BYOD: una pratica da curare per la privacy

BYOD è l'acronimo dell'espressione inglese "bring your own device", che identifica l'utilizzo, sempre più diffuso, dei dispositivi digitali personali per svolgere mansioni lavorative.

BYOD è l’acronimo dell’espressione inglese “bring your own device“, che letteralmente significa “porta il tuo dispositivo“. L’acronimo identifica l’utilizzo, sempre più diffuso, dei dispositivi digitali personali (smartphone, tablet e pc) per svolgere mansioni lavorative. Che sia desiderio del dipendente o che sia una richiesta del datore di lavoro, l’utilizzo dei dispositivi personali in ambito lavorativo è possibile se viene gestito correttamente in termini di accordi (il BYOD non deve comportare oneri economici a carico del lavoratore) e di tutela degli aspetti di protezione dei dati personali (privacy).

I rischi nella gestione dei dati personali

L’introduzione dei dispositivi personali comporta necessariamente un maggiore utilizzo per fini personali rispetto a quanto possa accadere nel caso di dispositivi forniti dal datore di lavoro. Per quanto concentrato sul lavoro un dipendente possa essere, l’utilizzo per finalità personali di un dispositivo digitale di proprietà si può considerare certo al di fuori dell’orario di lavoro, e magari anche da parte di familiari.

Per quanto concentrato sul lavoro un dipendente possa essere, l'utilizzo per finalità personali di un dispositivo digitale di proprietà si può considerare certo al di fuori dell'orario di lavoro, e magari anche da parte di familiari.

Il datore di lavoro potrebbe ritenere cautelativo, rispetto alla tutela dei dati che il lavoratore tratta per suo conto, attuare sistemi di scansione del dispositivo, per esempio per rilevare la presenza di malware; oppure potrebbe monitorare l’ubicazione e il traffico del dispositivo per prevenire la trasmissione di dati a terzi. Di fatto, però, queste attività potrebbero determinare l’accesso a tutti i dati del dispositivo, compresi quelli privati, o l’acquisizione di informazioni sulla vita privata e familiare del lavoratore, risultando non commisurate rispetto alla finalità di tutela dei dati di cui il datore di lavoro è titolare.

Come gestire correttamente il BYOD

Un riferimento utile per gestire i problemi di sicurezza dei dati in caso di ricorso al BYOD, sono le Linee Guida WP249 pubblicate a giungo 2017 dal Gruppo di lavoro Art.29 (un gruppo di lavoro indipendente che si è occupato di valutare le problematiche connesse alla protezione dei dati dati personali fino al 25 maggio 2018).

Uno degli aspetti da prendere in considerazione in caso di BYOD è il ricorso a sistemi sicuri di trasferimento dei dati tra il dispositivo del dipendente e la rete aziendale.

Le proposte operative comprendono tre aspetti.

  1. L’attuazione di misure che consentano di distinguere l’uso privato da quello aziendale di un determinato dispositivo personale. Questo significa prima di tutto che i dati di interesse devono essere conservati in un “luogo dedicato” (ex. le cosiddette sandboxing, che conservano i dati in un’applicazione specifica). Ma un secondo aspetto riguarda la formazione del lavoratore che deve sapere che i dati relativi alla prestazione lavorativa non devono essere accessibili a terzi (conviventi, congiunti, conoscenti) e che non può memorizzarli in spazi virtuali diversi da quelli individuati dal datore di lavoro.
  2. Il ricorso a sistemi sicuri di trasferimento dei dati tra il dispositivo del dipendente e la rete aziendale (ex. connessione VPN), con la doppia finalità di evitare di conservare i dati sul dispositivo personale e anche di garantire la sicurezza del dati trattati in tutte le fasi del trattamento, trasferimento compreso.
  3. Il divieto per il datore di lavoro di richiedere o di autorizzare l’utilizzo di dispositivi personali nei casi in cui non sia possibile o sufficiente garantire la sicurezza dei dati o il rispetto della vita privata del dipendente attraverso l’adozione di misure specifiche, come quelle indicate ai punti precedenti.
La pratica del BYOD è possibile, ma richiede al titolare del trattamento di valutare con cura le soluzioni di trasferimento, salvataggio e controllo prima di richiedere o autorizzare l'utilizzo di dispositivi personali per finalità lavorative.

La pratica del BYOD è quindi possibile, ma richiede al titolare del trattamento (il datore di lavoro) di valutare con cura le soluzioni di trasferimento, salvataggio e controllo prima di richiedere o autorizzare l’utilizzo di dispositivi personali per finalità lavorative.

Che cos’è il tecnostress e come gestirlo

Inserire il tecnostress nella propria lista di rischi lavorativi è il primo passo per poter individuare strategie per sfruttare i benefici della tecnologia e minimizzarne gli effetti negativi sulle persone e, quindi, sull'ambiente di lavoro.

La tecnologia è utile: pratica, rapida ed efficiente. Ma è anche fonte di stress in ambito lavorativo. Il problema non è tanto connesso alla difficoltà di utilizzo, comunque da non sottovalutare da parte di alcune fasce di lavoratori, quanto alla risposta che l’individuo mette in atto nel momento in cui si trova a dover gestire i continui e abbondanti flussi informativi veicolati dalle nuove tecnologie. Inserire il tecnostress nella propria lista di rischi lavorativi è il primo passo per individuare strategie per sfruttare i benefici della tecnologia e minimizzarne gli effetti negativi sulle persone e, quindi, sull’ambiente di lavoro.

Che cosa si intende per tecnostress

La tecnologia è uno strumento importante del lavoro moderno, direi irrinunciabile. Le sue caratteristiche tendono però a indurre comportamenti che possono portare a disturbi psicofisici.

La tecnologia è uno strumento importante del lavoro moderno, direi irrinunciabile. Le sue caratteristiche favoriscono però lo sviluppo di comportamenti che possono portare a disturbi psicofisici e questi disturbi possono cronicizzarsi e compromettere lo stato di benessere dell’individuo.

Sono quattro le caratteristiche della tecnologia capaci di indurre effetti negativi nel lungo periodo:

  1. il flusso continuo di informazioni che si scontra con l’esigenza di recupero dell’organismo;
  2. la rapidità degli scambi informativi che non è sempre commisurata alle capacità fisiologiche;
  3. la molteplicità dei canali a disposizione che frammenta l’attenzione o la rimbalza in più direzioni;
  4. l’integrazione dei canali che rende potenzialmente infinita la connessione e lo scambio.
Ansia, ipertensione, insonnia, calo della concentrazione, disturbi gastrointestinali e cardiocircolatori, disturbi dell’alimentazione, alterazioni comportamentali, disturbi della sfera sessuale e relazionale sono i sintomi che gli studi hanno associato al tecnostress.

Ansia, ipertensione, insonnia, calo della concentrazione, disturbi gastrointestinali e cardiocircolatori, disturbi dell’alimentazione, alterazioni comportamentali, disturbi della sfera sessuale e relazionale sono i sintomi che gli studi hanno associato al tecnostress. E questi sintomi si risolvono in una diminuzione della qualità della vita e, in ambito lavorativo, nel calo della produttività e nell’aumento del rischio di incidenti e infortuni.

Il fattore personale

Non sono solo le caratteristiche del lavoro e della tecnologia a determinare la probabilità e l’entità delle eventuali conseguenze negative del tecnostress, le caratteristiche individuali contribuiscono all’esito.

Il grado di comfort nell’utilizzo della tecnologia cambia a seconda che gli strumenti tecnologici siano percepiti come facilitatori e siano fonte di curiosità o, al contrario, siano considerati un’imposizione e siano vissuti con diffidenza; inoltre la risposta individuale agli stimoli rende una stessa situazione lavorativa più o meno sostenibile e tollerabile.

Anche le abitudini extra lavorative possono aumentare o diminuire la capacità di fronteggiare la condizione di stress e il livello di consapevolezza di ciascuno in merito alle strategie operative da mettere in campo per non farsi sopraffare dai flussi informativi varia da persona a persona.

Non sono solo le caratteristiche del lavoro e della tecnologia a determinare la probabilità e l'entità delle eventuali conseguenze negative del tecnostress, le caratteristiche individuali contribuiscono all'esito.

Misure di prevenzione e protezione

La variabilità individuale nell’esposizione allo stress indotto dalle tecnologie moderne non è però una giustificazione adeguata per lasciare in carico al singolo lavoratore la gestione del problema.

Il tecnostress deve infatti rientrare nella valutazione dei rischi relativamente a ogni specifico ambiente di lavoro e il datore di lavoro, con l’aiuto del servizio di prevenzione e protezione, deve individuare le adeguate misure di gestione.

Uno schema di ragionamento operativo prevede di ragionare su tre livelli di intervento successivi: prevenzione primaria, prevenzione secondaria e protezione.

La prevenzione primaria interviene sulla progettazione del lavoro e sullo sviluppo organizzativo, comprendendo politiche di lavoro che rispettino la vita privata dei lavoratori, il diritto alle pause di lavoro e incentivino comportamenti virtuosi (ex. pause caffè senza smartphone, utilizzo di dispositivi elettronici diversi per lavoro e vita privata).

La prevenzione secondaria si concentra sulla formazione dei lavoratori per renderli consapevoli delle pratiche poco salutari o dannose e delle tecniche psico-fisiche di gestione dello stress.

La protezione, infine, agisce sui sintomi con l’obiettivo di ridurli, favorendo la partecipazione a programmi di counseling e di assistenza personalizzati.

Il punto di partenza per una gestione efficace del tecnostress è però riconoscerne lo status di rischio lavorativo al pari di rischi che ci sono ormai più familiari.

Il punto di partenza per una gestione efficace del tecnostress è però riconoscerne lo status di rischio lavorativo al pari di rischi che ci sono ormai più familiari. Questo significa accettare almeno due idee:

  1. che la prevenzione sul lavoro sta assumendo sempre più un approccio globale rispetto alla salute del lavoratore;
  2. che l’uso lavorativo di strumenti quotidiani non riduce l’onere di prevenzione in capo al datore di lavoro.

Le differenze di genere nella formazione sicurezza

Nell'ambito della salute e sicurezza sul lavoro con l'espressione differenze di genere si intende l’insieme dei caratteri essenziali che rendono qualcuno simile o diverso da altri. La differenza biologica è la più evidente ma non è l'unica.

Nell’ambito della salute e sicurezza sul lavoro, con l’espressione differenze di genere si intende l’insieme dei caratteri essenziali che rendono qualcuno simile o diverso da altri. Se la differenza biologica, la distinzione tra maschi e femmine, è la più evidente, non è però l’unica. Di queste differenze bisogna tenere conto nell’ambito della valutazione dei rischi e anche per la progettazione dell’attività di formazione. Vediamo come.

Che cosa sono le differenze di genere

La differenza biologica tra maschi e femmine è la prima per visibilità, ma ha anche implicazioni pratiche, determinando una diversa esposizione ai rischi per via degli aspetti fisiologici e strutturali. La maggiore componente adiposa del corpo femminile, per esempio, espone le donne a fenomeni di accumulo di sostanze chimiche più di quanto accada agli uomini; nelle donne si riscontra una maggiore sensibilità a rumore di bassa intensità, mentre una rumorosità costante, anche se elevata, produce in loro effetti minori che negli uomini. Le differenze non finiscono qui, ma questi esempi aiutano a vedere quanto la distinzione tra maschi e femmine influisca in sede di valutazione dei rischi e, quindi, vada considerata.

La differenza biologica tra maschi e femmine implica una diversa esposizione ai rischi per via degli aspetti fisiologici e strutturali.

La biologia, però, non è l’unico “carattere essenziale che rende qualcuno simile o diverso da altri”. Alla biologia si somma infatti il sistema di aspettative sociali, che agisce creando credenze e regole in funzione del ruolo ricoperto nella comunità o nell’organizzazione aziendale. Queste credenze e regole influenzano le scelte di vita e i comportamenti specifici, con effetti sulla percezione e gestione dei rischi in ambito lavorativo. Gli elementi alla base del sistema di aspettative sociali possono essere, per esempio, le tipologie contrattuali, il reddito, la mansione, i ruoli sociali nella comunità.

Ecco un esempio per chiarire la questione: l’analisi delle statistiche sugli infortuni in itinere (nel trasferimenti casa – lavoro) rivela una maggiore incidenza nel sesso femminile; la spiegazione più adeguata di questo dato non sta nel pregiudizio in merito all’imperizia delle donne al volante… Ma nel fatto che le donne subiscono un maggiore stress nel conciliare vita lavorativa e famigliare, con un’evidente influenza di questa tensione proprio nei momenti in cui le due vite si intrecciano.

L'analisi delle statistiche sugli infortuni in itinere rivela una maggiore incidenza nel sesso femminile; la spiegazione non sta nel pregiudizio in merito all'imperizia delle donne al volante...

Come e perché includerle nella formazione

Uno dei requisiti richiesti all’attività di formazione di lavoratori, preposti, dirigenti e rappresentanti dei lavoratori è la sua adeguatezza, . Una formazione adeguata non è solo una formazione che rispetta i vincoli normativi in termini di durata e contenuti, ma è una formazione che viene progettata tenendo conto

  • del contesto di lavoro e, quindi, dei rischi specifici;
  • dei processi di apprendimento delle persone per le quali è pensata.

Se teniamo a mente che la formazione sicurezza ha come obiettivo quello di creare consapevolezza e fornire gli strumenti per agire in modo adeguato rispetto ai rischi lavorativi, non è possibile pensare di escludere il tema delle differenze di genere nei percorsi di formazione, in termini di

  1. individuazione dei caratteri che rendono uguali o diversi;
  2. influenza sull’entità dei rischi lavorativi;
  3. definizione di misure di prevenzione e protezione efficaci.
Se teniamo a mente che la formazione sicurezza ha come obiettivo quello di creare consapevolezza e fornire gli strumenti per agire in modo adeguato rispetto ai rischi lavorativi, non è possibile pensare di escludere il tema delle differenze di genere nei percorsi di formazione.

Il punto n.3 è il motivo principale per cui la formazione dovrebbe essere progettata tenendo conto delle specificità dell’organizzazione e del suo sistema di prevenzione e protezione… Ma questa è tutta un’altra storia!

Nuove forme di trattamento dati sul lavoro

La gestione privacy deve tenere conto delle nuove forme di trattamento dati legate a social e cloud e all'utilizzo di dispositivi personali.

La gestione dei dati sul lavoro si è ampliata e diversificata con il diffondersi delle tecnologie informatiche. La separazione tra sfera lavorativa e privata (extra lavorativa) di ciascuno è diventata più sottile ed è sempre meno scontata l’individuazione del luogo fisico di conservazione dei dati. Il titolare del trattamento deve però avere ben chiare tutte le forme e le caratteristiche del trattamento dei dati che mette in atto per poterlo gestire in modo adeguato e conforme. Anche quando si tratta di nuove forme di trattamento dati.

I profili social

Esaminare i profili social di candidati è un trattamento dati al pari di un eventuale screening periodico dei profili social dei propri dipendenti o collaboratori.

Queste attività devono essere gestite in primo luogo in termini di verifica della legittimità: il fatto che un profilo social sia pubblico non rende di per sé legittima la raccolta di dati o informazioni.

Esaminare i profili social di candidati è un trattamento dati al pari di un eventuale screening periodico dei profili social dei propri dipendenti o collaboratori.

In particolare:

  • i dati raccolti per valutare una possibile assunzione dovrebbero essere cancellati non appena si dovesse decidere di non formulare un’offerta effettiva o risulti evidente che il candidato non sia interessato al posto di lavoro;
  • il titolare del trattamento deve essere in grado di dimostrare che la raccolta dati era finalizzata esclusivamente a verificare i requisiti previsti per lo specifico incarico, ma anche di avere informato preventivamente l’interessato di tale attività;
  • la “richiesta di amicizia” di un datore di lavoro verso dipendenti, anche solo potenziali, non ha alcun fondamento giuridico;
  • non è possibile vincolare i lavoratori all’utilizzo di un profilo social aziendale senza la possibilità che disponga anche di un profilo personale, e questo aspetto dovrebbe essere specificato nelle condizioni del contratto di lavoro.

Applicazioni per ufficio fornite in cloud

I casi più diffusi di applicazioni per ufficio fornite in cloud riguardano la gestione dei dati relativi alle risorse umane e applicativi utilizzabili interamente online. In molti casi queste applicazioni comportano il trasferimento internazionale dei dati trattati e di quelli relativi a chi utilizza le applicazioni.

Il titolare del trattamento deve verificare quale Stato sia interessato dal trasferimento e, nel caso di trasferimenti a un paese fuori dall’UE, deve verificare se questo garantisca un livello di protezione adeguato.

BYOD (Bring Your Own Device)

L'utilizzo di dispositivi personali per svolgere il proprio lavoro è divenuto più frequente con l'aumento del lavoro da remoto o con il crescente sviluppo tecnologico.

L’utilizzo di dispositivi personali per svolgere il proprio lavoro è divenuto più frequente con l’aumento del lavoro da remoto e con il crescente sviluppo tecnologico. In questi casi le misure tecniche da attuare al fine di garantire la protezione dei dati, e che il titolare del trattamento ha tutto l’interesse di mettere in atto e potenziare, rischiano di invadere la sfera privata.

Se il monitoraggio dell’ubicazione e del traffico dei dispositivi personali (Your Own Device) può essere considerato legittimo interesse del titolare, risulta illecita l’acquisizione di dati relativi alla vita privata. Pertanto il titolare deve adottare le misure adeguate per riuscire a distinguere tra uso privato e uso aziendale del dispositivo, eventualmente prevedendo la conservazione dei dati di lavoro in applicazioni specifiche.


La gestione privacy richiede tempo di analisi e scelte attente da parte di ogni titolare. Si tratta di un’attività in continua evoluzione, che deve fare i conti con le nuove forme di trattamento dati man mano che queste compaiono nello scenario lavorativo.

Legionella e salute e sicurezza sul lavoro

Il rischio da legionella riguarda qualunque attività che utilizzi impianti tecnologici con riscaldamento e nebulizzazione di acqua.

Il “rischio legionella” è un rischio biologico connesso ai batteri del genere Legionella, che causano malattie in forma di polmoniti o simil-influenze, chiamate genericamente legionellosi. Si tratta di un rischio spesso sottovalutato al di fuori degli ambiti turistici, sanitari e di benessere, ma che richiede invece attenzione e uno spazio adeguato nel documento di valutazione dei rischi. Il rischio legionella, infatti, può riguardare qualunque attività che utilizzi impianti tecnologici che comportano un riscaldamento dell’acqua e/o la sua nebulizzazione.

Si tratta di un aspetto ancora più delicato in questo periodo, in cui la sospensione o la drastica riduzione nella frequenza di utilizzo e nella gestione di molti edifici o di parti di essi a causa della pandemia COVID-19 (ex. luoghi di lavoro, scuole, università, alberghi, attività di ristorazione, centri sportivi e commerciali, strutture turistico-recettive, ricreative ed espositive) può favorire la crescita della legionella negli impianti idrici e nei dispositivi associati, con un aumento del rischio.

Dove vive e come si trasmette la legionella

Le legionelle sono presenti negli ambienti acquatici naturali: acque sorgive, termali, fiumi, laghi, fanghi… Da questi ambienti raggiungono quelli artificiali, come condotte cittadine e impianti idrici degli edifici, serbatoi, tubature, fontane e piscine.

Le legionelle sono presenti negli ambienti acquatici naturali. Da questi ambienti raggiungono quelli artificiali.

La legionella viene normalmente acquisita per via respiratoria mediante inalazione o aspirazione di aerosol o di particelle derivate per essiccamento; sono stati inoltre segnalati casi di legionellosi acquisita attraverso ferite, mentre non è mai stata dimostrata la trasmissione interumana.

Il rischio di sviluppare la malattia dipende dalla suscettibilità del soggetto esposto (età avanzata, fumo di sigaretta, presenza di malattie croniche e immunodeficienza sono fattori predisponenti) e dall’intensità dell’esposizione. Solo la malattia in forma di polmonite richiede un trattamento antibiotico per un decorso favorevole.

Situazioni e luoghi di esposizione alla legionella

Le situazioni note che possono originare casi di legionellosi comprendono:

  • l’aerodispersione prodotta da torri di raffreddamento, condensatori evaporativi e sezioni di umidificazione delle unità di trattamento dell’aria;
  • impianti di acqua potabile, apparecchi sanitari, fontane e umidificatori ultrasonici;
  • piscine, vasche idromassaggio o fontane decorative, anche esposte a soli fini dimostrativi;
  • terricci o composti per giardinaggio;
  • impianti idrici di poltrone odontoiatriche.
Le situazioni note che possono originare casi di legionellosi comprendono sistemi generanti aerosol come piscine, vasche idromassaggio o fontane decorative, anche esposte a soli fini dimostrativi.

In termini di luoghi od occasioni di infezione si parla di:

  • siti industriali;
  • centri commerciali;
  • ristoranti;
  • centri sportivi e centri benessere;
  • residenze private;
  • alberghi;
  • navi;
  • campeggi;
  • club;
  • ospedali
  • utilizzo di dispositivi medici.

La lista non è esaustiva ma solo indicativa dell’ampio ventaglio di ambienti interessati dal rischio.

Valutazione del rischio e misure di prevenzione e protezione

La prevenzione delle infezioni da legionella si basa:

  1. sulla corretta progettazione e realizzazione degli impianti tecnologici a rischio, cioè che comportano un riscaldamento dell’acqua e/o la sua nebulizzazione (come gli impianti idro-sanitari, di condizionamento con umidificazione dell’aria ad acqua, di raffreddamento a torri evaporative o a condensatori evaporativi, gli impianti che distribuiscono ed erogano acque termali, le piscine e le vasche idromassaggio);
  2. sull’adozione di misure preventive in grado di contrastare la moltiplicazione e la diffusione di legionella negli impianti a rischio. E si parla di manutenzione e, all’occorrenza, disinfezione, oltre che delle necessarie attività di informazione e formazione del personale interessato.
Il rischio "legionella" deve essere valutato caso per caso nell'ambito del documento di valutazione dei rischi, definendo gli interventi manutentivi e/o di disinfezione e prevedendo la modalità della loro registrazione.

Si tratta quindi di un rischio che deve essere valutato caso per caso, nell’ambito del documento di valutazione dei rischi, definendo gli interventi manutentivi e/o di disinfezione e prevedendone la modalità di registrazione.

Frequenza di aggiornamento della valutazione

In quanto rischio biologico, la valutazione del “rischio legionella” richiede un aggiornamento triennale, con tre eccezioni:

  1. per le strutture turistico- ricettive la frequenza di aggiornamento è almeno biennale (preferibilmente annuale);
  2. per gli stabilimenti termali e le strutture sanitarie l’aggiornamento è annuale.

Un utile strumento per predisporre una valutazione dei rischi adeguata e specifica sono le “Linee guida per la prevenzione ed il controllo della legionellosi” pubblicate nel 2015 da un gruppo di lavoro di Ministero della Salute e Istituto Superiore di Sanità.

Protocollo Covid del 6 aprile e corsi sicurezza

Il 6 aprile è stato firmato il nuovo Protocollo Covid per gli ambienti di lavoro. Ci sono ancora proroghe per la formazione sicurezza?

Il 6 aprile è stato approvato l’aggiornamento del “Protocollo Covid” negli ambienti di lavoro. Una delle novità messe in evidenza riguarda la formazione sicurezza, per la quale verrebbero escluse moratorie e proroghe a differenza di quanto verificatosi in precedenza. La formazione sicurezza è stata quindi ripristinata integralmente? O ci sono ancora deroghe in merito all’aggiornamento dei corsi in materia di salute e sicurezza sul lavoro?

Le novità del Protocollo Covid del 6 aprile per la formazione

La novità principale è che non tutti i corsi previsti in presenza sono sospesi o annullati, anche se già organizzati. Il limite sono le deroghe previste dalla normativa in vigore.

Secondo il Protocollo Covid del 6 aprile non tutti i corsi previsti in presenza sono sospesi o annullati, anche se già organizzati. Il limite sono le deroghe previste dalla normativa in vigore.

Attualmente la normativa di riferimento è il DPCM 2 marzo 2021 che consente:

  1. la formazione in azienda, esclusivamente per i lavoratori dell’azienda stessa, nel rispetto delle disposizioni emanate dalle singole regioni (che potrebbero emanare ordinanze più restrittive rispetto alle disposizioni nazionali);
  2. i corsi di formazione da effettuarsi in materia di salute e sicurezza, a condizione che siano attuate le misure di contenimento del rischio definite dal «Documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio da SARS-CoV-2 nei luoghi di lavoro e strategie di prevenzione» pubblicato dall’INAIL.

È comunque possibile, qualora l’organizzazione aziendale lo permetta, effettuare la formazione a distanza, anche per i lavoratori in lavoro agile e da remoto.

È comunque possibile, qualora l’organizzazione aziendale lo permetta, effettuare la formazione a distanza, anche per i lavoratori in lavoro agile e da remoto.

In pratica:

  1. bisogna verificare che la Regione ove avrà sede il corso non abbia imposto misure più restrittive rispetto a quelle del DPCM;
  2. se si organizzano corsi in azienda non sono ammessi partecipanti diversi dai dipendenti dell’impresa in questione;
  3. tutti i corsi, sia in azienda sia presso le società di formazione, devono rispettare le disposizioni contenute nella scheda tecnica relativa alla formazione professionale contenuta nell’allegato 9 (Linee guida per la riapertura delle Attività Economiche, Produttive e Ricreative) del DPCM del 2 marzo 2021.

Fin qui nessuna variazione sostanziale. Ma che cosa dire della totale scomparsa del paragrafo che prevedeva che il mancato completamento dell’aggiornamento della formazione in materia di salute e sicurezza nei luoghi di lavoro non comportasse l’impossibilità a continuare lo svolgimento dello specifico ruolo/funzione?

La situazione non è del tutto trasparente, ma la direzione prevalente è quella di procedere all’aggiornamento della formazione scaduta o in scadenza, in ragione del suo “carattere di particolare importanza, anche in relazione a specifici obblighi previsti dalla normativa di settore“.

Come tutelarsi in caso di contestazioni

I protocolli Covid cambiano, anche da un momento all'altro. Quindi è bene tutelarsi.

È possibile che quel che valeva fino a un attimo fa non sia più valido? Potrebbe e, allora, bisogna cercare di tutelarsi. Il mio consiglio è duplice:

  1. non rinviare oltre gli aggiornamenti della formazione e avviare programmazione ed erogazione dei corsi;
  2. tenere sempre sotto mano i tre riferimenti che seguono per poter rispondere a eventuali contestazioni di clienti/coordinatori/organismi di vigilanza.

I riferimenti da tenere a portata di mano

Bisogna sempre tenere sempre sotto mano i riferimenti di legge che aiutano a tutelarsi.
  1. Il nuovo Protocollo dovrebbe essere richiamato da un DPCM per diventare vincolante, così sottolinea Confindustria per esempio, per cui allo stato attuale (22 aprile 2021) si dovrebbe applicare comunque l’edizione dell’aprile 2020 del Protocollo Covid negli ambienti di lavoro;
  2. le FAQ del Ministero del lavoro, pur spingendo verso la ripresa a regime della formazione (eventualmente privilegiando la formazione a distanza sincrona) non escludono la possibilità di svolgere l’attività lavorativa in caso di mancata effettuazione dell’aggiornamento. Anche se secondo alcuni questa indicazione sarebbe frutto di un refuso relativo alle FAQ alla versione dell’aprile 2020 del Protocollo Covid, di fatto è pubblicata sul sito del Ministero;
  3. la legge 159/2020 che aveva disposto la proroga degli effetti di atti amministrativi in scadenza (tra cui gli attestati di formazione) sino ai 90 giorni successivi alla dichiarazione di cessazione dello stato di emergenza epidemiologica è ancora in vigore!

#bekindstaysafe

Data processing agreement e responsabili esterni

Se le attività affidate a terzi richiedono il trattamento dati, bisogna verificare i fornitori e vincolarli con il data processing agreement.

Per soddisfare la nostra e altrui richiesta di garanzie, il GDPR ha messo a carico del titolare del trattamento, e di altre figure con lui coinvolte nel trattamento dei dati, alcuni obblighi. Ecco perché, ogniqualvolta il titolare affidi il trattamento di un dato a partner o fornitori (responsabili esterni), egli è chiamato a verificare e acquisire garanzie ancora prima di affidare loro l’incarico, e a sottoscrivere il data processing agreement (DPA).

Quando si ha a che fare con un responsabile esterno?

Quando si verificano contemporaneamente queste 3 condizioni si ha a che fare con un responsabile esterno del trattamento:

  1. si affidano a terzi servizi che comprendono il trattamento di dati;
  2. il fornitore offre supporto strumentale e competenze e ha discrezionalità sulle modalità operative;
  3. nonostante la discrezionalità operativa, non determina autonomamente le caratteristiche del trattamento dei dati.
Quando si affidano a terzi servizi che comprendono il trattamento di dati e il fornitore offre supporto strumentale e competenze e, pur potendo operare con discrezionalità decisionale nelle modalità operative, non agisce autonomamente sul trattamento dei dati, allora il fornitore si configura come responsabile esterno del trattamento.

Qualche esempio? I fornitori di servizi informatici, cloud, web, marketing, elaborazione paghe, servizi di hosting, consulenti ai quali si affidano incarichi di audit per analisi di gestione se finalizzati a sviluppi di strategie di business, aziende che gestiscono la videosorveglianza aziendale.

Non sono responsabili esterni le banche nella gestione dei servizi di incasso e pagamento, le figure di audit per il controllo dei libri contabili se effettuati sulla base di norme obbligatorie, organismi per attività di certificazione di sistemi di gestione, il medico competente e gli organismi di vigilanza 231.

Valutare il responsabile esterno in base alle garanzie

Il responsabile esterno deve essere valutato dal titolare in termini di garanzie che è in grado di fornire in materia di tutela dei dati personali che gli vengono affidati.

Il responsabile esterno deve essere valutato dal titolare in termini di garanzie che è in grado di fornire in materia di tutela dei dati personali che gli vengono affidati.

La prima fase è precontrattuale: si tratta di valutare la competenza in merito alle misure organizzative e tecniche di sicurezza a tutela dei dati, a prescindere dalla competenza settoriale, richiedendo gli elementi utili a verificare e dimostrare la sua compliance in tema di protezione dei dati.

Una volta affidato l’incarico, la valutazione deve essere gestita con verifiche periodiche.

Il data processing agreement

Il rapporto tra titolare e responsabile deve essere oggetto di un contratto o di altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, chiamato data processing agreement,

Secondo il GDPR, il rapporto tra titolare e responsabile deve essere oggetto di un contratto o di altro atto giuridico a norma del diritto dell’Unione o degli Stati membri. Questo atto deve vincolare il responsabile del trattamento al titolare e definire:

  • la materia disciplinata;
  • la durata del trattamento;
  • natura e finalità del trattamento;
  • il tipo di dati personali e le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento.

Tale atto vien chiamato anche data processing agreement (DPA). La sua assenza espone a sanzione sia il titolare sia il responsabile, che si troverebbe a trattare dati illecitamente.

La pratica e le clausole standard dell’Autorità danese

Nella pratica si assiste a una presentazione unilaterale del DPA da parte del titolare al responsabile esterno, solo per non rimarne privi.

Sarebbe opportuno che il responsabile e il titolare “componessero” un atto sottoponendo ognuno le proprie garanzie per l’esecuzione dei trattamenti. Nella pratica si assiste a una presentazione unilaterale del documento da parte del titolare al responsabile esterno, solo per non rimarne privi.

In tale contesto, l’autorità di controllo danese ha predisposto delle clausole contrattuali standard che, sottoposte alla valutazione dello European Data Protection Board, sono state integrate e rese un modello utilizzabile da tutti i titolari del trattamento verso i responsabili esterni.

L’autorità di controllo danese ha predisposto delle clausole contrattuali standard che sono state approvate dello European Data Protection Board.

Lo standard è costituito da un documento contrattuale e quattro appendici (allegati).

La parte contrattuale definisce i vincoli che regolano il rapporto tra titolare e responsabile esterno, dettagliando le previsioni dell’art. 28 del GDPR, in particolare la suddivisione degli obblighi tra le due parti in causa.

Le quattro appendici contengono informazioni di dettaglio.

  1. L’Appendice A descrive i dati oggetto di trattamento, le finalità, la natura e la durata del trattamento, le categorie di interessati, la lista dei sub-responsabili. I sub-responsabili sono i soggetti a cui il responsabile, previa autorizzazione generale o puntuale del titolare, può a sua volta affidare parte dei trattamenti da svolgere.
  2. L’Appendice B contiene l’elenco dei sub-responsabili autorizzati.
  3. L’Appendice C contiene le istruzioni relative all’uso dei dati personali fornite dal titolare del trattamento al responsabile
  4. L’Appendice D è lo spazio per ulteriori clausole.
Se un responsabile esterno al trattamento non può proseguire l’incarico che cosa può fare il titolare?

Se un responsabile non può proseguire l’incarico?

L’Autorità danese ha previsto tale eventualità, attribuendo al titolare la facoltà di richiedere direttamente ai sub-responsabili l’esecuzione del contratto stipulato con il responsabile o la cancellazione o restituzione dei dati personali trattati.

La verifica dell’idoneità tecnico professionale

se le attività affidate a terzi sono svolte in un luogo rispetto al quale il datore di lavoro ha una titolarità di occupazione e di utilizzo, che sia un titolo di proprietà, di affitto o di comodato d'uso, il datore di lavoro deve procedere alla verifica dell'idoneità tecnico professionale.

La verifica dell’idoneità tecnico professionale è un’attività che deve essere svolta dal datore di lavoro quando affida l’esecuzione di lavori, l’erogazione di servizi o attività di fornitura a un’impresa o a un lavoratore autonomo all’interno della propria azienda o di una sua unità produttiva o del suo ciclo produttivo, se le attività affidate si svolgono in un luogo rispetto al quale il datore di lavoro ha la disponibilità giuridica. Quindi se le attività affidate a terzi sono svolte in un luogo rispetto al quale il datore di lavoro ha una titolarità di occupazione e di utilizzo, che sia un titolo di proprietà, di affitto o di comodato d’uso, il datore di lavoro deve procedere alla verifica.

Nel caso dei cantieri, la verifica è in carico al committente o al responsabile dei lavori e al datore di lavoro dell’impresa affidataria (quini della titolare del contratto diretto con il committente).

A che cosa serve la verifica dell’idoneità tecnico professionale?

La finalità della verifica dell’idoneità tecnico professionale è quella di avere un certo grado di fiducia nel fatto che le attività saranno affidate a soggetti capaci di svolgerle, nel rispetto delle condizioni di legalità e di sicurezza.

La finalità della verifica dell'idoneità tecnico professionale è quella di avere un certo grado di fiducia nel fatto che le attività saranno affidate a soggetti capaci di svolgerle, nel rispetto delle condizioni di legalità e di sicurezza.

Questo vuol dire che la verifica non è solo una formalità, ma un momento in cui il datore di lavoro può valutare se il proprio fornitore è in grado, almeno sulla carta, di eseguire l’attività che gli vuole affidare.

Come si effettua la verifica?

Ci sono due strade alternative, ma molto simili, da percorrere. La scelta tra le due dipende dall’ambito nel quale si stanno affidando le attività a terzi.

Se si opera in un cantiere (temporaneo e/o mobile) si richiedono i documenti previsti dall’Allegato XVII del Testo Unico Sicurezza, che sono diversi a seconda che si tratti di verificare l’idoneità tecnico- professionale di un’impresa o di un lavoratore autonomo.

Se si opera in un cantiere la verifica dell'idoneità tecnico professionale viene effettuata richiedendo i documenti previsti dall'Allegato XVII del Testo Unico Sicurezza.

Alle imprese si richiedono questi documenti:

  1. visura camerale in corso di validità con oggetto sociale inerente alla tipologia dell’appalto;
  2. documento di valutazione dei rischi;
  3. DURC (documento unico di regolarità contributiva) in corso di validità;
  4. dichiarazione di non essere oggetto di provvedimenti di sospensione o interdittivi di cui all’articolo 14 del D. L.vo 81/08.

Ai lavoratori autonomi si richiedono questi altri documenti:

  1. visura camerale in corso di validità con oggetto sociale inerente alla tipologia dell’appalto;
  2. documentazione che attestati la conformità di macchine, attrezzature e opere provvisionali alle disposizioni del D. L.vo 81/08 (ex. dichiarazioni di conformità CE, verbali di verifica periodica);
  3. elenco dei DPI in dotazione;
  4. attestati inerenti la formazione e certificato di idoneità sanitaria, se espressamente previsti dal D. L.vo 81/08;
  5. DURC in corso di validità.

Nei cantieri di durata presunta inferiore a 200 uomini-giorno e i cui lavori non comportano rischi particolari (individuati all’Allegato XI del Testo Unico Sicurezza), sia le imprese sia i lavoratori autonomi possono comprovare la propria idoneità tecnico professionale presentando solo:

  • certificato di iscrizione alla Camera di commercio;
  • DURC;
  • autocertificazione per gli altri documenti.
Al di fuori dei cantieri, la verifica dell'idoneità tecnico professionale si basa su certificato camerale e autocertificazione ai sensi del DPR 445.

Se non si opera nell’ambito di un cantiere, il datore di di lavoro deve richiede all’impresa o al lavoratore autonomo a cui ha affidato le attività:

  1. copia del certificato di iscrizione alla camera di commercio, industria e artigianato;
  2. autocertificazione del possesso dei requisiti di idoneità tecnico professionale, ai sensi dell’art. 47 del D.P.R. 445/2000.

Attenzione! L’autocertificazione non è una semplice dichiarazione, anche se la differenza sta più che altro nei riferimenti al DPR 445 e alla sua forma. La differenza però è notevole perché l’autocertificazione consente, a chi la redige, di presentare una dichiarazione firmata invece di dover produrre documenti ufficiali o certificazioni, ma, in caso di dichiarazioni false, il dichiarante rischia sanzioni penali e la perdita dell’affidamento delle attività.

Il fatto che la normativa parli di obbligo in carico al datore di lavoro non significa che debba essere lui in prima persona a dover richiedere la documentazione e a verificarne la correttezza e la completezza, ma che la responsabilità della verifica è a suo carico.

Chi deve effettuare la verifica?

Un ultimo dettaglio: il fatto che la normativa parli di obbligo in carico al datore di lavoro (committente o responsabile dei lavori per i cantieri) non significa che debba essere lui in prima persona a dover richiedere la documentazione e a verificarne la correttezza e la completezza, ma che la responsabilità della verifica è a suo carico. Quindi, in caso di mancata esecuzione della verifica o dell’affidamento delle attività nonostante l’assenza dei requisiti necessari, la sanzione è a suo carico. E si parla di arresto da 2 a 4 mesi o ammenda da € 1.228,50 a € 5.896,84.

I contenuti minimi degli attestati di formazione

Gli attestati di formazione sono parte strategica della documentazione dei nuovi assunti. Bisogna però verificare i contenuti minimi.

Nonostante la formazione sicurezza continui a essere vissuta da molti come un onere fastidioso (o proprio per questo motivo), gli attestati di formazione stanno diventando sempre più parte essenziale della documentazione dei nuovi assunti con esperienza lavorativa precedente. Assumere un lavoratore in possesso di tutti gli attestati necessari per svolgere le attività affidategli contrattualmente consente infatti l’inserimento quasi immediato nel ciclo produttivo. Essenziale in questo senso è la verifica della validità della formazione, non solo in termini di completezza e adeguatezza rispetto alla mansione affidata, ma anche in termini di contenuti minimi degli attestati di formazione.

Perché verificare anche la forma e non solo la sostanza

Non si tratta di scartare ogni attestato che presenta delle incongruenze, ma è opportuno dedicare del tempo per verificarne le mancanze, eventualmente contattando il soggetto che lo ha emesso o chiedendo al lavoratore se dispone di altra documentazione relativa al corso.

Immaginiamo di avere verificato gli attestati di formazione di un candidato con lunga esperienza nel settore. Lui è stato preciso e ha raccolto con cura ciascun attestato, quindi abbiamo la formazione iniziale e gli aggiornamenti, la formazione per singole attrezzature e attività specifiche come gli ambienti confinati o la gestione delle emergenze d’incendio. Ci sono però dei dettagli che non ci sono chiari: un paio di attestati non sono firmati da nessuno, in un altro caso la durata del corso di 16 ore non coincide con le date di erogazione del corso perché è segnata una sola data. Possiamo considerare validi questi attestati? Non così come sono! Per almeno due motivi:

  1. se è sorto a noi il sospetto della loro correttezza/ veridicità, il sospetto può sorgere a chiunque altro, anche a chi fa controlli e applica sanzioni…
  2. dal 2011 in poi, con l’entrata in vigore degli Accordi Stato – Regioni che hanno sempre più regolamento la formazione, si hanno delle indicazioni uniformi e semplici in relazione ai contenuti minimi degli attestati di formazione, per cui la verifica diventa semplice una volta capito il meccanismo.
Dal 2011 in poi, con l'entrata in vigore degli Accordi Stato - Regioni che hanno sempre più regolamento la formazione, si hanno delle indicazioni uniformi e semplici in relazione ai contenuti minimi degli attestati di formazione.

Con questo non intendo dire che ogni attestato che presenta delle incongruenze vada scartato, ma che è opportuno dedicare del tempo per verificarne le mancanze, eventualmente contattando il soggetto che lo ha emesso o chiedendo al lavoratore se dispone di altra documentazione relativa al corso, come il programma di formazione.

I 6 contenuti minimi degli attestati di formazione

Che cosa bisogna verificare dal punto di vista formale? 6 aspetti.

Li elenco di seguito rielaborando i requisiti degli Accordi Stato – Regioni del 21 dicembre 2011, del 22 febbraio 2012 e del 7 luglio 2016:

  1. denominazione del soggetto organizzatore/ formatore;
  2. normativa di riferimento;
  3. dati anagrafici del corsista, con riferimento alla mansione per quanto riguarda la formazione di lavoratori/ preposti/ dirigenti;
  4. tipologia di corso seguita, settore di riferimento (codice ATECO), durata e monte ore frequentato;
  5. periodo di erogazione del corso;
  6. firma del soggetto organizzatore/erogatore
I contenuti minimi degli attestati di formazione sono di fatto 6 e sono semplici da verificare.

Per chi volesse, di seguito è possibile scaricare la tabella di confronto dei requisiti dei contenuti minimi degli attestati di formazione degli Accordi che ho citato poco sopra.

.

Quanti addetti alla gestione emergenze?

Quanti addetti alla gestione emergenze devono essere presenti in azienda? Ecco alcuni criteri per individuarne il numero adeguato.

Quanti addetti alla gestione emergenze devono essere presenti in azienda? Quanti addetti al primo soccorso e quanti addetti all’antincendio? “Un numero adeguato!” è l’unica risposta possibile, ma ecco alcuni criteri che il datore di lavoro può utilizzare per valutare in modo concreto quanti addetti alla gestione emergenze formare e nominare.

Quali sono i vincoli di legge

I riferimenti sono il testo unico sicurezza (D. L.vo 81/08 e ss.mm.ii.), il DM 10 marzo 1998 per l’antincendio e il Decreto 388/03 per il primo soccorso. Sommando le previsioni delle tre norme si può concludere che il datore di lavoro deve nominare almeno un addetto alla gestione delle emergenze, ma che il numero effettivo dipende

  1. dalle dimensioni dell’azienda;
  2. dai rischi specifici dell’azienda o dell’unità produttiva.

Bisogna ricordare poi che formazione e nomina per la gestione dell’antincendio e quella per il primo soccorso sono due attività distinte, e una delle variabili da definire è se chi svolge il primo tipo di incarico debba o possa svolgere anche il secondo.

Criteri per definire il numero di addetti alla gestione emergenze

Il datore di lavoro deve nominare almeno un addetto alla gestione emergenze, ma il numero effettivo dipende dalle caratteristiche dell'organizzazione e dall'entità dei suoi rischi.

Per cercare di guadagnare in concretezza, ecco un elenco di aspetti da prendere in considerazione per valutare quale possa essere il numero adeguato di addetti alla gestione emergenze di una determinata azienda e se chi svolge un incarico di primo soccorso debba o meno svolgere anche l’incarico di addetto antincendio:

  1. numero di sedi di lavoro e numero di lavoratori per ogni sede;
  2. numero di turni di lavoro e numero di addetti per turno;
  3. caratteristiche delle mansioni lavorative, per cui vi può essere una distinzione tra lavoratori con postazione di lavoro fissa (che quindi possono presidiare un determinato ambiente) e lavoratori con funzione di corriere, oppure mansioni che richiedono la manipolazione di sostanze pericolose e altri che non presentano tale rischio;
  4. possibilità di assenza dei lavoratori incaricati della gestione emergenze ed eventualità di individuare quindi dei sostituti;
  5. possibilità di lavoro isolato e necessità di autosoccorso;
  6. entità del rischio incendio nei diversi ambienti di lavoro e del rischio di infortunio in funzione delle fasi produttive;
  7. gravità degli scenari di emergenza prevedibili e modalità di gestione definita;
  8. possibilità che si sommino emergenze diverse con la necessità di intervento in contemporanea per emergenza di primo soccorso e di antincendio;
  9. rischio aggiuntivo di infortunio per gli addetti all’antincendio con la necessità di prevedere la presenza di personale formato per soccorrerli.
Formazione e nomina per la gestione dell'antincendio e quella per il primo soccorso sono due attività distinte, e una delle variabili da definire è se chi svolge il primo tipo di incarico debba o possa svolgere anche il secondo.

Possono esserci troppi addetti alla gestione delle emergenze?

Il problema dell’adeguatezza del numero non riguarda solo il caso in cui gli addetti alla gestione emergenze siano sottostimati ma anche nel caso opposto. Il problema si pone sul piano pratico se non è stata definita in modo chiaro una gerarchia di responsabilità e un ordine di priorità di intervento, con il rischio di aumentare la confusione nelle fasi già critiche dell’emergenza o di ritardare i tempi di intervento.