Privacy e decreto whistleblowing

Dal 15 luglio 2023 sono in vigore le disposizioni del decreto whistleblowing: adeguarsi richiede di aggiornare la gestione privacy aziendale.

Dal 15 luglio scorso (2023) sono in vigore le disposizioni del cosiddetto decreto whistleblowing, il D. L.vo 24/2023. Il decreto richiede a diverse tipologie di organizzazioni di definire procedure idonee a consentire alle persone che, nell’ambito della propria attività lavorativa o professionale, rilevano violazioni del diritto dell’Unione e delle disposizioni normative nazionali, di segnalarle, risultando protette e tutelate da ogni forma di ritorsione. In questo adeguamento organizzativo è però necessario tenere conto degli effetti sulla gestione della privacy aziendale.

Organizzazioni interessate dal decreto whistleblowing

Il decreto si applica a tutti i soggetti del settore pubblico e a quelli del settore privato che ricadono in una di queste categorie:

  1. organizzazioni che hanno impiegato nell’ultimo anno la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo determinato o indeterminato;
  2. organizzazioni che rientrano nell’ambito di applicazione di specifici atti dell’Unione europea elencati nell’allegato al decreto (parte 1B e 2), a prescindere dalla media di lavoratori subordinati;
  3. organizzazioni che adottano modelli di organizzazione e gestione ai sensi del D. L.vo 231/01 e ss.mm.ii., a prescindere dalla media di lavoratori subordinati.
Il decreto richiede a diverse tipologie di organizzazioni di definire procedure idonee a consentire alle persone che, nell’ambito della propria attività lavorativa o professionale, rilevano violazioni del diritto dell’Unione e delle disposizioni normative nazionali, di segnalarle, risultando protette e tutelate da ogni forma di ritorsione

Rispetto agli atti dell’Unione europea richiamati al punto 2, la molteplicità di ambiti è ampia e variegata:

  • servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
  • sicurezza e conformità dei prodotti;
  • commercializzazione e utilizzo di prodotti sensibili e pericolosi;
  • sicurezza dei trasporti (settore stradale e marittimo);
  • tutela dell’ambiente (norme su ambiente e clima, sullo sviluppo sostenibile, la gestione dei rifiuti, l’inquinamento marino, atmosferico e acustico, la protezione e gestione delle acque e del suolo, la protezione della natura e della biodiversità);
  • sostanze chimiche;
  • prodotti biologici;
  • radioprotezione e sicurezza nucleare;
  • salute, protezione e benessere degli animali;
  • salute pubblica, diritti dei pazienti;
  • lavorazione, presentazione e vendita dei prodotti del tabacco e dei prodotti correlati;
  • protezione dei consumatori;
  • tutela della vita privata e dei dati personali e sicurezza delle reti e dei sistemi informativi.
Il decreto whistleblowing introduce nuovi trattamenti di dati personali nell'ambito dell'organizzazione, quindi tali trattamenti devono essere correttamente individuati e gestiti.

Gli aspetti di rilievo sul fronte della protezione dei dati

Il decreto whistleblowing introduce nuovi trattamenti di dati personali nell’ambito dell’organizzazione, quindi tali trattamenti devono essere correttamente individuati e gestiti.

Un primo passo per la corretta gestione lato privacy è proprio l’aggiornamento del registro dei trattamenti o della DPIA, il che significa anche mettere a fuoco le corrette misure di sicurezza tecniche e organizzative finalizzate a garantire la protezione dei dati personali coinvolti. Per esempio il titolare dovrà preoccuparsi di:

  • scegliere modalità di gestione delle segnalazioni ed eventuali piattaforme online che rispettino non solo i requisiti previsti dal decreto whistleblowing ma anche quelli della normativa privacy;
  • individuare e formare gli incaricati al trattamento anche in relazione ai nuovi trattamenti previsti dal decreto whistleblowing.
Il titolare dovrà preoccuparsi di individuare e formare gli incaricati al trattamento anche in relazione ai nuovi trattamenti previsti dal decreto whistleblowing.

L’adeguamento della gestione privacy richiede inoltre lo sviluppo di idonee informative per l’interessato, prevedendo, ove necessario, l’espressione di un consenso esplicito.

Un recente approfondimento proposto dall’associazione Federprivacy ha sottolineato come i trattamenti dei dati introdotti dal decreto whistleblowing siano fondati in generale sulla base giuridica dell’adempimento di un obbligo legale, con due eccezioni:

  • la rivelazione dell’identità del segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, come nel caso in cui la segnalazione fosse l’elemento fondante del procedimento disciplinare che l’impresa mette in atto nei confronti del soggetto che ha commesso la violazione oggetto della segnalazione;
  • la conservazione e documentazione della segnalazione, nel caso in cui venga effettuata attraverso una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, oppure quando, su richiesta della persona segnalante, la segnalazione è effettuata oralmente nel corso di un incontro con il personale addetto.
I trattamenti dei dati introdotti dal decreto whistleblowing sono fondati in generale sulla base giuridica dell’adempimento di un obbligo legale, con due eccezioni.

In questi due casi, è la stessa norma di riferimento (il decreto whistleblowing) a richiedere il consenso espresso dell’interessato (il segnalante) quale condizione di liceità del trattamento.

Novità diisocianati e note sulle schede di sicurezza

Da agosto 2023 entreranno in vigore restrizioni sull'utilizzo dei diisocianati, con effetti sui produttori ma anche sugli utilizzatori.

Per effetto del Regolamento (UE) 2020/1149, da agosto 2023 entreranno in vigore alcune restrizioni sull’utilizzo dei diisocianati, con effetti sui produttori di sostanze che li contengono ma anche sugli utilizzatori.

Limitazione e vincoli per l’utilizzo dei diisocianati

Il Regolamento 1149 ha stabilito che dal 24 agosto 2023 i diisocianati non potranno essere utilizzati da soli o come costituenti in altre sostanze o in miscele per usi industriali e professionali a meno che:

  • la concentrazione di diisocianati, considerati singolarmente e in combinazione, sia inferiore allo 0,1 % in peso;
  • il datore di lavoro o il lavoratore autonomo garantisca che gli utilizzatori industriali o professionali abbiano completato con esito positivo una formazione sull’uso sicuro dei diisocianati prima di utilizzare le sostanze o le miscele.
I diisocianati sono oggetto di una classificazione armonizzata come sensibilizzanti delle vie respiratorie di categoria 1 e come sensibilizzanti della pelle di categoria 1.

Perché la limitazione

Il primo considerando del Regolamento 1149 spiega che “i diisocianati sono oggetto di una classificazione armonizzata come sensibilizzanti delle vie respiratorie di categoria 1 e come sensibilizzanti della pelle di categoria 1 a norma del regolamento (CE) n. 1272/2008 del Parlamento europeo e del Consiglio“.

Dove si trovano i diisocianati

Sempre il primo considerando del Regolamento 1149 fa presente che i diisocianati “sono utilizzati come componenti chimici di base in un’ampia gamma di settori e applicazioni, in particolare in schiume, sigillanti e rivestimenti, tra l’altro, in tutta l’Unione“.

I diisocianati sono utilizzati come componenti chimici di base in un’ampia gamma di settori e applicazioni, in particolare in schiume, sigillanti e rivestimenti.

Cosa devono fare i datori di lavoro

Una delle risposte ai nuovi obblighi è stata la definizione dei corsi sui diisocianati come obbligatori per tutti. Pensare di formare il personale a prescindere da ogni valutazione però non è a mio avviso sostenibile (perchè bisogna comunque definire la tipologia di formazione da erogare e poi mantenerla aggiornata), oltre che scorretto rispetto alle previsioni di legge.

La strada più corretta da seguire è quella di partire dalla valutazione dei rischi:

  1. una volta analizzate le schede di sicurezza dei prodotti in uso, si dovrà integrare o aggiornare il documento di valutazione dei rischi o, in particolare, la valutazione del rischio chimico per rendere conto della presenza o dell’assenza del rischio e delle relative misure di prevenzione e protezione (ex. sostituzione di alcuni prodotti);
  2. nei casi in cui si rilevi l’utilizzo di prodotti contenenti isocianati in concentrazione superiore allo 0,1% in peso senza possibilità di una loro sostituzione, allora si dovrà definire l’obbligo di formazione, individuando i soggetti coinvolti e il tipo di formazione da erogare.
Il primo passo per adeguarsi alla nuova normativa sui diisocianati è valutare il rischio.

Requisiti della formazione sui diisocianati

La formazione sui diisocianati:

  • non è obbligatoria per tutti dal 24 agosto 2023, ma solo per i soggetti che utilizzano prodotti che contengono questi composti chimici in quantità superiore allo 0,1% in peso;
  • ha contenuti definiti dal Regolamento (UE) 2020/1149, che distingue tre livelli di formazione a seconda degli usi dei prodotti contenenti diisocianati, e quindi del grado di rischio. Si distinguono formazione generale, intermedia e avanzata;
  • deve essere erogata da un esperto in materia di salute e sicurezza sul lavoro, con competenze acquisite attraverso una pertinente formazione professionale;
  • deve essere aggiornata ogni 5 anni;
  • può essere erogata anche in modalità online.

Non è quindi definita una durata minima della formazione.

La formazione sui diisocianati deve essere erogata da un esperto in materia di salute e sicurezza sul lavoro, con competenze acquisite attraverso una pertinente formazione professionale.

A proposito delle schede di sicurezza

Le schede di sicurezza o SDS (Scheda Dati Sicurezza) sono un documento che deve accompagnare ogni fornitura di prodotti e sostanze chimiche.

Sono documenti essenziali per:

  • redigere la valutazione del rischio chimico;
  • individuare i DPI adeguati per proteggere chi utilizza il prodotto o la sostanza;
  • conoscere incompatibilità e rischi connessi all’utilizzo di un dato prodotto o di una data sostanza;
  • intervenire in modo corretto in caso di emergenza (ex. incendio, sversamento).

Ci sono due indicazioni in particolari che non mi stancherò mai di ripetere:
1. le schede di sicurezza devono essere aggiornate periodicamente (facendone richiesta al fornitore);
2. le SDS devono essere messe a disposizione degli utilizzatori.

Le schede di sicurezza sono documenti essenziali per individuare i DPI adeguati per proteggersi durante l'utilizzo dello specifico prodotto.

A proposito di aggiornamento delle schede: dall’1 gennaio 20223 tutte le SDS devono essere realizzate in conformità al formato aggiornato ai sensi del Regolamento (UE) 878/2020, il che significa che è il momento di chiederne copia aggiornata ai propri fornitori (anche se i produttori sono un po’ in ritardo nell’adeguamento).

Mentre tornando sul tema della messa a disposizione nel luogo di utilizzo, aggiungo un ultimo dettaglio: gli utilizzatori devono essere in grado di leggere i contenuti delle SDS, quindi bisogna formarli su questo argomento, schede alla mano!

Alternanza scuola lavoro e sicurezza

L'entrata in vigore del Decreto Lavoro ha riportato alla ribalta un tema essenziale lato sicurezza: la gestione dei rapporti di alternanza scuola lavoro.

L’entrata in vigore del Decreto Lavoro ha riportato alla ribalta un tema essenziale lato sicurezza: la gestione dei rapporti di alternanza scuola lavoro. Che cosa bisogna fare? Cosa cambia rispetto al passato?

Le imprese iscritte nel registro nazionale per l'alternanza integrano il proprio documento di valutazione dei rischi con un'apposita sezione.

Decreto 48/2023: alternanza scuola lavoro e sicurezza

L’articolo 17 del Decreto Lavoro, pubblicato in Gazzetta ufficiale il 04 maggio 2023 ed entrato in vigore il giorno successivo, ha introdotto il comma 784-quater all’art.1 della Legge 145 del 30/12/2018, che recita:

Le imprese iscritte nel registro nazionale per l’alternanza integrano il proprio documento di valutazione dei rischi con un’apposita sezione ove sono indicate le misure specifiche di prevenzione dei rischi e i dispositivi di protezione individuale da adottare per gli studenti nei percorsi per le competenze trasversali e per l’orientamento. L’integrazione al documento di valutazione dei rischi è fornita all’istituzione scolastica ed è allegata alla Convenzione.

Serve una valutazione del rischio specifica perché gli studenti, per questioni di età e di esperienza, potrebbero trovarsi a svolgere attività che non si inquadrano perfettamente in quelle previste per le mansioni definite per i lavoratori dipendenti.

Cosa cambia rispetto al passato?

Si tratta certamente di una modifica importante del testo di legge relativo all’alternanza scuola lavoro, nella misura in cui rende esplicito l’obbligo di valutazione dei rischi, il suo contenuto e le modalità di condivisione tra l’istituto scolastico e l’azienda. Di fatto, però, non è una vera e propria novità sul fronte della salute e sicurezza nei luoghi di lavoro: la definizione di lavoratore contenuta nel Testo Unico Sicurezza faceva già ricadere gli studenti in alternanza tra i soggetti rispetto ai quali il datore di lavoro avrebbe dovuto effettuare la valutazione dei rischi, e non sono rare le imprese in possesso di un DVR comprensivo della valutazione specifica di questa attività.

Perché una valutazione specifica per l’alternanza scuola lavoro?

Perché gli studenti, per questioni di età e di esperienza, potrebbero trovarsi a svolgere attività che non si inquadrano perfettamente in quelle previste per le mansioni definite per i lavoratori dipendenti: una prima necessità potrebbe proprio essere quella di precisare i confini della loro operatività in azienda.

La definizione di lavoratore contenuta nel Testo Unico Sicurezza faceva già ricadere gli studenti in alternanza tra i soggetti rispetto ai quali il datore di lavoro avrebbe dovuto effettuare la valutazione dei rischi.

Ne seguirebbe una diversa identificazione dei pericoli a cui possono essere esposti e una diversa quantificazione dei rischi associati. Per cui le misure di prevenzione e protezione potrebbero essere tipiche, cioè diverse rispetto a quelle associate alle altre mansioni lavorative.

Il fatto che la valutazione debba essere specifica, non significa che sia necessario produrre un allegato al DVR. Al contrario, si può pensare a un capitolo dedicato oppure a una sezione del documento principale. Il fatto di rendere la valutazione autonoma rispetto al documentazione principale ha però il vantaggio di semplificare lo scambio con l’istituto scolastico e di contenere la quantità di informazioni aziendali che vengono trasferite all’esterno, a integrazione della convenzione scuola-azienda.

L'integrazione del DVR relativa all'alternanza scuola lavoro deve essere allegata alla convenzione tra scuola e impresa.

L’importanza dello scambio informativo

L’aspetto che ritengo più rilevante rispetto a questa novità normativa, è invece lo scambio documentale tra azienda e istituto scolastico, la cui finalità deve essere di coordinamento piuttosto che di mero passaggio di carte. Lo studente in alternanza scuola lavoro si trova infatti in una condizione intermedia tra scuola e lavoro, senza essere mero visitatore in azienda ma neppure pienamente inserito nelle dinamiche aziendali. Il coordinamento tra scuola e azienda ha quindi la possibilità di mantenere aperti due canali di vigilanza e di sensibilizzazione, a tutela effettiva dello studente.

Cybersecurity e privacy

Non è più possibile pensare di adeguarsi alla normativa privacy senza preoccuparsi delle scelte di cybersecurity.

In un mondo del lavoro sempre più digitalizzato anche i dati, i loro trattamenti e la relativa conservazione vivono e si realizzano su pc o in internet piuttosto che su carta. Questo passaggio interessa anche i dati personali che devono essere adeguatamente protetti attraverso misure di sicurezza informatica, o cybersecurity. Non è più possibile pensare di adeguarsi alla normativa privacy senza preoccuparsi delle scelte di sicurezza informatica: DPO o consulente privacy devono interfacciarsi con il fornitore aziendale dei servizi IT.

Esempi di sicurezza informatica

La gestione delle password è una misura di cybersecurity: le password sono la chiave di accesso ai dispositivi su cui vengono salvati i dati oppure ad applicazioni (app) e aree riservate in cui sono salvati dati personali. La definizione di una procedura aziendale di generazione, conservazione e aggiornamento delle password è uno dei primi elementi di sicurezza informatica che è opportuno verificare nell’ottica di garantire la protezione dei dati personali, oltre che di ogni altro dato salvato e utilizzato dall’azienda.

La corretta gestione delle password è la prima misura di sicurezza informatica per la protezione dei dati personali.

La protezione antivirus del PC è un’altra comune misura di sicurezza informatica. Si dovrebbe parlare in termini più generale di protezione anti-malware, cioè contro qualunque software nocivo sviluppato per prende di mira computer o reti. Ne esistono di diversi tipi (virus, ransomware, adware, spyware, worm e trojan), che si differenziano per la modalità di funzionamento, ma la logica è sempre la stessa: rendere inutilizzabili i dati o il dispositivo. Per questo motivo tra le misure di sicurezza in ottica privacy si deve comprendere anche la scelta e l’aggiornamento della protezione anti-malware della rete informatica.

L’evoluzione tecnologica digitale porta con sé anche forme sempre nuove di minacce ai sistemi e ai dati: phising, smishing, vishing e juice jacking sono i nomi di alcune di queste “trappole“. Conoscerne il nome, il significato e, quindi, la dinamica significa ridurre il rischio di farsi prendere all’amo. Anche la formazione rispetto ai comportamenti corretti per evitare di cadere vittima di attacchi informatici è una misura di sicurezza informatica, e può (dovrebbe) essere integrata in quella in materia di trattamento dei dati personali per ogni addetto al trattamento.

La protezione antivirus del PC è una comune misura di sicurezza informatica.

Quali misure di cybersecurity adottare?

Non esiste una lista esaustiva di misure che il tecnico informatico, per conto del titolare del trattamento, deve mettere in atto per garantire la conformità dell’assetto di cybersecurity rispetto al GPDR: il Regolamento richiede che le misure di sicurezza siano determinate dal titolare del trattamento in funzione della specificità dei trattamenti che esegue, avendo come obiettivo quello di garantire un livello di sicurezza adeguato rispetto all’entità del rischio connesso ai trattamenti stessi. Per questo è essenziale un confronto tra DPO o consulente privacy e fornitore aziendale dei servizi IT.

La denuncia e la verifica dell’impianto di messa a terra

La verifica dell'impianto di messa a terra è un obbligo a carico di ogni datore di lavoro.

Ogni impianto elettrico realizzato a regola d’arte (quindi nel rispetto delle norme di riferimento) ha una componente di sicurezza chiamata impianto di messa a terra. Per effetto del DPR 462/01, ogni datore di lavoro è tenuto a gestire tale impianto provvedendo alla denuncia a INAIL e alle verifiche periodiche.

Il datore di lavoro deve denunciare l'impianto di messa a terra entro 30 giorni dalla messa in esercizio.

La denuncia a INAIL dell’impianto di messa a terra

Entro 30 giorni dalla messa in esercizio dell’impianto di messa a terra, il datore di lavoro deve provvedere a denunciarlo all’INAIL. In pratica questo significa che il datore di lavoro deve:

  1. richiedere all’installatore la dichiarazione di conformità dell’impianto di messa a terra (generalmente inclusa nella dichiarazione di conformità dell’impianto elettrico);
  2. procedere a compilare una nuova istanza di “denuncia di impianto elettrico di messa a terra” attraverso il portale CIVA, a cui si accede tramite l’area riservata del sito INAIL.
Ogni impianto elettrico realizzato ad arte ha una componente di sicurezza chiamata impianto di messa a terra. Per effetto del DPR 462/01, ogni datore di lavoro è tenuto a gestire tale impianto provvedendo alla denuncia a INAIL.

A seguito della denuncia, INAIL provvede alla verifica di completezza della pratica, che deve comprendere il pagamento della prestazioni di verifica pari a € 30 (l’avviso di pagamento è generato automaticamente dal portale), quindi trasmette al datore di lavoro la ricevuta di immatricolazione dell’impianto di messa a terra.

Verifica periodica della messa a terra

Il datore di lavoro deve inoltre far sottoporre l’impianto di messa a terra a verifica periodica da parte di soggetti abilitati. L’abilitazione è attestata mediante decreto del Ministero dello sviluppo economico, consultabile sul sito ministeriale oppure da richiedere al soggetto abilitato individuato.

Il datore di lavoro deve inoltre far sottoporre l'impianto di messa a terra a verifica periodica da parte di soggetti abilitati.

La verifica periodica ha frequenza quinquennale, tranne che per gli impianti di messa a terra installati

  1. nei cantieri;
  2. in locali adibiti a uso medico;
  3. in ambienti a maggior rischio in caso di incendio (elevato carico di incendio o presenza di attività soggette ai controlli dei Vigili del Fuoco ai sensi del D.P.R. 151/2011);

per i quali la frequenza di verifica è biennale.

Comunicazione a INAIL del soggetto abilitato

Il DPR 462/01 prevede che il datore di lavoro comunichi tempestivamente a INAIL, per via informatica, il nominativo dell’organismo che ha incaricato di effettuare le verifiche. Tale comunicazione avviene mediante una sezione dedicata del portale CIVA. Di fatto non è definito un arco temporale specifico entro cui provvedere, ma suggerisco di procedere non appena ricevuto il verbale di verifica dell’impianto da parte del soggetto abilitato e incaricato.

Il DPR 462/01 prevede che il datore di lavoro comunichi tempestivamente a INAIL, per via informatica, il nominativo dell’organismo che ha incaricato di effettuare le verifiche.

Comunicazione a INAIL di modifiche sostanziali e cessazione dell’impianto

Sempre per effetto del DPR 462/01, il datore di lavoro è tenuto a comunicazione tempestivamente a INAIL:

  • le modifiche sostanziali dell’impianto di messa a terra, intese come ampliamento e/o trasformazione;
  • la cessazione dell’impianto (la messa fuori servizio o la demolizione).

Entrambi questi tipi di comunicazioni devono essere gestite tramite il portale CIVA.

Le modifiche sostanziali dell'impianto di messa a terra, intese come ampliamento e/o trasformazione, devono essere comunicate a INAIL.

Se l’impianto è condominiale

Nel caso in cui il datore di lavoro abbia disponibilità giuridica (come proprietario o come affittuario) di un ambiente di lavoro che ricade in un contesto condominiale, potrebbe non disporre della documentazione inerente l’impianto di messa a terra in quanto questo è di norma comune per l’intero condominio. In questo caso, non sarà il datore di lavoro a dover gestire le pratiche, ma l’amministratore di condominio e il datore di lavoro potrà chiedere evidenza della gestione a quest’ultimo.

Corso dirigenti per la sicurezza: tutte le caratteristiche

Il corso dirigenti sicurezza è normato dallo stesso Accordo Stato - Regioni (21 dicembre 2021) che ha definito la formazione generale e specifica dei lavoratori e la formazione aggiuntiva dei preposti.

Il corso dirigenti sicurezza è normato dallo stesso Accordo Stato – Regioni (21 dicembre 2021) che ha definito la formazione generale e specifica dei lavoratori e la formazione aggiuntiva dei preposti, ma è un corso “alternativo” ai due precedenti. Mi spiego meglio e raccolgo tutti i dettagli che lo riguardano.

Caratteristiche del corso dirigenti

Il corso dirigenti ha una durata di 16 ore, qualunque sia il settore di appartenenza dell’azienda, ed è soggetto a un obbligo di aggiornamento quinquennale di almeno 6 ore.

Il corso dirigenti ha una durata di 16 ore, qualunque sia il settore di appartenenza dell'azienda.

Parlo del corso dirigenti in termini di “alternativa” alla formazione lavoratori e preposti perché la norma prevede che i dirigenti svolgano un corso di formazione dedicato, che di fatto è sostitutivo della formazione generale e specifica e del corso preposto. Per guardare la questione da un’altra prospettiva:

  • se bisogna formare un dirigente, lo si iscrive solo al corso dirigente, non serve che faccia prima il corso lavoratori e il corso preposto;
  • una persona con formazione di dirigente che dovesse cambiare mansione e scendere nella scala gerarchica non dovrebbe seguire un nuovo corso di formazione come lavoratore o preposto, ma il suo corso dirigente esaurirebbe già l’esigenza formativa e si dovrebbe solo mantenere l’aggiornamento quinquennale (da scegliere in funzione del ruolo, quindi come lavoratore o come preposto).
Il corso dirigenti per la sicurezza è sostitutivo della formazione generale e specifica e del corso preposto.

Ma chi deve frequentare il corso dirigenti sicurezza?

I dirigenti, cioè i soggetti espressamente delegati dal datore di lavoro per gestire una specifica “porzione” dell’azienda (un ufficio, un reparto, una divisione), compresi gli aspetti di salute e sicurezza sul lavoro che la riguardano.

I loro doversi sono elencati nell’art. 18 del Testo Unico Sicurezza, insieme a quelli del datore di lavoro. In sostanza i dirigenti sostituiscono il datore di lavoro nella gestione della sicurezza dell’ufficio/reparto/divisione sui quali hanno potere direttivo, con la sola eccezione di due compiti: la valutazione dei rischi e la nomina del RSPP.

Il corso dirigenti per la sicurezza deve essere frequentato dai dirigenti, cioè dai soggetti espressamente delegati dal datore di lavoro per gestire una specifica "porzione" dell'azienda.

I vantaggi del corso aziendale

Nel caso di presenza di più figure dirigenziali in azienda, il mio consiglio è di favorire l’organizzazione di un corso dirigenti aziendale piuttosto che iscrivere i singoli dirigenti a diverse edizioni o corsi distinti organizzati da una società di formazione. Questo perché i dirigenti devono tradurre in azioni concrete i concetti che vengono trasmessi in fase di formazione e, in genere, questa traduzione avviene già durante la formazione. Il fatto che i dirigenti di una stessa azienda ricevano indicazioni unitarie o individuino le declinazioni operative in modo uniforme fa sì che l’organizzazione nel complesso abbia un approccio uniforme rispetto alla sicurezza e alla gestione dei rapporti con le figure che occupano i livelli gerarchici sottostanti.

Titolare del trattamento, cotitolare e responsabile esterno

Come si distinguono titolare del trattamento, cotitolare e responsabile esterno?

Individuare i soggetti coinvolti nel trattamento dei dati e il loro ruolo è il primo passo per la corretta gestione della privacy. Per questo motivo, dopo aver chiarito la distinzione tra responsabile esterno del trattamento e terze parti, oggi faccio un passo indietro e mi concentro sulla distinzione tra titolare del trattamento, cotitolare e responsabile esterno.

Chi è il titolare del trattamento

Il titolare è il soggetto che ha potere decisionale in merito alle finalità e ai mezzi del trattamento e li determina. La sua individuazione è operativa, cioè si tratta di verificare chi in termini pratici definisce finalità e mezzi (tecnici e organizzativi) del trattamento dei dati personali, a prescindere da designazioni o altri incarichi formali.

Il titolare del trattamento determina finalità e mezzi del trattamento dei dati.

Non è necessario che il titolare del trattamento abbia effettivamente accesso ai dati personali che vengono trattati per essere qualificato come tale, l’elemento determinante è la sua influenza sul trattamento. Per esempio l’affidamento di operazioni di trattamento specifiche (ex. gestione delle buste paga) o della gestione della sicurezza (ex. incarico a un società di consulenza informatica) ad altri soggetti è un elemento che conferma il ruolo apicale del soggetto e contribuisce alla sua individuazione quale titolare del trattamento.

Chi è il cotitolare del trattamento

La definizione di titolare del trattamento contenuta nell’art. 4.7 del GDPR prevede la possibilità che finalità e mezzi del trattamento dei dati personali siano determinati da più soggetti contemporaneamente. I soggetti (due o più) che risultano coinvolti in una o più attività di trattamento degli stessi dati personali e ne determinano congiuntamente le finalità e i mezzi assumono la qualifica di contitolari. Se manca la condivisione della finalità e dei mezzi (essenziali) non vi è contitolarità ma vi saranno rapporti tra titolari autonomi o tra titolare e responsabile esterno.

I cotitolari sono i soggetti che determinano insieme finalità e mezzi del trattamento dei dati.

Alcuni dettagli per riuscire a mettere a fuoco la cotitolarità:

  • la mera esistenza di un beneficio economico o commerciale comune tra le parti non è sufficiente per determinare la cotitolarità del trattamento;
  • la partecipazione congiunta può assumere la forma di una decisione comune o derivare dalla convergenza delle decisioni assunte (le decisioni si completano a vicenda e sono
    necessarie ai fini della realizzazione del trattamento e della definizione di finalità e mezzi);
  • il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti,
    nel senso che il trattamento di un soggetto è inscindibile da quello dell’altro cotitolare;
  • la compartecipazione rispetto alle finalità del trattamento può manifestarsi sia come condivisione di un stesso obiettivo sia nella complementarietà di obiettivi distinti;
  • per quanto riguarda i mezzi, la determinazione comune può riguardare alcuni e non tutti i mezzi, anche in fasi distinte dell’attività di trattamento nel suo complesso. I mezzi che determinano la cotitolarità sono quelli essenziali al trattamento (distinguendoli rispetto a mezzi non essenziali o accessori).

Chi è il responsabile esterno del trattamento

Il responsabile esterno è “la persona fisica o giuridica, l’autorità pubblica, il servizio o
altro organismo che tratta dati personali per conto del titolare del trattamento
“. Si tratta cioè di un soggetto a cui il titolare si rivolge perché svolga attività specialistiche che non è in grado o non desidera svolgere direttamente. Nel momento in cui il titolare sceglie di esternalizzare determinati servizi o processi, il titolare consente a un soggetto terzo (cioè diverso dall’interessato, dal titolare e dalla sua struttura organizzativa) di accedere ai dati personali necessari per svolgere le attività che gli vuole affidare.

Nel momento in cui il titolare affidata all'esterno servizi specifici determina un rapporto con responsabile esterni del trattamento dei dati personali.

Perché il responsabile esterno sia tale:

  • il soggetto esterno deve trattare i dati personali del titolare operando sotto la sua
    autorità, quindi vincolato a standard di prestazione e di comportamento ben definiti nelle istruzioni (data processing agreement) che il titolare è tenuto a fornire al responsabile;
  • il soggetto esterno può conservare una parziale autonomia nella concreta configurazione del servizio e su alcune scelte tecnico-operative, ma non in merito alle finalità e alle modalità di utilizzo dei dati, che spettano esclusivamente al titolare del trattamento.

Il responsabile esterno ha quindi un ruolo strumentale rispetto alle decisioni del titolare, in caso contrario si tratta di una figura assimilata a quella del titolare.

Soggetti destinatari dei dati personali o terze parti

I dati trasferiti dal titolare del trattamento a soggetti esterni all'azienda sono numerosi. Bisogna distinguere i destinatari dei dati o terze parti, da altre tipologie di soggetti, come responsabili esterni o cotitolari.

Nello svolgimento delle attività di trattamento dei dati personali, il titolare comunica i dati degli interessati a diverse categorie di soggetti. Parlando di destinatari dei dati personali non ci si riferisce genericamente a tutti i soggetti a cui il titolare comunica/trasmette dati ai fini dell’esecuzione di un servizio. Bisogna infatti distinguere i responsabili esterni del trattamento dai destinatari o terze parti per poter gestire in modo adeguato il tema privacy nell’ambito dell’organizzazione del titolare.

Perché è importante la distinzione

I soggetti a cui il titolare del trattamento comunica/ trasferisce i dati personali eseguono il relativo trattamento sulla base di presupposti contrattuali differenti: il ruolo e il rapporto contrattuale di ogni destinatario dei dati influiscono sulla legittimità del trattamento e sulle responsabilità connesse al trattamento, determinando anche la scelta delle misure tecniche e organizzative (documenti e procedure) da adottare per garantire la sicurezza dei dati.

Il ruolo e il rapporto contrattuale di ogni destinatario dei dati influiscono sulla scelta delle misure tecniche e organizzative da adottare.

Come individuare i destinatari dei dati o terze parti

All’interno dell’ampia platea di soggetti con i quali il titolare può relazionarsi nell’esecuzione delle proprie attività, rientrano soggetti che operano in qualità di titolari autonomi rispetto allo stesso soggetto interessato. In pratica il titolare (datore di lavoro/legale rappresentante dell’impresa) comunica i dati di un interessato a un soggetto terzo che persegue interessi e obiettivi propri e che, per tale motivo, non ha un rapporto di dipendenza rispetto al trattamento dei dati, ma di autonomia, qualificandosi a sua volta come un “titolare del trattamento”.

Alcuni esempi di terze parti

Immaginiamo un’azienda produttiva o di servizi. Il titolare del trattamento (identificabile con il datore di lavoro/legale rappresentante) trasmette i dati ad alcuni soggetti che li trattano per finalità proprie. Tre esempi tipici sono:

  1. il medico competente;
  2. le banche, per quanto riguarda i pagamenti dei salari;
  3. le società assicuratrici.
Il medico competente è un titolare autonomo del trattamento dati, è una terza parte. Un destinatario.

Alcuni casi complessi

I consulenti del lavoro

Rispondendo ai quesiti del Consiglio Nazionale dei consulenti del lavoro e di
numerosi professionisti, il Garante ha precisato che i consulenti del lavoro sono titolari, quindi terze parti, quando trattano i dati dei propri dipendenti oppure quelli dei propri clienti che siano persone fisiche (ex. liberi professionisti), mentre si qualificano come responsabili quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto (ex. consulenti che curano per conto dei datori di lavoro la predisposizione delle buste paga, le pratiche di gestione dei rapporti di lavoro o quelle previdenziali e assistenziali).

L’organismo di vigilanza 231

Il Garante per la protezione dei dati personali ha fornito un parere in merito al ruolo dell’organismo di vigilanza 231 (OdV231) nel 2021, su richiesta dell’associazione AODV231. Tale parere risulta però parziale nella misura in cui identifica l’OdV231 quale “parte dell’ente“, quindi ritenendo che i membri dell’organismo debbano essere qualificati come incaricati del trattamento, escludendo però dalla propria valutazione “il nuovo e diverso ruolo che l’organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing“.

L'individuazione delle terze parti (o destinatari dei dati) deve essere parte integrane della messa a fuoco del sistema "privacy" aziendale.

Cosa fare in pratica?

L’individuazione delle terze parti (o destinatari dei dati) deve essere parte integrane della messa a fuoco del sistema “privacy” aziendale. Oltre a titolari, co-titolari, responsabili esterni, incaricati al trattamento e DPO, le terze parti devono essere messe a fuoco in relazione all’organizzazione aziendale specifica. E questa messa a fuoco non deve basarsi su classificazioni teoriche, ma prendere in considerazione la specificità operativa di ogni soggetto.

I diritti degli interessati secondo il GDPR

La gestione della privacy deve comprendere la possibilità per gli interessati di esercitare i diritti loro riconosciuti dal GDPR.

Ci si preoccupa del trattamento dei dati personali quando li si raccoglie, li si utilizza e li si deve conservare, ma la corretta gestione della privacy deve considerare anche la possibilità per gli interessati di esercitare i diritti loro riconosciuti dal GDPR.

Diritti degli interessati secondo il GDPR

Il Regolamento (UE) 2016/679 definisce precisi diritti dell’interessato relativamente al trattamento dei suoi dati negli articoli tra il 15 e il 22. Ne riporto di seguito un sintesi.

Diritto di accesso

Secondo l’art. 15 del GDPR l’interessato ha il diritto di avere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso affermativo, di ottenere l’accesso ai dati personali e a specifiche informazioni (ex. categorie dei dati, finalità del trattamento, tempi di conservazione),

Il Regolamento (UE) 2016/679 definisce precisi diritti dell'interessato relativamente al trattamento dei suoi dati negli articoli tra il 15 e il 22.

Diritto di rettifica

Secondo l’art. 16 del GDPR l’interessato ha il diritto di richiedere la correzione dei dati inesatti o di integrare quelli mancanti.

Diritto alla cancellazione

L’art. 17 del GDPR individua casi specifici previsti (ex. è terminato il trattamento, l’interessato abbia revocato il consenso espresso in precedenza, i dati siano stati trattati illecitamente) in cui l’interessato ha diritto di richiedere la cancellazione dei propri dati al titolare.

Diritto di limitazione del trattamento

L’art. 18 del GDPR individui casi specifici (ex. se si contesta l’esattezza dei dati e il titolare ha necessità di tempo per fare verifiche) in cui l’interessato può richiedere al titolare di limitare il trattamento dei suoi dati.

La limitazione al trattamento dei dati personali è uno dei diritti degli interessati secondo il GDPR:

Diritto alla portabilità dei dati

Secondo l’art. 20 del GDPR, in caso di trattamenti basati sul consenso o automatizzati, l’interessato ha la possibilità di ricevere in un formato adeguato tutti i dati affidati a un titolare per trasferirli a un altro e anche di richiedere il trasferimento diretto da un titolare all’altro.

Diritto di opposizione

Secondo l’art. 21 del GDPR “l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano“.

Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato

Questa è la disposizione dell’art. 22 del GDPR. Più precisamente “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.

I trattamenti automatizzati dei dati prevedono diritti specifici degli interessati.

La procedura dal lato dell’interessato

Il Garante privacy ha messo a disposizione un modello attraverso il quale l’interessato può esercitare i propri diritti: l’interessato compila il modello e lo trasmette al titolare (anche per il tramite del Responsabile della Protezione dei Dati , nei casi in cui sia stato designato dal titolare).

Il titolare del trattamento è tenuto a rispondere alla richiesta nel termine di 1 mese, dandole un riscontro oppure segnalando un ritardo nel riscontro in caso di richieste numerose e/o complesse. In ogni caso il titolare deve dare riscontro alla richiesta nel termine massimo di 2 mesi.

Se la risposta non perviene nei tempi indicati o l’interessato non la ritiene soddisfacente, può rivolgersi al Garante per la protezione dei dati personali, presentando un reclamo o una segnalazione, oppure all’autorità giudiziaria.

Per l'esercizio dei diritti degli interessati è disponibile un modello sul sito del Garante privacy.

La procedura dal lato del titolare

Gli articoli del GDPR relativi ai diritti degli interessati contengono dettagli che devono essere presi in considerazione dal titolare durante la fase di definizione delle modalità di trattamento. In altre parole: i titolari devono garantire la tutela dei diritti da parte degli interessati e non solo la possibilità che loro li esercitino.

L’attenzione ai diritti degli interessati è necessaria a partire dalla definizione dell’informativa al trattamento dei dati che è il primo strumento attraverso il quale fornire all’interessato le indicazioni in merito alla tutela dei suoi diritti e alle modalità con cui li può esercitare.

Registro dei controlli dei sistemi antincendio

Il registro dei controlli antincendio deve contenere le registrazioni di controlli e manutenzioni sui sistemi antincendio presenti nel luogo di lavoro.

Dal 25 settembre 2022 il datore di lavoro deve disporre di un registro dei controlli dove siano annotati i controlli periodici e gli interventi di manutenzione su impianti, attrezzature ed altri sistemi di sicurezza antincendio. Come deve essere realizzato? Chi lo deve compilare? Con quale frequenza?

I riferimenti normativi

Le attività soggette ai controlli di prevenzione incendi (DPR 151/2011) lo hanno sempre avuto tra i propri obblighi. Con il decreto 1 settembre 2021, l’obbligo di registrazione dei controlli sui sistemi antincendio è stato introdotto in modo generalizzato in tutti gli ambienti di lavoro.

Controlli, verifiche e manutenzioni antincendio devono essere effettuati da personale specializzato.

La circolare n. 16579 del 7 novembre 2022 del Ministero dell’Interno (Direzione centrale per la prevenzione e la sicurezza tecnica del Dipartimento dei Vigili del Fuoco, del soccorso pubblico e della difesa civile) ha stato ribadito che l’obbligo di esecuzione di sorveglianza, manutenzione e controllo dei sistemi antincendio e la relativa registrazione è in vigore dal 25 settembre 2022, mentre è rinviata al 25 settembre 2023 solo l’entrata in vigore dell’obbligo di qualifica dei manutentori.

Tipologie di interventi sui sistemi antincendio

Si distinguono tre tipologie di interventi: controllo periodico, manutenzione e sorveglianza.

  1. Il controllo periodico è l’insieme delle operazioni che si effettuano “con frequenza non superiore a quella indicata da disposizioni, norme, specifiche tecniche o manuali d’uso e manutenzione per verificare la completa e corretta funzionalità di impianti, attrezzature e altri sistemi di sicurezza antincendio“.
  2. La manutenzione è l’intervento tecnico che consente di ripristinare un’anomalia o un mal funzionamento.
  3. Infine, la sorveglianza è l'”insieme di controlli visivi atti a verificare, nel tempo che intercorre tra due controlli periodici, che gli impianti, le attrezzature e gli altri sistemi di sicurezza antincendio siano nelle normali condizioni operative, siano correttamente fruibili e non presentino danni materiali evidenti“.
Ogni elemento dei sistemi di sicurezza antincendio deve essere sottoposto a controllo secondo la norma tecnica di riferimento.

Mentre controlli e manutenzione devono essere eseguiti da manutentori qualificati, la sorveglianza può essere effettuata dai lavoratori normalmente presenti nell’ambiente di lavoro, adeguatamente istruiti e mediante idonee checklist.

Il registro dei controlli dei sistemi antincendio, in pratica

Per adempiere agli obblighi il datore di lavoro non deve necessariamente provvedere in prima persona a ogni passaggio, ma può formalizzare incarichi e formazione, cioè provvedere attraverso un sistema di deleghe.

Nel registro dei controlli antincendio devono essere incluse anche le attività di sorveglianza da parte del personale aziendale.

Un esempio operativo:

  1. il datore di lavoro, direttamente o tramite il proprio ufficio acquisti, conferisce un incarico di controllo e manutenzione dei sistemi antincendio a un fornitore specializzato (quindi in possesso di abilitazione ai sensi della lettera G del D.M. 37/08 e, dal 25 settembre 2023, in possesso delle necessarie qualifiche del personale), comprensivo della predisposizione e compilazione del registro dei controlli. La frequenza della verifica la definiranno sulla base delle norme tecniche di riferimento (ex. controllo semestrale per gli estintori, collaudo in funzione dell’estinguente);
  2. il datore di lavoro, direttamente o tramite l’RSPP o l’ufficio sicurezza, si accerta che il registro sia predisposto, compilato e accessibile in caso di controlli da parte gli organi di vigilanza;
  3. il datore di lavoro, direttamente o tramite i propri dirigenti, predispone, con il supporto del fornitore di cui al punto 1 e del RSPP, una checklist per la sorveglianza dei sistemi antincendio;
  4. il datore di lavoro, direttamente o tramite i propri dirigenti, individua e incarica formalmente i lavoratori addetti alla sorveglianza dei sistemi antincendio;
  5. il datore di lavoro, direttamente o tramite l’RSPP, provvede a formare i lavoratori addetti alla sorveglianza su frequenza (generalmente mensile), modalità di compilazione e conservazione della checklist di cui al punto 3.