o penalizzare un’opzione rispetto a un’altra, quindi devono essere utilizzati comandi e caratteri di uguali dimensioni, enfasi e colori, tutti ugualmente facili da visionare e utilizzare.

Ogni modifica delle scelte dell'utente in merito ai cookie dovrà sovrascrivere e superare le precedenti. Il titolare del sito web deve essere in grado di dimostrare di avere raccolto il consenso, quando necessario, e di disporre della documentazione aggiornata che attesti le scelte compiute dall'interessato.

In particolare il Garante suggerisce di posizionare in ciascuna pagina del sito, eventualmente accanto al link all’area dedicata alle scelte, una soluzione grafica che indichi, anche in modo essenziale, lo stato dei consensi resi dall’utente, favorendone in ogni momento l’eventuale modifica o aggiornamento.

3. Poter dimostrare di aver raccolto il consenso

Il titolare del sito web deve essere in grado di dimostrare di avere raccolto il consenso, quando necessario, e di disporre della documentazione aggiornata che attesti le scelte compiute dall’interessato. Per fare questo il gestore del sito web potrebbe avvalersi o di appositi cookie tecnici o di ulteriori modalità che la tecnologia dovesse rendere disponibili, e la cui individuazione è in carico al titolare del sito.

I dettagli delle Linee guida del Garante non finisco qui, settimana prossima approfondiremo quelli che riguardano i cookie analytics e alcuni miglioramenti da apportare alle informative

Garante privacy: le nuove linee guida per i cookie

Il Garante ha definito le "Linee guida cookie e altri strumenti di tracciamento". I titolari di siti web hanno 6 mesi di tempo per adeguarsi.

Il 10 giugno 2021 il Garante per la protezione dei dati personali ha pubblicato le “Linee guida cookie e altri strumenti di tracciamento“. Oltre a ribadire la premessa generale secondo la quale l’espressione del consenso da parte dell’utente è necessaria per i cookie o altri sistemi finalizzati alla profilazione e non per i sistemi che sono solo strumentali al funzionamento del sito, ha aggiunto alcune precisazioni e una proposta operativa.

Il testo delle linee guida è stato pubblicato in Gazzetta ufficiale il 9 luglio e prevede 6 mesi di tempo dalla pubblicazione perché i titolari di siti web si adeguino alle indicazioni. Quindi è opportuno iniziare a mettere a fuoco la situazione.

Come non gestire i cookie: le indicazioni delle linee guida del Garante

Per impostazione predefinita nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell'utente al momento del primo accesso a un sito web, né deve essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Il Garante parte da una serie di considerazioni che riguardano le pratiche diffuse e le analizza in relazione ai riferimenti di legge applicabili, arrivando a individuarne alcune che proprio non vanno e a porre basi certe su quel che si può o non si può fare.

Il concetto su cui si basano tutti i ragionamenti in materia di tracciamento degli utenti online è che per impostazione predefinita nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente al momento del primo accesso a un sito web, né deve essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Detto questo, il Garante ha fatto alcune precisazioni rispetto all’utilizzo dei banner e alle modalità di espressione del consenso attualmente diffuse.

Il Garante, con le Linee guida del 2021, ha fornito precisazioni in merito all'utilizzo dei banner e alle modalità di espressione del consenso attualmente diffuse.

In merito al cosiddetto scroll down, cioè all’idea di utilizzare la consultazione di una pagina web da parte dell’utente come dimostrazione del suo consenso ad accettare eventuali strumenti di tracciamento, l’autorità è netta nel dire che non può funzionare così, che serve una soluzione capace di dimostrare la consapevolezza della scelta.

Per analogia, il Garante considera illecito vincolare l’utente a esprimere il proprio consenso intimandogli di abbandonare la pagina web in caso contrario, pratica nota come cookie wall, perché non rispetta il requisito di libertà previsto per l’espressione del consenso. L’unica eccezione ammissibile sarebbe il caso in cui il titolare del sito offrisse all’interessato l’accesso a un contenuto o a un servizio equivalenti, senza necessità di installazione e uso di cookie o altri strumenti di tracciamento.

Infine, il Garante afferma che la continua riproposizione del banner di consenso a utenti che lo hanno già negato in precedenza può lederne la libertà di scelta volendo indurli a rilasciare il consenso. Il banner può essere riproposto se cambiano le condizioni di trattamento dei dati, se il titolare non può avere garanzia del fatto che i cookie siano già stati installati sul terminale dell’utente (ex. se l’utente decide di cancellarli) e se sono trascorsi almeno 6 mesi dalla presentazione del banner.

Che cosa bisogna fare in pratica?

Il Garante non si è limitato a dire quel che non si deve fare in materia di cookie e tracciamento degli utenti, ma ha formulato una proposta operativa ricca di dettagli.

Il Garante non si è limitato a dire quel che non si deve fare sulla base dell’analisi delle pratiche più diffuse, ma ha formulato una proposta operativa ricca di dettagli.

Ne parlerò nella prossima SVnews!

La considerazione conclusiva delle linee guida è però che, trattandosi di un tema di interesse sempre più diffuso, tutti i soggetti coinvolti dovrebbero contribuire alla definizione di una codifica standardizzata relativamente a

  • tipologia dei comandi
  • colori
  • funzioni

da implementare all’interno dei siti web per consentire la più ampia uniformità di gestione dei cookie e dei sistema di tracciamento, “a tutto vantaggio della trasparenza, della chiarezza e dunque anche della migliore conformità alle regole“. Se e quando questo coordinamento si realizzerà e produrrà uno standard definito, non è possibile saperlo, quindi è il caso che ciascuno inizi ad attivarsi per mettere in campo soluzioni conformi alle linee guida, eventualmente con il supporto dei tecnici che gestiscono per suo conto il sito web.

Perché il consulente privacy è “sempre” in azienda?

Il consulente per la privacy è sempre in azienda e chiede sempre di fare qualcosa in più! Non c'è un'alternativa?

Prima perché è entrato in vigore il GDPR imponendo di aggiornare la gestione della privacy in azienda, poi perché l’emergenza Covid ha sollevato nuovi problemi in materia di trattamento dei dati personali, poi perché si sono adottati nuovi servizi digitali che cambiano le tipologie di trattamento dei dati… Insomma, il consulente per la privacy è sempre in azienda e chiede sempre di fare qualcosa in più! Non c’è un’alternativa?

Il ruolo del consulente privacy

Se quello che viene chiamato "consulente privacy" in realtà è il Data Protection Officer, il fatto che sia presente e operativo in azienda è un bene, è un ottimo segnale di professionalità.

Se quello che viene chiamato “consulente privacy” in realtà è il Data Protection Officer (DPO), il fatto che sia presente e operativo in azienda è un bene, cioè è un ottimo segnale di professionalità: si sta facendo carico delle sue responsabilità, il che significa che sta tutelando la realtà per la quale opera.

Un secondo caso al quale riconoscere del merito è quello dei consulenti privacy che proposto all’impresa di effettuare delle attività di verifica periodica (o audit) per accertare che le procedure definite vengano rispettate e, in caso negativo, intervenire per sistemare la situazione prima che diventi fonte di problemi. Per quanto fastidiose possano risultare le attività di verifica, hanno il vantaggio di riuscire a tenere sotto controllo la situazione e di far fronte in tempi brevi alle modifiche richieste dalla variazione dell’attività o della normativa.

Il consulente privacy comunque si prende la briga di aggiornare i clienti delle novità di cui dovrebbero tenere conto.

C’è anche un terzo caso degno di nota: il consulente privacy che non è riuscito a convincere il cliente della necessità di verifiche periodiche, ma che comunque si prende la briga di aggiornarlo delle novità di cui dovrebbe tenere conto e fornisce assistenza nel caso in cui il cliente riconosca il valore della sua consulenza (o abbia paura di spiacevoli sanzioni).

Posso incaricare il personale aziendale di gestire la privacy?

Prima di tutto mettiamo in chiaro un aspetto: il personale aziendale gestisce sempre la privacy! In base al ruolo aziendale viene formato e incaricato per trattare i dati per conto del titolare. Non gestisce tutta la privacy, ma questo perché nessuno lo può fare.

Se quello che si vuole fare è incaricare un dipendente di svolgere l'incarico di DPO o le attività di verifica periodica, allora si deve mettere in conto di doverne verificare i requisiti di competenza e di indipendenza.

Se quello che si vuole fare è incaricare un dipendente di svolgere l’incarico di DPO o le attività di verifica periodica, allora si deve mettere in conto di doverne verificare i requisiti di competenza e di indipendenza. Detto in altre parole, si deve valutare che la persona che si vuole incaricare:

  1. abbia formazione ed esperienza adeguate rispetto alla realtà aziendale e che le mantenga nel tempo;
  2. si trovi in una posizione che le consenta di disporre delle risorse (ex. tempo) per svolgere l’attività e abbia l’autorità per accedere ai dati e ai trattamenti.

Il problema vero, comunque, non è avere il consulente privacy sempre presente in azienda, ma essere convinti che la gestione della privacy sia qualcosa di cui ci si può occupare una volta e mai più.

Attenzione al corso “breve” dell’RSPP datore di lavoro

la formazione per gli RSPP datori di lavoro è di più facile gestione, ma si basa sul requisito essenziale che chi svolge la funzione di RSPP sia anche il datore di lavoro dell'impresa.

Si parla di RSPP datore di lavoro nei casi in cui il titolare dell’impresa decide di svolgere direttamente il ruolo di Responsabile del Servizio di Prevenzione e Protezione. Capita spesso nelle imprese di dimensioni contenute in cui il datore di lavoro è attivo nella gestione dell’attività e anche negli aspetti operativi. A volte è una strategia per contenere i costi di consulenza, altre volte frutto del desiderio di controllare in prima persona l’attività senza doversi confrontare con figure esterne.

Il fatto che il corso per gli RSPP che sono datori di lavoro sia nettamente più breve rispetto al corso per i cosiddetti RSPP “esterni” sembra fare gola ad alcune piccole aziende che però, se non fanno attenzione, rischiano di ritrovarsi con una formazione non valida per il ruolo specifico.

La formazione “breve” del RSPP datore di lavoro

Il fatto che il corso per gli RSPP che sono datori di lavoro sia nettamente più breve rispetto al corso per i cosiddetti RSPP "esterni" sembra fare gola ad alcune piccole aziende che rischiano però poi di ritrovarsi con una formazione non valida per il ruolo specifico.

Il datore di lavoro che vuole svolgere l’incarico di RSPP deve frequentare un corso di formazione di 16, 32 o 48 ore a seconda della classe di rischio dell’attività (definita attraverso il codice ATECO), e un aggiornamento quinquennale rispettivamente di 6, 10 o 14 ore.

Il corso per gli RSPP che non sono datori di lavoro, invece, si articola in un modulo A di 28 ore, un modulo C di 24 ore e modulo B di durata compresa tra 60 e 64 ore a seconda del settore o dei settori per i quali si vuole ottenere la qualifica. A questo si aggiunge l’obbligo di formazione continua per cui, in ogni istante, l’RSPP “esterno” deve essere in grado di dimostrare di avere seguito nel quinquennio precedente almeno 40 ore di corsi di aggiornamento.

Quindi sì, la formazione per gli RSPP datori di lavoro è di più facile gestione, ma si basa sul requisito essenziale che chi svolge la funzione di RSPP sia anche il datore di lavoro dell’impresa.

Se non è corretto, è un rischio

Il fatto che il corso per gli RSPP che sono datori di lavoro sia nettamente più breve rispetto al corso per i cosiddetti RSPP "esterni" sembra fare gola alle piccole aziende con più soci.

La maggiore brevità del corso per RSPP datore di lavoro rispetto a quello in modulo A, B e C sembra fare gola alle piccole aziende in cui, oltre al titolare con responsabilità in materia di salute e sicurezza (datore di lavoro), sono presenti altri soci.

Capita cioè che un socio che non ricopre il ruolo di datore di lavoro venga nominato come RSPP e assolva l’obbligo di formazione partecipando al corso per RSPP datore di lavoro anziché al corso suddiviso in modulo A, B e C.

Questa pratica è diffusa, ma è scorretta!

L’eccezione e la verifica “salva tutto”

Ci sono casi di società con più soci con eguali poteri di rappresentanza e amministrazione della società: ciascun socio è di fatto datore di lavoro e, come tale, può ricoprire il ruolo di RSPP e seguire il corso per RSPP datore di lavoro. Ma questi casi sono pochi perché con più datori di lavoro si rischia che, in caso di violazioni in materia di salute e sicurezza, le sanzioni si moltiplichino, perché ciascun socio/ datore di lavoro è passibile di sanzione.

Ci sono casi di società con più soci con eguali poteri di rappresentanze e amministrazione della società: ciascun socio è di fatto datore di lavoro e, come tale, può ricoprire il ruolo di RSPP e seguire il corso per RSPP datore di lavoro.

Senza entrare nel dettaglio delle forme giuridiche, il modo migliore per verificare la situazione e capire se si stanno effettuando scelte attente è quella di seguire questi passi:

  1. verificare, magari con il supporto del proprio commercialista, se esista un’effettiva differenza di poteri di rappresentanza e amministrazione dell’impresa tra i soci;
  2. se la differenza esiste, chi si qualifica come datore di lavoro svolge anche l’incarico di RSPP e si fa il corso “breve”, oppure un socio lavoratore viene nominato Responsabile del Servizio di Prevenzione e Protezione dal socio- datore di lavoro e segue il corso suddiviso in moduli A, B e C;
  3. se la differenza non esiste, prima di pensare all’incarico e alla formazione da RSPP, può valere la pena di formalizzare una delega come datore di lavoro a uno solo dei soci, e poi decidere il da farsi come per il punto 2. Se, invece, non si vogliono modificare gli aspetti di responsabilità, allora si tratta di capire quale socio vuole svolgere l’incarico di RSPP. A quel punto può seguire il corso “breve” senza rischi di contestazione della sua validità.

Tutto chiaro?

Ti ricordi dell’informazione per la sicurezza sul lavoro?

L'informazione per la sicurezza sul lavoro non ha una durata né una frequenza di aggiornamento definite. L'art. 36 del TUS ne definisce però i contenuti.

Siamo presi dalle scadenze dei corsi. Oppure concentrati in posizione acrobatica per combinare l’avvio dell’assunzione con la visita medica e la formazione, e le scadenze dei corsi con quelle di consegna dei lavori… Ci siamo ricordati dell’informazione per la sicurezza sul lavoro?

Informazione, non formazione

Non si tratta di un corso, non ha una durata definita per legge né una scadenza. Non ha nemmeno una forma definita, cioè non si deve per forza di cose organizzare un incontro, un corso, una chiacchierata. Potrebbe bastare un opuscolo, un video di cui devono prendere visione i nuovi assunti e aggiornato periodicamente per tutto il personale. L’importante è che fornisca “conoscenze utili alla identificazione, alla riduzione e alla gestione dei rischi in ambiente di lavoro”.

Su un aspetto ci sono indicazioni precise: i contenuti dell’informazione.

L'informazione può essere fornita con un opuscolo, o un video di cui devono prendere visione i nuovi assunti e che viene aggiornato periodicamente per tutto il personale.

I contenuti dell’informazione per la sicurezza sul lavoro

La durata o il tempo necessari per l’informativa sono quelli che servono per trasmettere i contenuti richiesti; la forma, quella che il datore di lavoro ritiene più pratica. I contenuti, invece, sono definiti dall’art. 36 del D. L.vo 81/08 e comprendono:

  1. l’indicazione dei rischi per la salute e sicurezza sul lavoro connessi all’attività dell’impresa in generale;
  2. le procedure di emergenza (primo soccorso, lotta antincendio ed evacuazione dei luoghi di lavoro);
  3. i nominativi degli addetti alla gestione delle emergenze;
  4. i nominativi di RSPP, ASPP (se presenti/e) e medico competente.
  5. i rischi specifici cui è esposto un dato lavoratore in relazione all’attività svolta, le normative di sicurezza e le disposizioni aziendali in materia;
  6. i pericoli connessi all’uso delle sostanze e delle miscele pericolose sulla base delle schede dei dati di sicurezza;
  7. le misure e le attività di protezione e prevenzione adottate.
Nell'informativa sicurezza sono compresi i nominativi degli addetti alla gestione delle emergenze, di RSPP, ASPP e medico competente.

Serve l’informazione se ho già fatto la formazione?

Dipende da come è stata organizzata e registrata la formazione.

Se organizzo la formazione in azienda posso pensare di inserire nel percorso di formazione anche i contenuti dell’informazione. Parlando dell’organizzazione della prevenzione aziendale, per esempio, che è uno dei contenuti previsti per la formazione, posso snocciolare nomi e cognomi delle figure aziendali rispondendo anche al requisito dell’informazione; mentre illustro i rischi della mansione, i possibili danni e le conseguenti misure e procedure di prevenzione e protezione caratteristici del settore o del comparto di appartenenza (altro contenuto della formazione) posso entrare nei dettagli delle misure e delle attività di prevenzione e protezione definite e adottate nella mia azienda.

Un aspetto da non dimenticare è però quello di dare evidenza (mettere per iscritto) sia nel programma che sugli attestati di formazione il riferimento all’informazione (art. 36) oltre a quello alla formazione (art. 37) in materia di salute e sicurezza.

Se organizzo la formazione in azienda posso pensare di inserire nel percorso di formazione anche i contenuti dell'informazione per la sicurezza sul lavoro.

Ma se la formazione è organizzata presso un ente formatore esterno, magari per più aziende? Com’è possibile fornire i dettagli richiesti dall’art. 36? In questo caso il ricorso a un incontro, un tour della sede aziendale con tanto di presentazione dei colleghi/responsabili, un opuscolo o un video, appare necessario per consentire alla persona formata di mettere in pratica quello che ha imparato, nel rispetto delle procedure e dei ruoli aziendali. Come sapere quale luogo raggiungere in caso di evacuazione, oppure a chi chiedere per farsi sostituire un elmetto danneggiato.

Ho già detto che la formazione in azienda è quella che può fare la differenza? Sì, l’ho anche scritto!

Codice di condotta CISPE: sicurezza dei cloud provider

Il Codice di condotta CISPE fornisce ai cloud provider metodi approvati dai soggetti controllori per dimostrare che le proprie procedure di gestione e conservazione dei dati sono conformi ai requisiti del GDPR.

La gestione dei dati personali sul lavoro si moltiplica e si complica per mano della tecnologia, lasciando al titolare del trattamento la responsabilità di valutare l’adeguatezza delle soluzioni tecnologiche adottate rispetto ai requisiti del GDPR. Questo può richiedere competenze specialistiche, a meno che i fornitori di servizi non scelgano di rendere la conformità al GDPR un loro requisito, come nel caso dei cloud provider europei che hanno proposto il Codice di condotta CISPE.

Cloud Infrastructure Services Providers in Europe

Una trentina di compagnie europee che forniscono servizi in cloud ( archiviazione, applicazioni, infrastruttura o piattaforma) si sono riunite in un’associazione senza fini di lucro con l’obiettivo di promuovere la comprensione, la conoscenza e l’utilizzo dei servizi in cloud, fondando così CISPE (Cloud Infrastructure Services Providers in Europe).

Tra le iniziative dell’associazione, la definizione di un codice di condotta che consenta ai provider di dimostrare la conformità ai requisiti del GDPR, e ai loro clienti di essere sereni rispetto alla sicurezza dei dati nel momento in cui li dovessero scegliere come fornitori.

I provider che dichiarano di rispettare il Codice di condotta CISPE, per esempio, garantiscono che il trattamento dei dati avviene esclusivamente all'interno dell'Unione Europea.

Il Codice di condotta CISPE

Il 20 maggio scorso (2021) l’European Data Protection Board (EDPB), che comprende le Autorità europee per la protezione dei dati (ex. per l’Italia, il Garante per la protezione dei dati personali), ha espresso un parere favorevole rispetto al Codice di condotta CISPE.

Il Codice di condotta fornisce ai cloud provider metodi approvati dai soggetti controllori per dimostrare che le proprie procedure di gestione e conservazione dei dati sono conformi ai requisiti del GDPR. L’altra faccia della medaglia è che i clienti, scegliendo i provider che si dichiarano rispettosi del Codice di condotta CISPE, hanno garanzia di utilizzare infrastrutture cloud strettamente conformi alla normativa in materia di sicurezza dei dati.

I provider che dichiarano di rispettare il Codice di condotta CISPE, per esempio, garantiscono di accedere o utilizzare i dati del cliente solo per mantenere o fornire il servizio e non per scopi commerciali o pubblicitari, e che il trattamento dei dati avviene esclusivamente all’interno dell’Unione Europea.

Nella scelta di un cloud provider, puoi verificare se espone il marchio CISPE per valutare preventivamente in modo rapido la sua adeguatezza come tuo fornitore.
Fonte: codeofconduct.cloud

Il rispetto del Codice di condotta non è autocertificato ma deriva dalla verifica effettuata da personale indipendente, accreditato dalle Autorità europee per la protezione dei dati.

Quindi, nella scelta di un cloud provider, puoi verificare se espone il marchio CISPE per valutare preventivamente in modo rapido la sua adeguatezza come tuo fornitore.

Ogni quanto va aggiornato il corso PES PAV PEI?

Il datore di lavoro che voglia avere garanzia del possesso della formazione teorica del personale per l'esecuzione di lavori elettrici può fargli frequentare il corso PES PAV PEI.

Oggi entriamo nel mondo dei lavori elettrici, per i quali il datore di lavoro deve nominare formalmente il personale quale esperto (PES), avvertito (PAV) o idoneo ai lavori in bassa tensione (PEI) in funzione del possesso di requisiti di istruzione, esperienza e formazione. In particolare, il datore di lavoro che voglia avere garanzia del possesso della formazione teorica del personale può fargli frequentare il corso PES PAV PEI.

L’aspetto che però risulta meno chiaro è se questo corso debba essere aggiornato come ogni altro corso in materia di salute e sicurezza e, nel caso, ogni quanto si debba provvedere.

L’aggiornamento del corso PES PAV PEI

Il riferimento per la definizione del corso PES PAV PEI non è il testo unico sicurezza ma la norma tecnica CEI 11-27. Nonostante la norma tecnica non definisca una frequenza di aggiornamento, il fatto che lei stessa sia soggetta a revisioni e successive edizioni (l’ultima è del gennaio 2014, la prima è dell’aprile del 1993) rende quanto meno necessario un aggiornamento a seguito dell’emissione di una sua nuova edizione.

Allo stato attuale (giugno 2021), l'obbligo di aggiornamento del corso PES PAV PEI si avrebbe solo per coloro che si fossero formati in riferimento a edizioni non aggiornate della norma.
Fonte: https://mycatalogo.ceinorme.it/

Allo stato attuale, quindi, l’obbligo di aggiornamento si avrebbe solo per coloro che si fossero formati in riferimento a edizioni non aggiornate della norma.

Considerato comunque che la formazione è finalizzata a garantire l’idoneità dei lavoratori a svolgere lavori elettrici, comprendo e condivido il consiglio di chi propone aggiornamenti quinquennali del corso PES PAV PEI. Al di là del parere personale, per altro, ci sono all’orizzonte novità che potrebbe richiedere a tutti di cambiare passo nell’aggiornamento di questa formazione.

La quinta edizione della norma CEI 11-27

La quinta edizione della norma CEI 11-27 dovrebbe introdurre l'obbligo di aggiornamento quinquennale del corso PES PAV PEI.

A giugno 2020 è stato pubblicato il progetto C.1263, che rappresenta la bozza della quinta edizione della norma di riferimento, di cui ci si attende quindi la prossima pubblicazione. Per quanto riguarda la formazione per PES PAV (paragrafo 4.15.5 “Requisiti formativi minimi per PES e PAV“), il documento introduce un vincolo nuovo:

La formazione deve essere aggiornata con cadenza almeno quinquennale per un numero di ore non inferiore a quattro, trattando argomenti relativi l’ambito specifico del lavoro elettrico dei discenti.

Diverso è il caso del corso PEI, invece, per il quale il progetto C.1263 raccomanda una formazione iniziale di durata minima di 4 ore e prevede che il mantenimento dell’idoneità sia legato a pratica e addestramento successivi. Considerando però che la formazione per PEI è aggiuntiva rispetto a quella per PES e PAV, sarà necessario provvedere all’aggiornamento quinquennale per questi ruoli perché si possa svolgere quello superiore.

L’RLS si nomina o si elegge?

I lavoratori hanno il diritto di eleggere l'RLS e il datore di lavoro nomina una figura equivalente solo se non lo fanno. Tranne eccezioni...

La logica di fondo è che i lavoratori hanno il diritto di eleggere un proprio rappresentante e che il datore di lavoro può ricorrere alla nomina di una figura equivalente istituita a livello territoriale solo nel caso in cui i lavoratori decidano di non esercitare il loro diritto. Come sempre, però, ci sono eccezioni e dettagli a cui prestare attenzione: quindi vediamo di fare il punto della situazione per quelli che riguardano la figura del rappresentate dei lavoratori per la sicurezza (RLS) .

Le regole generali

Il rappresentante dei lavoratori per la sicurezza deve essere presente in ogni azienda o sito produttivo e, in funzione del numero complessivo di lavoratori, aumenta il numero minimo di RLS da individuare:

  1. 1 rappresentante nelle aziende o unità produttive sino a 200 lavoratori;
  2. 3 rappresentanti nelle aziende o unità produttive da 201 a 1.000 lavoratori;
  3. almeno 6 rappresentanti in tutte le altre aziende o unità produttive oltre i 1.000 lavoratori (il numero minimo effettivo viene definito mediante accordi interconfederali o la contrattazione collettiva).
Il rappresentante dei lavoratori per la sicurezza deve essere presente in ogni azienda o sito produttivo e, in funzione del numero complessivo di lavoratori, aumenta il numero minimo di RLS da individuare.

La dimensione aziendale influisce anche sui soggetti eleggibili:

  • per le aziende fino a 15 lavoratori, l’elezione avviene tra i lavoratori;
  • per le aziende con più di 15 lavoratori, l’elezione avviene in via prioritaria nell’ambito delle rappresentanze sindacali interne e, solo in assenza di queste ultime, considerando tutti i lavoratori.

Nel caso in cui i lavoratori non esercitino il loro diritto a eleggere il proprio rappresentante (o i propri rappresentanti), allora le funzioni del RLS sono svolte dal rappresentante dei lavoratori per la sicurezza territoriale (RLST), che viene individuato e formato dagli organismi paritetici competenti per comparto e territorio. Questo significa che il datore di lavoro, in caso i lavoratori non abbiano eletto un numero adeguato di RLS, dovrà contattare l’organismo paritetico di riferimento, per comparto e territorio, e richiedere i nominativi degli RLST, provvedendo alla nomina dei soggetti necessari per la propria impresa.

Il datore di lavoro, in caso i lavoratori non abbiano eletto un numero adeguato di RLS, dovrà contattare l'organismo paritetico di riferimento, per comparto e territorio, e richiedere i nominativi degli RLST, provvedendo alla nomina dei soggetti necessari per la propria impresa.

Durata dell’incarico e altri dettagli

Il ruolo di RLS ha una scadenza che è indicata nei contratti collettivi nazionali di riferimento: tipicamente è triennale, ma è sempre buona cosa verificare il CCNL di riferimento.

Il CCNL deve essere verificato anche in relazione al numero minino di RLS in funzione della dimensione dell’azienda o del sito produttivo, alle modalità di elezione, al tempo di lavoro retribuito e agli strumenti per l’espletamento delle funzioni.

L’eccezione del RLS di sito produttivo

In alcuni contesti produttivi caratterizzati dalla compresenza di più aziende o cantieri, è prevista l’elezione di un RLS di sito produttivo: viene individuato tra gli RLS delle aziende operanti nel sito produttivo e su loro stessa iniziativa, e svolge una funzione di coordinamento tra gli RLS presenti.

Quali sono questi contesti produttivi specifici? Quelli elencati all’art. 49, comma 1, D. L.vo 81/08 e ss.mm.ii.:

  • i porti;
  • i centri intermodali di trasporto;
  • gli impianti siderurgici;
  • i cantieri di entità presunta di almeno 30.000 uomini-giorno;
  • contesti produttivi con complesse problematiche legate alla interferenza delle lavorazioni e da un numero complessivo di addetti mediamente operanti nell’area superiore a 500.
In alcuni contesti produttivi caratterizzati dalla compresenza di più aziende o cantieri, è prevista l'elezione di un RLS di sito produttivo.

L’RLS, quindi, si nomina o si elegge a seconda del contesto specifico che si sta considerando.

BYOD: una pratica da curare per la privacy

BYOD è l'acronimo dell'espressione inglese "bring your own device", che identifica l'utilizzo, sempre più diffuso, dei dispositivi digitali personali per svolgere mansioni lavorative.

BYOD è l’acronimo dell’espressione inglese “bring your own device“, che letteralmente significa “porta il tuo dispositivo“. L’acronimo identifica l’utilizzo, sempre più diffuso, dei dispositivi digitali personali (smartphone, tablet e pc) per svolgere mansioni lavorative. Che sia desiderio del dipendente o che sia una richiesta del datore di lavoro, l’utilizzo dei dispositivi personali in ambito lavorativo è possibile se viene gestito correttamente in termini di accordi (il BYOD non deve comportare oneri economici a carico del lavoratore) e di tutela degli aspetti di protezione dei dati personali (privacy).

I rischi nella gestione dei dati personali

L’introduzione dei dispositivi personali comporta necessariamente un maggiore utilizzo per fini personali rispetto a quanto possa accadere nel caso di dispositivi forniti dal datore di lavoro. Per quanto concentrato sul lavoro un dipendente possa essere, l’utilizzo per finalità personali di un dispositivo digitale di proprietà si può considerare certo al di fuori dell’orario di lavoro, e magari anche da parte di familiari.

Per quanto concentrato sul lavoro un dipendente possa essere, l'utilizzo per finalità personali di un dispositivo digitale di proprietà si può considerare certo al di fuori dell'orario di lavoro, e magari anche da parte di familiari.

Il datore di lavoro potrebbe ritenere cautelativo, rispetto alla tutela dei dati che il lavoratore tratta per suo conto, attuare sistemi di scansione del dispositivo, per esempio per rilevare la presenza di malware; oppure potrebbe monitorare l’ubicazione e il traffico del dispositivo per prevenire la trasmissione di dati a terzi. Di fatto, però, queste attività potrebbero determinare l’accesso a tutti i dati del dispositivo, compresi quelli privati, o l’acquisizione di informazioni sulla vita privata e familiare del lavoratore, risultando non commisurate rispetto alla finalità di tutela dei dati di cui il datore di lavoro è titolare.

Come gestire correttamente il BYOD

Un riferimento utile per gestire i problemi di sicurezza dei dati in caso di ricorso al BYOD, sono le Linee Guida WP249 pubblicate a giungo 2017 dal Gruppo di lavoro Art.29 (un gruppo di lavoro indipendente che si è occupato di valutare le problematiche connesse alla protezione dei dati dati personali fino al 25 maggio 2018).

Uno degli aspetti da prendere in considerazione in caso di BYOD è il ricorso a sistemi sicuri di trasferimento dei dati tra il dispositivo del dipendente e la rete aziendale.

Le proposte operative comprendono tre aspetti.

  1. L’attuazione di misure che consentano di distinguere l’uso privato da quello aziendale di un determinato dispositivo personale. Questo significa prima di tutto che i dati di interesse devono essere conservati in un “luogo dedicato” (ex. le cosiddette sandboxing, che conservano i dati in un’applicazione specifica). Ma un secondo aspetto riguarda la formazione del lavoratore che deve sapere che i dati relativi alla prestazione lavorativa non devono essere accessibili a terzi (conviventi, congiunti, conoscenti) e che non può memorizzarli in spazi virtuali diversi da quelli individuati dal datore di lavoro.
  2. Il ricorso a sistemi sicuri di trasferimento dei dati tra il dispositivo del dipendente e la rete aziendale (ex. connessione VPN), con la doppia finalità di evitare di conservare i dati sul dispositivo personale e anche di garantire la sicurezza del dati trattati in tutte le fasi del trattamento, trasferimento compreso.
  3. Il divieto per il datore di lavoro di richiedere o di autorizzare l’utilizzo di dispositivi personali nei casi in cui non sia possibile o sufficiente garantire la sicurezza dei dati o il rispetto della vita privata del dipendente attraverso l’adozione di misure specifiche, come quelle indicate ai punti precedenti.
La pratica del BYOD è possibile, ma richiede al titolare del trattamento di valutare con cura le soluzioni di trasferimento, salvataggio e controllo prima di richiedere o autorizzare l'utilizzo di dispositivi personali per finalità lavorative.

La pratica del BYOD è quindi possibile, ma richiede al titolare del trattamento (il datore di lavoro) di valutare con cura le soluzioni di trasferimento, salvataggio e controllo prima di richiedere o autorizzare l’utilizzo di dispositivi personali per finalità lavorative.

Che cos’è il tecnostress e come gestirlo

Inserire il tecnostress nella propria lista di rischi lavorativi è il primo passo per poter individuare strategie per sfruttare i benefici della tecnologia e minimizzarne gli effetti negativi sulle persone e, quindi, sull'ambiente di lavoro.

La tecnologia è utile: pratica, rapida ed efficiente. Ma è anche fonte di stress in ambito lavorativo. Il problema non è tanto connesso alla difficoltà di utilizzo, comunque da non sottovalutare da parte di alcune fasce di lavoratori, quanto alla risposta che l’individuo mette in atto nel momento in cui si trova a dover gestire i continui e abbondanti flussi informativi veicolati dalle nuove tecnologie. Inserire il tecnostress nella propria lista di rischi lavorativi è il primo passo per individuare strategie per sfruttare i benefici della tecnologia e minimizzarne gli effetti negativi sulle persone e, quindi, sull’ambiente di lavoro.

Che cosa si intende per tecnostress

La tecnologia è uno strumento importante del lavoro moderno, direi irrinunciabile. Le sue caratteristiche tendono però a indurre comportamenti che possono portare a disturbi psicofisici.

La tecnologia è uno strumento importante del lavoro moderno, direi irrinunciabile. Le sue caratteristiche favoriscono però lo sviluppo di comportamenti che possono portare a disturbi psicofisici e questi disturbi possono cronicizzarsi e compromettere lo stato di benessere dell’individuo.

Sono quattro le caratteristiche della tecnologia capaci di indurre effetti negativi nel lungo periodo:

  1. il flusso continuo di informazioni che si scontra con l’esigenza di recupero dell’organismo;
  2. la rapidità degli scambi informativi che non è sempre commisurata alle capacità fisiologiche;
  3. la molteplicità dei canali a disposizione che frammenta l’attenzione o la rimbalza in più direzioni;
  4. l’integrazione dei canali che rende potenzialmente infinita la connessione e lo scambio.
Ansia, ipertensione, insonnia, calo della concentrazione, disturbi gastrointestinali e cardiocircolatori, disturbi dell’alimentazione, alterazioni comportamentali, disturbi della sfera sessuale e relazionale sono i sintomi che gli studi hanno associato al tecnostress.

Ansia, ipertensione, insonnia, calo della concentrazione, disturbi gastrointestinali e cardiocircolatori, disturbi dell’alimentazione, alterazioni comportamentali, disturbi della sfera sessuale e relazionale sono i sintomi che gli studi hanno associato al tecnostress. E questi sintomi si risolvono in una diminuzione della qualità della vita e, in ambito lavorativo, nel calo della produttività e nell’aumento del rischio di incidenti e infortuni.

Il fattore personale

Non sono solo le caratteristiche del lavoro e della tecnologia a determinare la probabilità e l’entità delle eventuali conseguenze negative del tecnostress, le caratteristiche individuali contribuiscono all’esito.

Il grado di comfort nell’utilizzo della tecnologia cambia a seconda che gli strumenti tecnologici siano percepiti come facilitatori e siano fonte di curiosità o, al contrario, siano considerati un’imposizione e siano vissuti con diffidenza; inoltre la risposta individuale agli stimoli rende una stessa situazione lavorativa più o meno sostenibile e tollerabile.

Anche le abitudini extra lavorative possono aumentare o diminuire la capacità di fronteggiare la condizione di stress e il livello di consapevolezza di ciascuno in merito alle strategie operative da mettere in campo per non farsi sopraffare dai flussi informativi varia da persona a persona.

Non sono solo le caratteristiche del lavoro e della tecnologia a determinare la probabilità e l'entità delle eventuali conseguenze negative del tecnostress, le caratteristiche individuali contribuiscono all'esito.

Misure di prevenzione e protezione

La variabilità individuale nell’esposizione allo stress indotto dalle tecnologie moderne non è però una giustificazione adeguata per lasciare in carico al singolo lavoratore la gestione del problema.

Il tecnostress deve infatti rientrare nella valutazione dei rischi relativamente a ogni specifico ambiente di lavoro e il datore di lavoro, con l’aiuto del servizio di prevenzione e protezione, deve individuare le adeguate misure di gestione.

Uno schema di ragionamento operativo prevede di ragionare su tre livelli di intervento successivi: prevenzione primaria, prevenzione secondaria e protezione.

La prevenzione primaria interviene sulla progettazione del lavoro e sullo sviluppo organizzativo, comprendendo politiche di lavoro che rispettino la vita privata dei lavoratori, il diritto alle pause di lavoro e incentivino comportamenti virtuosi (ex. pause caffè senza smartphone, utilizzo di dispositivi elettronici diversi per lavoro e vita privata).

La prevenzione secondaria si concentra sulla formazione dei lavoratori per renderli consapevoli delle pratiche poco salutari o dannose e delle tecniche psico-fisiche di gestione dello stress.

La protezione, infine, agisce sui sintomi con l’obiettivo di ridurli, favorendo la partecipazione a programmi di counseling e di assistenza personalizzati.

Il punto di partenza per una gestione efficace del tecnostress è però riconoscerne lo status di rischio lavorativo al pari di rischi che ci sono ormai più familiari.

Il punto di partenza per una gestione efficace del tecnostress è però riconoscerne lo status di rischio lavorativo al pari di rischi che ci sono ormai più familiari. Questo significa accettare almeno due idee:

  1. che la prevenzione sul lavoro sta assumendo sempre più un approccio globale rispetto alla salute del lavoratore;
  2. che l’uso lavorativo di strumenti quotidiani non riduce l’onere di prevenzione in capo al datore di lavoro.