La gestione dei documenti e la condivisione

Che cosa c'entrano la gestione dei documenti e la loro condivisione con formazione, sicurezza e privacy?

Che cosa c’entra la gestione dei documenti con formazione, sicurezza e privacy? E la loro condivisione poi?

C’entrano, c’entrano. Per almeno tre buoni motivi:

  1. senza i documenti non si può dimostrare nulla;
  2. senza i documenti non si conoscono le scadenze da tenere sotto controllo per rimanere in regola;
  3. non passa giorno senza che qualcuno chieda un documento che riguarda la sicurezza, la formazione del personale o la privacy.

L’ABC della gestione dei documenti

Gestire i documenti significa sapere dove sono, tenerne sotto controllo la scadenza, avere a portata di mano quelli aggiornati.

Gestire i documenti significa sapere dove sono, se riportano una scadenza da tenere sotto controllo o se hanno una scadenza anche se non ce l’hanno scritta sopra, avere a portata di mano quelli aggiornati ed evitare di inviare o consegnare a chi ce li chiede la versione sbagliata, quella vecchia e superata, che, però, deve essere conservata per un certo tempo. E dico “un certo tempo” perché i vincoli di conservazione dei documenti posso variare, ma i 10 anni sono un po’ lo spartiacque definitivo.

Sembra facile, soprattutto per chi ha avuto un’esperienza, anche breve, con i sistemi di gestione. E invece.

Esigenze più immediate

Ogni azienda ha esigenze specifiche in funzione dell’attività, della dimensione, della struttura e dell’organizzazione, ma tutte ne hanno almeno due in comune:

  1. tenere sotto controllo le scadenze;
  2. condividere gli stessi documenti con più persone, anche esterne all’impresa.

Soluzioni

Partiamo dalla scadenze.

Ogni azienda ha esigenze specifiche in funzione dell'attività, della dimensione, della struttura e dell'organizzazione, ma tutte hanno almeno due esigenze comuni: tenere sotto controllo le scadenze e condividere gli stessi documenti con più persone, anche esterne all'impresa.

Scrivere nel nome del file la data di scadenza funziona solo per poche scadenze e per file che vengono visionati frequentemente. In breve: non è una strategia sostenibile.

Raccogliere le scadenze in uno o più file excel è il punto di partenza: un unico file da aprire spesso (anche se non volentieri), eventualmente con più fogli, uno per argomento (1. formazione, 2. visite mediche, 3. verifica delle attrezzature, 4. documento di valutazione dei rischi, 5. manutenzioni impianti, …). E magari si impara anche a impostare la regola per fare in modo che le celle con scadenze in scadenza (ops!) si colorino prima che sia troppo tardi.

Poi sì, ci sono i gestionali aziendali oppure sistemi di gestione dei documenti online. Se ne possono recuperare elenchi infiniti, da marchi notissimi ad altri meno noti, ma qui sono necessari investimenti e uno sguardo ampio alle esigenze dell’impresa, non solo a quelle che riguardano sicurezza sul lavoro o privacy.

Arriviamo alla condivisione dei documenti.

Cartelle condivise di Google Drive e di Dropbox sono la soluzione gratuita alla portata di tutti per avere accesso ai documenti anche fuori dalla sede aziendale.

Qui viene in aiuto la tecnologia.

Cartelle condivise di Google Drive e di Dropbox sono la soluzione gratuita alla portata di tutti (salvo esigenze di spazio per moli di file importanti) e con almeno due vantaggi:

  1. l’assoluta personalizzazione dell’archivio, che significa poter creare le cartelle che si vogliono e come si vogliono;
  2. la possibilità di definire il tipo di condivisione, quindi se chi accede alla cartella e ai documenti ha solo la possibilità di visualizzare o anche di modificare i file condivisi.

Il problema è che sta all’utente decidere che cosa gli serve e che cosa no e ricordarsi di mantenere aggiornati i documenti.

Anche in questo caso non mancano gestionali e software, anche con app per il telefono, che uniscono condivisione dei documenti e gestione delle scadenze, ma il servizio è a pagamento, a meno che non si tratti di strumenti promossi a livello territoriale, come nel caso del portale Check della Cassa edile di Brescia.

Problemi ne abbiamo?

Se si decide di entrare nel mondo dei gestionali  e dei software di gestione dei documenti, è necessario mettere in conto un investimento iniziale di tempo per caricare tutti i documenti e i dati di interesse.

Sono onestissima e dico che possono essere due.

Se si decide di entrare nel mondo dei gestionali e dei software di gestione dei documenti, è necessario mettere in conto un investimento iniziale di tempo per caricare tutti i documenti e i dati di interesse e impostare le scadenze. Il risparmio di tempo arriva dopo però!

Per ultimo l’aspetto più antipatico, per concludere col botto. Nell’affrontare l’esigenza di gestione di documenti e scadenze, ogni impresa si muove facendo valutazioni di convenienza interna, con il risultato che ciascuno utilizza metodi e strumenti diversi che raramente comunicano tra loro. Questo significa che può capitare di dover ripetere una parte del lavoro fatto al proprio interno (caricamento dati e documenti e impostazione scadenze) per rendere disponibili e verificabili i propri documenti a soggetti terzi che hanno stabilito un proprio metodo di raccolta e verifica.

Medico competente: responsabile o titolare del trattamento?

Lo scorso 23 giugno il Garante per la protezione dei dati personali ha presentato la Relazione annuale sulle attività svolte nel 2019. Si parte dai numeri e si scende poi nei dettagli con paragrafi descrittivi di approfondimento. Il n. 13.14, intitolato “I trattamenti di dati da parte del medico competente” affronta in modo esplicito e definitivo la questione della posizione del medico competente nell’ambito del sistema di gestione della privacy aziendale. Tra chi considerava il medico competente un responsabile esterno al trattamento e chi lo riteneva un titolare del trattamento sono i secondi a ricevere la conferma espressa da parte del Garante.

Il medico competente come autonomo titolare

Il Garante lo dice chiaramente:

“il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore…”

La questione non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria.

La questione, in sostanza, non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili
per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro
“.

E non è la tipologia di rapporto tra professionista sanitario e datore di lavoro a influire sulla posizione del medico competente come titolare del trattamento:

“Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.”

Non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo.

Quindi? Quindi non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo ed è opportuno eliminarla, aggiornando anche la documentazione che descrive la modalità di gestione dalla privacy in azienda che dovesse contenere riferimenti al ruolo del medico competente e lo citasse come responsabile esterno anziché come titolare (ex. DPIA o registro dei trattamenti).

La scelta del formatore sicurezza

In molti casi la scelta del formatore sicurezza è tutta responsabilità delle società e degli enti di formazione ai quali i datori di lavoro si rivolgono per organizzare i corsi per i propri lavoratori. Non mancano però i casi in cui i datori di lavoro fanno riferimento in modo diretto ai propri consulenti di fiducia per organizzare la formazione in azienda, affidando quindi l’attività direttamente ai professionisti. In entrambi i casi la verifica del possesso di requisiti tecnici (qualifica di formatore) è il primo passo per scegliere il docente, ma il consiglio è di fare valutazioni anche di carattere relazionale o di capacità didattica.

La qualifica di formatore sicurezza

Dall’entrata in vigore del D.M. del 6 marzo 2013 (18.03.2014) sono passati oramai sei anni e l’idea che per svolgere buona parte della formazione in materia di salute e sicurezza sul lavoro sia necessario possedere requisiti di istruzione o esperienza e di formazione specifici si è diffusa.

La verifica del possesso di requisiti tecnici (qualifica di formatore sicurezza) è il primo passo per scegliere il docente, ma il consiglio è di fare valutazioni anche di carattere relazionale o di capacità didattica.

La domanda a volte è generica, più un «Ma tu puoi farli i corsi sicurezza?» che un «Sei qualificato come formatore sicurezza? Per quali corsi?», ma comunque efficace: rivela la consapevolezza che il formatore debba essere in grado di dimostrare di essere in possesso di titoli di studio, esperienza e formazione specifica, in costante aggiornamento.

L’invito ai datori di lavoro è quello a spingersi fino alla richiesta ai professionisti della documentazione che dimostri il possesso della qualifica, mentre ai formatori l’invito è a essere i promotori della verifica da parte del cliente.

La qualità del formatore

Chiunque abbia partecipato a un’attività formativa sa bene che il suo successo non sta tanto nel contenuto quanto nella capacità del docente di presentarlo.

Chiunque abbia partecipato a un'attività formativa sa bene che il suo successo non sta tanto nel contenuto quanto nella capacità del docente di presentarlo.

Il Decreto del 6 marzo 2013 introduce il tema prevedendo sempre un requisito di “capacità didattica” dei formatori sicurezza, che può essere soddisfatto attraverso la frequenza di un percorso formativo in didattica (corso 24 ore o abilitazione all’insegnamento o percorso universitario in comunicazione) o grazie all’esperienza maturata come docente o in affiancamento.

L’idea di fondo è che il docente, oltre a conoscere la materia trattata, debba essere anche in grado di gestire le persone in aula e il tempo, di mantenere alta l’attenzione, di riformulare i propri contenuti in funzione del pubblico e delle domande che gli vengono rivolte, per avere garanzia che i contenuti siano compresi e appresi dai discenti.

Gli enti di formazione provvedono a valutare le capacità didattiche del docente in modo diretto (prendendo parte ai corsi tenuti dal formatore) o indiretto (attraverso i questionari di soddisfazione), mentre in caso di affidamento diretto dell’incarico di formatore sicurezza da parte dell’azienda questa valutazione tende a essere dimenticata.

L'idea di fondo è che il docente, oltre a conoscere la materia trattata, debba essere anche in grado di gestire le persone in aula e il tempo, di mantenere alta l'attenzione, di riformulare i propri contenuti in funzione del pubblico e delle domande che gli vengono rivolte, per avere garanzia che i contenuti siano compresi e appresi dai discenti.

Il datore di lavoro può utilizzare gli stessi metodi adottati dagli enti di formazione con almeno tre vantaggi:

  1. la presenza del datore di lavoro o di un suo rappresentante ai percorsi di formazione fa sì che il personale percepisca la rilevanza dell’attività e sia più partecipe;
  2. il datore di lavoro o un suo rappresentante possono evidenziare incongruenze tra le nozioni trasmesse e la pratica aziendale e favorire/imporre la correzione di procedure e comportamenti, con una ricaduta immediata della formazione nella pratica quotidiana;
  3. l’azienda procede alla qualifica del fornitore, valutando la sua adeguatezza o la necessità della sua sostituzione (ovviando così alla noia o al disinteresse del personale).

Esiste una forma di valutazione preventiva della capacità didattica? Direi di sì, anche se non è sempre efficace: il colloquio preliminare all’erogazione della formazione, per mettere a punto i contenuti in funzione dell’attività aziendale e dei lavoratori coinvolti in termini di ruolo e mansioni, la verifica della disponibilità delle attrezzature e degli spazi, rivela molto dell’attenzione del docente per gli aspetti che vanno al di là delle nozioni tecniche.

Il data breach: che cos’è e che cosa fare

Con data breach si fa riferimento a un qualunque evento accidentale o deliberato che può compromettere la sicurezza dei dati personali trattati da un titolare.

L’espressione data breach appartiene al mondo della gestione dei dati personali; viene utilizzata per identificare le violazioni dei sistemi di sicurezza messi a punto dal titolare del trattamento dei dati personali, che comportano, accidentalmente o con finalità illecita,

  • la distruzione
  • la perdita
  • la modifica
  • la divulgazione non autorizzata
  • l’accesso

ai dati personali trasmessi, conservati o comunque trattati dal titolare. 

Il furto o la perdita di dispositivi informatici contenenti dati personali è un evento di data breach.

Il concetto può apparire complesso, ma ecco alcuni esempi che lo rendono immediato e mostrano quanto l’eventualità di data breach sia tutt’altro che remota:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware; 
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

La notifica del data breach al Garante

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, causando danni fisici, materiali  o immateriali, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

La notifica deve essere trasmessa entro 72 ore dal momento in cui il titolare viene a conoscenza del data breach e, in caso di trasmissione oltre il termine delle 72 ore, motivando il ritardo.

La notifica deve essere sottoscritta digitalmente o con firma autografa e inviata al Garante tramite posta elettronica certificata.

Tramite il sito del garante è disponibile un modello che garantisce di trasmettere tutti i dati richiesti.

Altri adempimenti

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali che ritiene più idonei, a meno che non abbia già preso misure tali da ridurne l’impatto. 

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutte le violazioni dei dati personali.

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutti i data breach.

In genere si predispone un apposito registro che consenta di tracciare tutte le informazioni sufficienti a ricostruire l’accaduto, individuare eventuali responsabili, dare evidenza delle azioni intraprese per gestire la violazione e contenere il suo impatto, registrare la valutazione del rischio per i diritti delle persone in funzione del quale si è fatta seguire o meno la notifica al garante, dimostrare il rispetto del termine delle 72 ore e dettagliare le ragioni dell’eventuale ritardo della notifica. Per altro il registro, tenendo traccia delle violazioni nel tempo, può rappresentare un’utile fonte di informazioni sull’efficacia delle misure di sicurezza messe in atto, indirizzando il titolare nel miglioramento della gestione della privacy della sua organizzazione.

A che cosa servono i fondi interprofessionali?

I fondi interprofessionali servono per finanziare la formazione obbligatoria e non del personale con fondi già versati dall'impresa o con fondi aggiuntivi.

Se la formazione è un investimento, allora perché non finanziarlo a tasso zero? Ecco a che cosa servono i fondi interprofessionali: a finanziare la formazione del personale aziendale, obbligatoria e non, con fondi già versati dall’impresa e, a volte, con fondi aggiuntivi messi a disposizione dai fondi stessi. Ma facciamo un passo alla volta.

Che cosa sono i fondi interprofessionali

Con questa espressione si fa riferimento ai Fondi paritetici interprofessionali nazionali
per la formazione continua
, organizzazioni autorizzate dal Ministero del Lavoro la cui finalità è quella di promuovere la formazione dei lavoratori attraverso uno specifico meccanismo di finanziamento dei corsi.

Come avviene il finanziamento della formazione

Le aziende possono decidere di aderire a uno dei fondi attivi attraverso il flusso Uniemes, vedendo quindi accantonati i fondi da lei versati in un conto aziendale.

Tra i contributi versati a INPS dai datori di lavoro è compreso il contributo integrativo per l’assicurazione obbligatoria contro la disoccupazione involontaria, pari allo 0,30% dei contributi versati. Questo elemento della contribuzione può essere restituito, dedotti i costi amministrativi, ai fondi interprofessionali.

Le aziende possono decidere di aderire a uno dei fondi attivi attraverso il flusso Uniemes, vedendo quindi accantonati i fondi da loro versati in un conto aziendale, a disposizione per sostenere percorsi formativi aziendali.

Per le realtà di piccole dimensioni per le quali i fondi accantonanti sono esigui, vi è la possibilità di sfruttare i cosiddetti “Avvisi” emanati dal fondo a cui ciascuna impresa ha deciso di aderire, che possono coinvolgere più imprese appartenenti a un dato settore o una data area geografica (conti di sistema).

Quale formazione si può finanziare?

Dipende dal fondo al quale si aderisce e dalla modalità di finanziamento del corso (conto aziendale o di sistema). In termini generali si può finanziare la formazione obbligatoria in materia di salute e sicurezza sul lavoro e ogni altro percorso di formazione finalizzato a favorire lo sviluppo di competenze e professionalità.

In termini generali si può finanziare la formazione obbligatoria in materia di salute e sicurezza sul lavoro e ogni altro percorso di formazione finalizzato a favorire lo sviluppo di competenze e professionalità.

Attenzione

Quattro gli aspetti ai quali prestare attenzione:

  1. è possibile passare da un fondo all’altro, disdicendo l’adesione a un fondo e richiedendo l’adesione a un altro fondo, ma è sempre opportuno verificare che i fondi interessati nel passaggio consentano di trasferire i fondi accantonati, altrimenti può essere il caso di esaurire i fondi maturati prima di procedere alla variazione;
  2. ogni fondo presenta regole specifiche, quindi prima di fare cambiamenti è buona cosa valutare l’adeguatezza del fondo rispetto alle esigenze e alle caratteristiche dell’azienda;
  3. i tempi di approvazione dei piani formativi non sono sempre rapidi, per cui la programmazione della formazione unita al monitoraggio di conto aziendale ed eventuali avvisi pubblicati da fondo non vanno trascurati;
  4. la presentazione dei piani e la relativa rendicontazione non sono attività banali e da prendere alla leggera, soprattutto nei casi in cui l’azienda deve prima pagare le attività formative e ottiene poi la restituzione delle cifre dal fondo interessato.

AAA consulente cercasi

Il mondo dei fondi interprofessionali ha la sua complessità e quindi, sì, ci sono consulenti che aiutano a orientarsi nella scelta del fondo più adeguato e nella gestione dei piani formativi.

Il mondo dei fondi interprofessionali ha la sua complessità e quindi, sì, ci sono consulenti che aiutano a orientarsi nella scelta del fondo più adeguato e nella gestione dei piani formativi. Stai cercando proprio uno di loro? Scrivimi o chiamami e sarà un piacere mettervi in contatto.

La denuncia di malattia professionale

La denuncia di malattia professionale è un adempimento che viene richiesto da INAIL a seguito dell'emissione di un certificato di (presunta) malattia professionale.

Si tratta di un adempimento che viene richiesto da INAIL a seguito dell’emissione di un certificato di (presunta) malattia professionale da parte del dipartimento di medicina del lavoro della struttura sanitaria territoriale, o da parte di altro medico che abbia aderito a specifico accordo con INAIL e le rappresentanze sindacali.

La denuncia di malattia professionale è nella pratica un atto amministrativo di trasferimento di informazioni inerenti la vita lavorativa di uno specifico lavoratore e non equivale al riconoscimento della malattia professionale, ma può porre le basi per il riconoscimento e, quindi, deve essere effettuata con cura.

Che cos’è la malattia professionale?

Le patologie che siano direttamente ricollegabili all'esposizione prolungata a specifiche attività o ambienti lavorativi sono malattie professionali.

La condizione di salute di un lavoratore può risentire dell’attività lavorativa. Questo significa che, con il passare del tempo, l’esposizione agli agenti di rischio (ex. microclima, vibrazioni, rumore, movimenti ripetitivi degli arti superiore, movimentazione manuale dei carichi, sostanze cancerogene) può comportare delle conseguenze a livello fisico per il lavoratore, l’insorgere di patologie. Le patologie che siano direttamente ricollegabili all’esposizione prolungata a specifiche attività o ambienti lavorativi sono malattie professionali.

La correlazione tra patologia e attività lavorativa non è sempre certa, cioè resta in carico a INAIL verificare che la patologia diagnosticata sia riconducibile in modo univoco all’ambito lavorativo. La denuncia di malattia professionale è il momento in cui INAIL, attraverso un medico del lavoro incaricato, avvia la verifica per stabilire se esista o meno un legame di causa-effetto tra attività lavorativa e patologia.

Chi segnala il sospetto di malattia professionale?

In primo luogo può essere il medico competente, nell'ambito della sorveglianza sanitaria periodica, a ritenere che un lavoratore stia sviluppando una patologia connessa all'attività lavorativa.

In primo luogo può essere il medico competente, nell’ambito della sorveglianza sanitaria periodica, a ritenere che un lavoratore stia sviluppando una patologia connessa all’attività lavorativa. In quel caso allerterà il datore di lavoro del fatto che invierà il lavoratore a visita presso il dipartimento di medica del lavoro dell’azienda sanitaria territorialmente competente. Il dipartimento valuterà lo stato di salute e, nel caso confermasse il sospetto del medico competente, emetterà un certificato di sospetta malattia professionale.

In secondo luogo può essere il medico curante ad avanzare il sospetto e, in questo caso, per quanto il percorso per il lavoratore sia il medesimo del caso precedente, il datore di lavoro verrà a conoscenza della situazione solo nel momento in cui dovesse ricevere il certificato medico.

Il certificato in questione riporta la dicitura “certificato di malattia professionale” ma, di fatto, la malattia deve prima ricevere il riconoscimento esplicito di “professionale” da parte di INAIL per considerarsi effettiva. Il certificato può essere trasmesso al datore di lavoro dal lavoratore, dal dipartimento di medicina del lavoro o da INAIL: quale che sia il canale, il datore di lavoro deve procedere alla denuncia di malattia professionale entro 5 giorni dal ricevimento del certificato.

La denuncia

L'invio della denuncia di malattia professionale consiste in una procedura online, alla quale si accede attraverso l'area riservata del sito INAIL.

L’invio della denuncia di malattia professionale consiste in una procedura online, alla quale si accede attraverso l’area riservata del sito INAIL. Per evitare difficoltà è utile scaricare prima il manuale specifico e seguirlo passo passo, dopo una prima lettura generale per riuscire a orientarsi nel documento. In sintesi, il datore di lavoro deve riepilogare le attività svolte dal lavoratore presso la sua impresa, aggiungendo dati anagrafici e amministrativi.

INAIL, contestualmente alla richiesta di denuncia o a seguito della presentazione da parte del datore di lavoro, trasmette uno o più questionari differenziati in funzione dei fattori di rischio che sono considerati causa della patologia diagnosticata. Il datore di lavoro deve compilarli in ogni parte pertinente e allegare la documentazione richiesta, in genere relativa alla valutazione dei rischi o a valutazioni di dettaglio.

Il riconoscimento

In caso di riconoscimento della malattia professionale, il lavoratore avrà diritto a prestazioni di carattere economico, sanitario e riabilitativo erogate da parte di INAIL.

Sulla base dei dati forniti dal datore di lavoro attraverso i questionari, un medico del lavoro incarico da INAIL valuta l’effettiva correlazione della patologia all’attività lavorativa. L’esito della valutazione può essere quindi anche un mancato riconoscimento della malattia professionale.

In caso di riconoscimento, il lavoratore avrà diritto a prestazioni di carattere economico, sanitario e riabilitativo erogate da parte di INAIL, mentre sul fronte del datore di lavoro si osserva per la sua impresa una variazione del tasso medio di tariffa INAIL, quindi un aumento del premio assicurativo.

Il DPO, Data Protection Officer

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

Questa figura è obbligatoria solo in alcuni casi specifici:

  • quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (a eccezione delle autorità giurisdizionali che effettuano attività giurisdizionali);
  • quando le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali, reati o a connesse misure di sicurezza.

Nei casi in cui la normativa (GDPR) non impone la designazione, è comunque possibile la nomina di un RPD per scelta volontaria e, nel caso di un gruppo di imprese o soggetti pubblici, è possibile nominare un unico DPO.

Chi può svolgere la funzione di DPO?

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l'importante è che possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi.

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l’importante è che:

  1. possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi;
  2. svolga il suo ruolo con indipendenza e senza conflitti di interesse, e questo significa che non può essere lui a decidere finalità e strumenti di trattamento dei dati personali e che il titolare o il responsabile del trattamento devono fornirgli le risorse necessarie per assolvere ai suoi compiti e accedere ai dati personali e ai trattamenti.

Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi professionali sulle tematiche specifiche è un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

La nomina di DPO deve essere formalizzata e il nominativo dell’incaricato, nonché la sua eventuale variazione e revoca, deve essere comunicata al Garante per la protezione dei dati personali attraverso specifica procedura online.

Quali sono i compiti del RDP?

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP.

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP. I suoi compiti comprendono:

  1. informare e svolgere attività di consulenza verso il titolare o il responsabile del trattamento e gli incaricati del trattamento degli obblighi derivanti dal GDPR e dalle altre norme relative alla protezione dei dati;
  2. sorvegliare sulla corretta gestione del trattamento in osservanza al GDPR e alle altre norme relative alla protezione dei dati, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire un parere, se richiesto, in merito alla DPIA e sorvegliare sul suo svolgimento;
  4. cooperare con l’autorità di controllo rispetto alla quale funge da punto di contatto per questioni connesse al trattamento.

Vuoi approfondire la questione? Puoi scaricare le Linee guida sui responsabili della protezione dei dati (RPD) – WP243 adottate dal Gruppo di lavoro Art. 29.

Non sai più che DPO pigliare? Contattami!

APVR: formazione e addestramento

Con la sigla APVR si fa riferimento agli apparecchi di protezione delle vie respiratorie.

Con la sigla APVR si fa riferimento agli apparecchi di protezione delle vie respiratorie. Il personale che li ha in dotazione deve essere formato e addestrato. Ma quanto dura la formazione e ogni quanto deve essere ripetuta?

APVR: apparecchi di protezione delle vie respiratorie

Per APVR si intendono (D. L.vo 81/08 e ss.mm.ii., allegato VII):

  • apparecchi antipolvere, antigas e contro le polveri radioattive;
  • apparecchi isolanti a presa d’aria;
  • apparecchi respiratori con maschera per saldatura amovibile;
  • apparecchi e attrezzature per sommozzatori;
  • scafandri per sommozzatori.
Un primo elenco degli APVR è contenuto nell'allegato VII del D. L.vo 81/08 e ss.mm.ii.

Formazione e addestramento per gli APVR

Il datore di lavoro deve garantire (art. 74, comma 4 del D. L.vo 81/08 e ss.mm.ii.) che i lavoratori ricevano informazioni adeguate in merito all’utilizzo dei DPI in dotazione e anche formazione e addestramento.

L’addestramento, in particolare, è indispensabile per i DPI di III categoria e i dispositivi di protezione dell’udito (art. 74, comma 5, D. L.vo 81/08 e ss.mm.ii.), e gli APVR rientrano nella prima casistica.

A questo si aggiunge il fatto che l’art. 79 comma 2-bis del D. L.vo 81/08 e ss.mm.ii. richiama la validità del DM 126/01 e che questo decreto ministeriale contiene nell’allegato 2 (punto 7.4 e seguenti) i riferimenti specifici alla formazione e all’addestramento per il personale addetto/incaricato all’uso degli APVR, escludendo gli apparecchi di immersione e quelli per alte quote e pressioni diverse da quelle atmosferiche.

L'addestramento è indispensabile per i DPI di III categoria e i dispositivi di protezione dell'udito, e gli APVR rientrano nella prima casistica.

Il testo è ripreso dalla norma UNI vigente al momento della stesura del decreto (UNI 10720:1998), poi revocata con la pubblicazione della UNI 529:2006, cui è seguita la pubblicazione della UNI 11719:2018. La sostanza però, per quanto riguarda formazione e l’addestramento non è mutata:

  1. è necessario fornire un’informazione e una formazione, sia teorica che pratica (addestramento), prima del primo utilizzo;
  2. è necessario ripetere l’informazione e la formazione a intervalli regolari, da definire in funzione dell’utilizzo effettivo, partendo dal presupposto che maggiore è l’utilizzo dei dispositivi minore può essere la frequenza (ex. nel caso degli autorespiratori, se l’uso è frequente non è necessario ripetere le prove pratiche, mentre, se l’uso è sporadico, le prove pratiche dovrebbero essere semestrali);
  3. la formazione e il suo aggiornamento devono essere affidati a personale competente;
  4. la durata della formazione dipende dal tipo, dalla frequenza e dallo scopo dell’utilizzo (ex. per gli autorespiratori non dovrebbe essere inferiore a 8 ore e può superare le 20 ore).
Prima del primo utilizzo degli APVR è necessario fornire un'informazione e una formazione, sia teorica che pratica (addestramento).

Attenzione agli ambienti confinati

La gestione delle attività in ambienti confinati e/o sospetti di inquinamento deve rispettare le disposizioni del DPR 177/11, che richiama gli articoli 66 e 121 del D. L.vo 81/08, i quali, a loro volta, richiamano l’utilizzo di DPI. In sostanza, quanto riepilogato sinora sull’utilizzo degli APVR resta valido anche in questo ambito per cui, in assenza di indicazioni di dettaglio su contenuti, durata e frequenza di aggiornamento della formazione necessaria per gli operatori in ambienti confinati, il datore di lavoro deve valutare l’idoneità della proposta formativa anche alla luce delle norme in materia di APVR, verificando  se il corso comprenda la formazione sui DPI di interesse e quali siano le relative caratteristiche.

MOG: modello di organizzazione, gestione e controllo

IL Decreto Legislativo 8 giugno 2001 n. 231 ha introdotto nell’ordinamento italiano la responsabilità amministrativa delle persone giuridiche per i reati commessi nell’interesse o a vantaggio delle stesse, prevedendo contemporaneamente una via di difesa attraverso l’adozione e l'efficace attuazione di un modello di organizzazione, gestione e controllo (MOG) o Modello 231.

Il Decreto Legislativo 8 giugno 2001 n. 231 ha introdotto nell’ordinamento italiano la responsabilità amministrativa delle persone giuridiche per i reati commessi nell’interesse o a vantaggio delle stesse, prevedendo contemporaneamente una via di difesa attraverso l’adozione e l’efficace attuazione di un modello di organizzazione, gestione e controllo (MOG) o Modello 231.

Chi sono le persone giuridiche?

I destinatari del Decreto (le persone giuridiche) sono:

  • gli enti forniti di personalità giuridica;
  • le società;
  • le associazioni anche prive di personalità giuridica;
  • gli enti pubblici economici;
  • gli enti privati concessionari di un pubblico servizio.

Che cos’è questa “nuova” responsabilità?

La responsabilità dell'ente sorge soltanto in occasione delle realizzazione di determinati tipi di reati da parte di soggetti legati a vario titolo all’ente, e solo nell’ipotesi che la condotta illecita sia stata realizzata nell’interesse o a vantaggio di esso.

Il Decreto 231 prevede che, in caso di commissione di uno dei reati previsti dal decreto stesso (ex. lesioni gravi o gravissime commesse in violazione delle norme in materia di salute e sicurezza sul lavoro, gestione illecita di rifiuti, reati commessi nei rapporti con la pubblica amministrazione) da parte dei vertici dell’organizzazione o da personale subordinato (ex. dipendenti), sarà soggetto a sanzioni non solo la persona che ha commesso il reato, ma anche l’ente.

La responsabilità dell’ente sorge soltanto nel caso in cui la condotta illecita sia stata realizzata nell’interesse o a vantaggio di esso. Quindi non solo quando il comportamento illecito abbia determinato un vantaggio, patrimoniale o meno, per l’ente, ma anche qualora, pur in assenza di tale concreto risultato, il fatto-reato trovi ragione nell’interesse dell’ente.

L’elenco dei cosiddetti reati- presupposto, ossia dei reati la cui commissione può comportare l’applicazione del D. L.vo 231/01 e, quindi, la responsabilità dell’ente, è stato progressivamente ampliato.

Quali sono le sanzioni?

Il decreto 231 prevede sempre la sanzione pecuniaria, alla quale si aggiungono sanzioni interdittive, la confisca e la pubblicazione della sentenza.

Si applica sempre la sanzione pecuniaria, che viene determinata in quote, in numero non inferiore a cento né superiore a mille. L’importo di una quota va da un minimo di euro 258.23 a un massimo di euro 1549.37. Questa sanzione viene definita in funzione delle condizioni economiche e patrimoniali dell’ente, della gravità del fatto, del grado di responsabilità e delle azioni messe in atto per eliminare o attenuare le conseguenze del reato e prevenire la commissioni di ulteriori illeciti.

Alla sanzione pecuniaria si aggiungono:

  1. le sanzioni interdittive (interdizione dell’esercizio dell’attività, sospensione o revoca di autorizzazioni, licenze o concessioni funzionali alla commissione del reato, divieto di contrattare con la pubblica amministrazione, esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi, il divieto di pubblicizzare beni o servizi);
  2. la confisca;
  3. la pubblicazione della sentenza.

Il MOG: esonero di responsabilità

L’art. 6 del Decreto 231 contempla l’esonero dell’ente da responsabilità se dimostra che, prima della commissione del fatto, fossero presenti determinate condizioni, diverse in base alla posizione ricoperta dai soggetti responsabili della commissione del reato stesso.

L’art. 6 del Decreto 231 contempla l’esonero dell’ente da responsabilità se dimostra che, prima della commissione del fatto, fossero presenti determinate condizioni, diverse in base alla posizione ricoperta dai soggetti responsabili della commissione del reato stesso.

Nel caso il reato sia stato commesso da un soggetto in posizione apicale, l’ente deve provare:

  1. di aver adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo (MOG) idoneo a prevenire la realizzazione degli illeciti penali previsti;
  2. di aver affidato il compito di vigilare sul funzionamento e sull’osservanza dei modelli ad un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza);
  3. che le persone che hanno commesso il reato lo abbiano fatto eludendo fraudolentemente i modelli di organizzazione e di gestione;
  4. che non vi è stata omessa o insufficiente vigilanza da parte dell’organismo a ciò preposto
Nel caso il reato sia stato commesso da soggetti sottoposti ad altri, l’ente deve provare di aver adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo (MOG) idoneo a prevenire reati della stessa specie di quello verificatosi.

Nel caso il reato sia stato commesso da soggetti sottoposti ad altri, l’ente deve provare di aver adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo (MOG) idoneo a prevenire reati della stessa specie di quello verificatosi. L’ente, infatti, sarebbe responsabile qualora la commissione del reato fosse resa possibile dall’inosservanza degli obblighi di direzione e di vigilanza, che è esclusa quando si verifica la condizione di un MOG efficacemente attuato.

L’efficacia del modello deve essere garantita attraverso:

  1. la verifica costante della sua corretta applicazione;
  2. l’adozione di un adeguato sistema sanzionatorio.

Com’è fatto un MOG?

Il Modello 231 o MOG è un insieme di documenti e attività.

Il Modello 231 è un insieme di documenti e attività con cui l’organizzazione:

  • individua i reati, tra quelli previsti dal Decreto 231, che possono essere attuati al proprio interno;
  • definisce le procedure operative volte a prevenire la loro commissione e “a scoprire ed eliminare tempestivamente situazioni di rischio“;
  • definisce le modalità con cui il modello stesso viene verificato periodicamente in modo autonomo e indipendente, prevedendo la nomina di un Organismo di Vigilanza;
  • definisce le sanzioni che l’ente applica a chi viola le regole definite dal MOG.

Potrei dire che è un upgrade dei sistemi di gestione, con i quali è buona cosa che si interfacci.

La formazione sulla privacy è obbligatoria?

Predisporre i documenti e nominare responsabili e incaricati al trattamento è sufficiente per rispettare il GDPR? No! Manca la formazione sulla privacy.

Predisporre le informative, il registro dei trattamenti, la valutazione d’impatto, nominare responsabili del trattamento e incaricati al trattamento è sufficiente per adempiere gli obblighi previsti dal GDPR? Non del tutto: manca la formazione sulla privacy!

Quali sono le caratteristiche della formazione privacy?

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento. La logica è quella di formare il personale che partecipa al trattamento dei dati (a partire da chi ha accesso permanente o regolare ai dati) e alle attività di controllo in funzione del tipo di dati trattati, dei trattamenti effettuati e delle misure di protezione messe in atto dal titolare del trattamento.

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento.

In termini di aggiornamento sarà la variazione di una di queste componenti (dati, trattamenti e sistemi di protezione) a richiedere di adeguare la formazione degli addetti, piuttosto che una variazione della funzione dell’addetto che comporti un diverso accesso ai dati o diverse modalità di trattamento e di gestione.

Come ogni altro aspetto della gestione privacy rispetto al GDPR, quindi, anche la formazione risulta una misura che il titolare deve definire in modo autonomo in funzione dei rischi per la protezione dei dati che ha individuato e valutato.

Chi dice che è obbligatoria?

La formazione può essere una misura organizzativa che il titolare ha definito come necessaria per garantire il rispetto delle procedure di trattamento e protezione dei dati che ha deciso di attuare. E questo sarebbe di per sé sufficiente a rendere obbligatoria l’attività di formazione.

Il GDPR ha previsto in maniera esplicita l'obbligo di formazione all'articolo 29.

Ma il GDPR ha previsto in maniera esplicita l’obbligo di formazione all’articolo 29:

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Detto n altre parole, l’articolo 29 dice che, con l’eccezione dei casi in cui il trattamento è previsto dal diritto dell’Unione Europea o degli Stati membri dell’Unione, tanto i responsabili quanto gli incaricati non sono autorizzati a trattare i dati personali se non sono stati formati (istruiti) dal titolare del trattamento.

Se ne può occupare il responsabile della protezione dei dati?

Il DPO è sicuramente una figura competente in materia. Il problema si pone più che altro rispetto alla finalità del suo compito.

La premessa essenziale è che il responsabile della protezione dei dati (o data protection officer – DPO) non è una figura obbligatoria in tutte le organizzazioni, ma è una “prerogativa” delle autorità pubbliche e delle organizzazioni che effettuano trattamenti su larga scala.

Il DPO è sicuramente una figura competente in materia, dato che uno dei requisiti per svolgere la funzione è quella della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati“. Il problema si pone più che altro rispetto alla finalità del suo compito, che è informativa e di consulenza verso il titolare e il responsabile del trattamento, e di vigilanza in relazione agli aspetti di formazione del personale.

Sarebbe quindi opportuno che la formazione non venisse svolta da un soggetto qualificato come DPO all’interno della struttura per la quale svolge tale funzione.

Ma ci sono sanzioni?

L’obbligo di formazione sulla privacy non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie

L’obbligo di formazione non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie. La norma parla di numeri che fanno paura (sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). L’ammontare effettivo dipende da una serie di fattori che sono oggetto di valutazione da parte del Garante (ex. natura, gravità e durata della violazione, carattere doloso o colposo della violazione). Questo non toglie il fatto che la mancata formazione in materia di privacy risulta una violazione sanzionabile .