La formazione continua del RSPP “esterno”

L'obbligo dell'aggiornamento per l'RSPP esterno si inquadra nella dimensione della life long learning, cioè della formazione continua nell'arco della vita lavorativa.

Si parla comunemente di RSPP esterno per distinguerlo dal caso in cui la funzione di RSPP è svolta direttamente dal datore di lavoro ma, di fatto, il soggetto che svolge la funzione di RSPP senza essere datore di lavoro può essere sia un consulente esterno sia un dipendente, per questioni di strategia o per obbligo di legge.

I dettagli della formazione dell’RSPP “esterno” sono a oggi definiti dall’Accordo Stato – Regioni del 2016, che ha apportato modifiche alla disciplina precedente (Accordo Stato – Regioni del 2006). Oltre ai requisiti di istruzione/formazione/esperienza previsti per poter svolgere l’incarico, una novità importante e a volte trascurata riguarda la modalità di aggiornamento della formazione di questa figura.

Quante ore di aggiornamento per l’RSPP “esterno”?

La formazione degli RSPP che non sono datori di lavoro prevede un aggiornamento di almeno 40 ore, qualunque sia il settore operativo, nel quinquennio. E la definizione di questo quinquennio è la novità più rilevante dell’Accordo del 2016.

La formazione degli RSPP che non sono datori di lavoro prevede un aggiornamento di almeno 40 ore, qualunque sia il settore operativo, nel quinquennio.

Come si calcola il quinquennio?

La questione del calcolo del quinquennio non è definita in modo univoco.

Partiamo dalle certezze, che riguardano i soggetti esonerati alla frequenza dei corsi specifici (moduli A, B e C), perché in possesso di titoli di studio che abilitano allo svolgimento dell’incarico (art. 32, comma 5 del D. L.vo 81/08 e punto 1, Allegato A dell’Accordo del 2016), e chi si è formato dopo l’entrata in vigore dell’Accordo del 2016:

  • per i primi il calcolo del quinquennio parte dal 15 maggio 2008 (data di entrata in vigore del D. L.vo 81/08) o dalla data di conseguimento della laurea, se successiva al 15 maggio 2008;
  • per i secondi, invece, il calcolo del quinquennio parte dalla conclusione del corso relativo al modulo B comune a tutti i settori.
Mentre il primo quinquennio di aggiornamento della formazione per RSPP esterno sembra calcolarsi in avanti, i quinquenni successivi si devono verificare a ritroso.

A queste indicazioni se ne aggiungono altre tre. L’Accordo precisa che:

  1. è preferibile che il monte ore di aggiornamento venga distribuito nel quinquennio anziché essere concentrato in un unico periodo;
  2. l’obbligo dell’aggiornamento per RSPP “esterni “si inquadra nella dimensione della life long learning, cioè della formazione continua nell’arco della vita lavorativa“;
  3. per poter esercitare la funzione di RSPP (esterno) è necessario dimostrare, in ogni istante, che nel quinquennio antecedente si è partecipato a corsi di formazione per un numero di ore non inferiore a quello minimo previsto.

Quindi, mentre il primo quinquennio di aggiornamento sembra calcolarsi in avanti (dal 15.05.2008, dalla data di laurea o di conclusione del modulo B comune), i quinquenni successivi si devono verificare a ritroso: considerata una data specifica si deve verificare se nel quinquennio precedente è stato raggiunto il monte ore minimo, cioè le 40 ore di aggiornamento.

Una conferma di questa interpretazione è contenuta nella circolare n.296 del 16 ottobre 2018 del Consiglio Nazionale degli Ingegneri. E la conseguenza più immediata è che, per mantenere la qualifica nel tempo, la soluzione più pratica per avere continuità è di prevedere 8 ore di aggiornamento all’anno.

Di fatto non risulta possibile svolgere l'incarico di RSPP esterno sino al completamento dell'aggiornamento mancante, ma non viene meno la validità del percorso formativo effettuato.

In caso di ritardo nell’aggiornamento?

Di fatto non risulta possibile svolgere l’incarico di RSPP sino al completamento dell’aggiornamento mancante, ma non viene meno la validità del percorso formativo effettuato.

Come aggiornare la formazione?

L’aspetto incoraggiante è che l’aggiornamento può essere eseguito interamente in modalità e-learning e, per il 50%, partecipando a consegni o seminari che trattino argomenti coerenti con quelli previsti dall’Accordo per i corsi di aggiornamento.

Inoltre i corsi di aggiornamento per i formatori sicurezza e per i CSP/CSE sono validi anche per l’aggiornamento dell’RSPP.

Privacy e servizi informatici: software e cloud

Software e servizi cloud sono presenti in ogni azienda: i servizi informatici hanno implicazioni sulla privacy che le imprese devono gestire.

L’utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale. Forse per via del carattere di necessità per la quotidianità lavorativa, molte aziende tendono a sottovalutare il legame tra privacy e servizi informatici, complice anche l’impossibilità per l’utente di incidere realmente sulla modalità di gestione dei dati da parte dei fornitori di alcuni di questi servizi. Rispetto alla normativa privacy, però, i processi informatici devono essere considerati al pari di ogni trattamento dati e, quindi, valutati e gestiti.

Inventariare i trattamenti

Della necessità od opportunità di inventariare i trattamenti per poterne valutare i rischi in relazione alla sicurezza dei dati ho già parlato in precedenza. Oggi voglio sottolineare l’importanza di includere i servizi informatici nella propria analisi, inserendo tutti i dettagli opportuni per mettere a fuoco chi interviene nel trattamento e con quali responsabilità.

La gestione privacy e i software

L'utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale.

I software installati localmente (on-premises) prevedono sul fronte privacy aziendale il coinvolgimento del fornitore e del cliente. In questo caso il fornitore si qualifica come responsabile esterno del trattamento e come tale deve essere incaricato dal titolare, prevedendo contrattualmente i relativi compiti e vincoli. Il titolare, invece, dovrà formare e incaricare il proprio personale all’uso corretto dello strumento informatico. In caso di uso illecito da parte del titolare o dei suoi incaricati, il fornitore non può essere considerato responsabile.

In relazione ai software on-premises bisogna fare attenzione all’eventuale distinzione tra il fornitore del software e l’organizzazione che fornisce assistenza all’impresa durante l’uso del prodotto. Se così fosse, si dovrà avere chiaro com’è stata definita la catena contrattuale per disciplinare i rapporti anche sul fronte privacy: se il rapporto contrattuale tra utente e assistenza è diretto , allora si dovrà provvedere alla nomina di un secondo responsabile esterno, altrimenti sarà il fornitore del software a dover vincolare “a cascata” il servizio di assistenza al rispetto della normativa in materia di trattamento dei dati personali.

Nel caso di software in cloud, oltre al fornitore, all'utente (titolare del trattamento) e all'eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center.

Nel caso di software in cloud, oltre al fornitore, all’utente (titolare del trattamento) e all’eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center (il soggetto titolare della struttura fisica che ospita il software in cloud). E qui passiamo al secondo capitolo di oggi, perché le aziende che offrono servizi in cloud non si qualificano come responsabili del trattamento.

La gestione privacy dei servizi cloud

Il responsabile del trattamento è un soggetto che tratta i dati per conto del titolare, cioè è una sorta di braccio operativo, che deve sottostare alle regole definite dal titolare, regole che devono rientrare tra i vincoli contrattuali per esplicita previsione di legge.

Considerato che il titolare del trattamento può influire poco o nulla sulle modalità di gestione di un cloud provider, questo finisce per qualificarsi come un autonomo titolare come accade per tutti i soggetti che, pur trattando dati per conto del titolare, lo fanno con forte o totale autonomia (ex. medico competente), al punto che le clausole contrattuali non sono definibili, e finisce per venire meno anche il carattere strumentale del rapporto con il titolare del trattamento.

Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all'interno del registro dei trattamenti.

Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all’interno del registro dei trattamenti. Inoltre il titolare non deve dimenticarsi che resta a suo carico la responsabilità di scegliere un soggetto adeguato, capace di fornire garanzie alla sicurezza dei dati personali trattati. Quindi dovrebbe verificarne periodicamente l’operato e, nel caso in cui rilevi violazioni, valutare di rivolgersi ad altri fornitori, capaci di offrire maggiori garanzie.

Definire la mansione lavorativa per la sicurezza

La mansione lavorativa è l'espressione con cui vengono individuate le attività affidate a un lavoratore nell'ambito di un contratto di lavoro.

La mansione lavorativa è l’espressione con cui vengono individuate le attività affidate a un lavoratore nell’ambito di un contratto di lavoro. Può esistere una differenza significativa tra la mansione lavorativa contrattuale, riportata nel contratto di lavoro e nei modelli UniLav o UniSomm, e quella per la sicurezza, riportata per esempio nel certificato di idoneità alla mansione. La ragione della differenza sta nella diversa finalità con cui vengono definite.

I contratti collettivi nazionali

Nel momento in cui il lavoratore viene assunto, il datore di lavoro ne definisce il ruolo all’interno dell’organizzazione facendo riferimento alla classificazione contenuta nel contratto collettivo nazionale di rifermento, basata su tre criteri, che sono la categoria, la qualifica e le mansioni.

Nel momento in cui il lavoratore viene assunto, il datore di lavoro ne definisce il ruolo all'interno dell'organizzazione facendo riferimento alla classificazione contenuta nel contratto collettivo nazionale di rifermento, basata su tre criteri, che sono la categoria, la qualifica e le mansioni.

Se la categoria determina il livello gerarchico o il contesto lavorativo, distinguendo tra dirigenti, quadri, impiegati e operai, la qualifica (o livello retributivo) definisce il trattamento economico e riflette il grado di esperienza del lavoratore; le mansioni, infine, sono le attività svolte dal lavoratore, che sono un elemento utile per individuare la qualifica corretta da attribuire al dipendente.

La mansione lavorativa per la sicurezza

Sul fronte della sicurezza sul lavoro, la mansione lavorativa entra in gioco in relazione alla valutazione dei rischi e alla sorveglianza sanitaria. La normativa prevede cioè che:

  1. datore di lavoro, RSPP, RLS e medico competente effettuino la valutazione dei rischi per ciascuna mansione lavorativa;
  2. sulla base della valutazione dei rischi, il medico competente rediga il protocollo sanitario, ossia stabilisca gli accertamenti necessari per valutare l’idoneità dei lavoratori alla mansione loro assegnata;
  3. il datore di lavoro invii i lavoratori al medico competente per la sorveglianza sanitaria, comunicando la mansione lavorativa assegnata.
Tanto la valutazione dei rischi quanto il protocollo sanitario non contengo un elenco delle mansioni come definite a livello contrattuale, ma delle "mansioni tipo" caratterizzate da certe attività, certi rischi e una certa entità dei rischi stessi.

Tanto la valutazione dei rischi quanto il protocollo sanitario non contengo un elenco delle mansioni come definite a livello contrattuale, ma delle “mansioni tipo” caratterizzate da certe attività, certi rischi e una certa entità dei rischi stessi.

Le mansioni definite in ottica di salute e sicurezza sul lavoro possono coincidere con quelle contrattuali, ma non sempre questo avviene o è possibile. E questo perché, mentre nel caso della contrattualistica esiste una classificazione definita e riconosciuta, sul fronte della sicurezza sul lavoro la nomenclatura può essere creata in base alla specificità aziendale per mettere in luce differenze nei rischi e negli accertamenti sanitari richiesti in funzione del rischio specifico.

Rapporto tra contrattualistica e sicurezza

Il fatto che mansione contrattuale e mansione sicurezza non coincidano, non significa che sia possibile far svolgere al lavoratore mansioni diverse rispetto a quelle previste contrattualmente, ma che l’espressione utilizzata per descrivere la mansione sicurezza può essere differente da quella prevista contrattualmente. La differenza, se presente, è dettata dalla necessità di mettere in luce, sul fronte della sicurezza, la “classe di rischio” a cui appartiene il lavoratore, senza che questo crei incoerenze, nella sostanza, con la mansione contrattuale.

Il fatto che mansione contrattuale e mansione sicurezza non coincidano, non significa che sia possibile far svolgere al lavoratore mansioni diverse rispetto a quelle previste contrattualmente.

In sintesi

  1. Quando si parla di mansione di un lavoratore, si può fare riferimento a due ambiti distinti, quello contrattuale e quello della sicurezza sul lavoro;
  2. la dicitura utilizzata per identificare la mansione di un lavoratore può cambiare tra i due ambiti;
  3. se la dicitura contrattuale deve rientrare tra quelle previste dal contratto collettivo di riferimento, quella per la sicurezza può essere adattata maggiormente in funzione della specificità dell’azienda. L’obiettivo è quello di individuare al meglio eventuali differenze tra i rischi di mansioni simili se queste determinano differenze negli accertamenti sanitari che il medico competente deve attuare durante la sorveglianza sanitaria;
  4. il significato della mansione sicurezza è opportuno sia esplicitato nel documento di valutazione dei rischi;
  5. la sostanza delle due diciture, quindi le attività previste dalla mansione contrattuale e dalla mansione per la sicurezza, non può essere in contrasto.

5 consigli per una formazione sicurezza efficace

La formazione sicurezza ha come finalità quella di dare forma a comportamenti di lavoro sicuri, per chi li attua e per chi ne è influenzato.

La formazione sicurezza ha come finalità quella di dare forma a comportamenti di lavoro sicuri, per chi li attua e per chi ne è influenzato. E questo aspetto dovrebbe essere il preambolo di qualunque corso sicurezza, per sgombrare il campo dall’idea che sia solo un discutibile obbligo calato dall’alto e riportarlo in quello dell’utilità pratica. Allo stesso tempo l’attenzione ai risvolti operativi dovrebbe rappresentare un monito per i formatori affinché il loro lavoro sia davvero efficace.

Ci sono però altri 4 consigli che invito a seguire per erogare una formazione sicurezza efficace e non solo a prova di ispezione.

1. In parole semplici

Pare che un corso di formazione sicurezza non possa dirsi tale se non comprende una lista di termini e definizioni copiati dal Testo Unico Sicurezza e qualche citazione dei suoi articoli.

Pare che un corso di formazione sicurezza non possa dirsi tale se non comprende una lista di termini e definizioni copiati dal Testo Unico Sicurezza e qualche citazione dei suoi articoli. La convinzione che si possa parlare di obblighi di legge solo riportando parola per parola i testi è limitante e controproducente: serviranno più parole, forse, precisazioni, di certo, ma è possibile tradurre in parole semplici la questione e farsi capire da chiunque. L’unico requisito necessario per riuscire a cambiare le parole senza cambiare il significato del discorso è avere chiaro ciò di cui si deve parlare!

2. Concretezza e coerenza

Se è vero che l'addestramento è un'attività separata e distinta dalla formazione, è altrettanto vero che la formazione non deve passare necessariamente per concetti astratti.

Se è vero che l’addestramento è un’attività separata e distinta dalla formazione, è altrettanto vero che la formazione non deve passare necessariamente per concetti astratti. Anzi, è verissimo il contrario: è cosa buona e giusta che la formazione venga calata nella realtà attraverso esempi, esercizi e simulazioni. Deve essere reale e realistica.

Concretezza è anche parlare di ciò che è previsto a programma, invece di infarcire le ore di riferimenti di legge senza arrivare mai alla sostanza. Perché chiunque partecipi a un corso di formazione sicurezza ha un’unica domanda in testa e per la quale si aspetta una risposta:

“in pratica che cosa devo fare?”

3. Nuotare nel mare tra il dire e il fare

Essere consapevoli della difficoltà della messa in pratica e delle variabili che la influenzano è essenziale. Ci si guadagna in credibilità,

Lasciamo stare la delicata questione che riguarda se sia possibile o meno mettere in pratica tutto quanto è previsto dalla normativa. Ma essere consapevoli della difficoltà della messa in pratica e delle variabili che la influenzano è essenziale. Ci si guadagna in credibilità, anche se si vuole proporsi come intransigenti della materia. E si può facilmente avviare un confronto costruttivo con chi, sempre in trincea, ne vede ogni giorno di nuove.

4. Attenzione al giudizio

Fare della sicurezza sul lavoro una questione morale è forse il modo più sicuro per risultare irritanti. Si finisce per giudicare chi non attribuisce valore all'argomento con il risultato di trovarsi su schieramenti opposti senza possibilità di comunicazione.

Fare della sicurezza sul lavoro una questione morale è forse il modo più sicuro per risultare irritanti. Si finisce per giudicare chi non attribuisce valore all’argomento con il risultato di trovarsi su schieramenti opposti senza possibilità di comunicazione. E, se il canale della comunicazione si chiude, si perde ogni possibilità di trasferire anche le nozioni più banali.

Per altro, se tutto quello che si riesce a fare è giocarsela sul piano morale, non è inevitabile dare l’impressione di non avere argomenti a sostegno dell’utilità della formazione sicurezza che tanto si declama?

OdV 231: quale responsabilità per la privacy?

L'OdV 231 è una figura d'impresa di cui non è scontato inquadrare il ruolo in materia di privacy. L'aiuto arriva dal Garante!

Ci sono figure che operano nell’ambito d’impresa che non è scontato inquadrare in termini di ruolo in materia di trattamento dei dati personali, al punto che il Garante, di sua iniziativa o su richiesta di associazioni di categoria, fornisce valutazioni volte alla loro corretta individuazione. Dopo la figura del medico competente, da considerare titolare autonomo del trattamento al pari dell’azienda per la quale svolge il proprio incarico, oggi parlo dell’Organismo di Vigilanza 231 (OdV 231).

Che cos’è l’OdV 231?

Con il decreto legislativo 231 del 2001, il legislatore ha individuato una serie di reati per i quali, oltre alla responsabilità della persona fisica che li ha commessi o che se ne assume la responsabilità per il ruolo che ricopre all’interno di una data organizzazione, è prevista la possibilità, in fase di giudizio, di coinvolgere la responsabilità dell’organizzazione (ente).

Una delle caratteristiche del Modello 231 è quella di comprendere l'affidamento delle funzioni di vigilanza sull'efficacia e sull'attuazione delle procedure a una o più persone, con la formale costituzione dell'Organismo di Vigilanza.

Allo stesso tempo, il decreto ha individuato la possibilità per l’organizzazione di dotarsi di un modello di organizzazione e gestione (Modello 231), ossia di un insieme di procedure che, se in possesso di specifiche caratteristiche e se attuato in modo efficace, può rappresentare uno strumento per dimostrare l’estraneità dell’ente dal reato e, quindi, escluderne la responsabilità.

Una delle caratteristiche del Modello 231 è quella di comprendere l’affidamento delle funzioni di vigilanza sull’efficacia e sull’attuazione delle procedure a una o più persone, con la formale costituzione dell’Organismo di Vigilanza.

Quale responsabilità per la privacy?

Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un “parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231“.

Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un "parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231".

La posizione del Garante è netta e sintetizzabile in 4 punti:

  1. l’OdV 231, anche se dotato di potere d’iniziativa e controllo per svolgere la propria funzione in modo autonomo, non può essere considerato titolare del trattamento perché i suoi compiti non sono autodeterminati ma definiti dall’organo dirigente dell’organizzazione che lo ha incaricato e che ne definisce le modalità di funzionamento e le risorse a disposizione;
  2. l’OdV 231 non può essere considerato nemmeno responsabile del trattamento in quanto eventuali sue omissioni non ricadono sull’organismo ma sull’organizzazione, laddove la normativa in materia di privacy prevede che il responsabile del trattamento abbia a proprio carico una serie di obblighi e sia direttamente responsabile in caso della loro inosservanza;
  3. l’OdV 231 è parte dell’ente che, quale titolare del trattamento, deve designare i singoli membri dell’OdV come soggetti autorizzati al trattamento, che dovranno attenersi alle istruzioni del titolare;
  4. le istruzioni che il titolare definisce per i membri dell’OdV 231 quali soggetti autorizzati non devono minarne l’autonomia e l’indipendenza rispetto agli organi societari, che sono requisiti necessari per lo svolgimento della funzione dell’OdV 231 ai sensi del decreto 231/01.
L'OdV 231 non ha un "incarico privacy" in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.

Quindi l’OdV 231 non ha un “incarico privacy” in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.

Nuovo rischio videoterminali con lo smart working?

Chi in "tempi normali" svolgeva mansioni amministrative o commerciali con un'attività ridotta ai videoterminali, con il passaggio allo smart working può avere aumentato l'utilizzo del PC sino a superare la soglia delle 20 ore a settimana, a partire dalla quale scatta l'obbligo di sorveglianza sanitaria.

Chi in “tempi normali” svolgeva mansioni amministrative o commerciali con un’attività ridotta ai videoterminali, con il passaggio allo smart working può avere aumentato l’utilizzo del PC sino a superare la soglia delle 20 ore a settimana, a partire dalla quale scatta l’obbligo di sorveglianza sanitaria. In termini pratici questo può comportare conseguenze diverse per il datore di lavoro a seconda della realtà aziendale. Le metto in fila una alla volta.

Sorveglianza sanitaria per i videoterminalisti

Superata la soglia delle 20 ore a settimana ai videoterminali scatta l'obbligo di sorveglianza sanitaria.

Superata la soglia delle 20 ore a settimana ai videoterminali scatta l’obbligo di sorveglianza sanitaria. In pratica?

A. Se prima nessun comparto aziendale risultava soggetto a sorveglianza sanitaria, il datore di lavoro deve provvedere a nominare il medico competente e attivare la sorveglianza sanitaria.

B. Se prima la sorveglianza sanitaria era attiva per altre mansioni, adesso si tratta di integrare il protocollo sanitario, la lista degli accertamenti previsti per ciascuna mansione, includendo il da farsi per la nuova mansione e avviare le visite per gli interessati.

C. Se prima erano presenti lavoratori con una mansione corrispondente a quella adesso svolta da amministrativi e commerciali prima “rispettosi” della soglia delle 20 ore settimanali di VDR, si tratta solo di inviare questi ultimi a sorveglianza sanitaria.

Bisogna aggiornare il documento di valutazione dei rischi?

Lo smart working deve essere oggetto di valutazione dei rischi specifica, questo significa che l'unico caso in cui è di fatto possibile evitare di aggiornare il DVR è quello in cui l'attività specifica in smart working è già stata valutata.

La logica è analoga a quella della sorveglianza sanitaria: se la variazione dell’attività di alcuni lavoratori va a confluire in casistiche già previste dalla gestione sicurezza aziendale, allora è sufficiente integrare le visite mediche e la questione è risolta; se, invece, la variazione dell’attività rappresenta una novità assoluta, di questa variazione bisogna rendere conto nel documento di valutazione dei rischi (DVR) che, quindi, andrà aggiornato.

Attenzione a un aspetto: lo smart working deve essere oggetto di valutazione dei rischi specifica, questo significa che l’unico caso in cui è di fatto possibile evitare di aggiornare il DVR è quello in cui l’attività specifica in smart working è già stata valutata. Al contrario, l’introduzione di questa modalità di lavoro e modalità specifiche di svolgimento della mansione determinano sempre l’obbligo di aggiornamento del DVR.

E la formazione dei lavoratori?

Se parliamo di formazione obbligatoria, divisa in generale e specifica, la risposta è analoga a quella fornita per il DVR: se la formazione già erogata ai lavoratori comprendeva contenuti specifici per i videoterminali e lo smart working, allora non serve integrare nulla, in caso contrario è necessario aggiornarla.

Se la formazione già erogata ai lavoratori comprendeva contenuti specifici per i videoterminali e lo smart working, allora non serve integrare nulla, in caso contrario è necessario aggiornarla.

Attenzione a un altro aspetto! Quello dell’informativa.

La Direttiva n. 3 del 2017 in materia di lavoro agile del Presidente del Consiglio dei Ministri prevede che il datore di lavoro, in caso di attivazione dello smart working, consegni, sia al lavoratore interessato da questa modalità organizzativa sia al Rappresentante dei Lavoratori per la Sicurezza, “prima dell’avvio della prestazione di lavoro agile, con cadenza almeno annuale (e/o ad ogni variazione significativa delle condizioni lavorative e di rischio connesse in particolare con il cambio di mansione) l’informativa dove sono individuati i rischi generali e specifici relativi alla prestazione da svolgere e le misure da adottare“.

Quindi: se anche non si rendesse necessario aggiornare la formazione secondo l’Accordo Stato Regioni del 21 dicembre 2011, l’informativa è in ogni caso da predisporre e consegnare.

Sanzioni disciplinari, anche per salute e sicurezza

Tra le carte che il datore di lavoro si può giocare per sensibilizzare i lavoratori, le sanzioni disciplinari sono di certo la più antipatica

Datore di lavoro e lavoratori sono legati da un contratto che contiene le regole che entrambe le parti devono rispettare nel corso dell’attività di lavoro. Tra queste regole vi è quella che prevede che, in caso di violazione delle condizioni contrattuali, i lavoratori possono essere sanzionati. Le sanzioni sono dette disciplinari e il datore di lavoro deve applicarle rispettando le indicazioni previste dal contratto collettivo nazionale (CCNL) di riferimento e dallo Statuto dei lavoratori.

Non voglio addentrarmi nella normativa che definisce tipologia, modalità di applicazione, scelta e opposizione alle sanzioni disciplinari, pur accennando a qualche informazione di base. L’aspetto che mi interessa sottolineare è che gli obblighi di legge a carico dei lavoratori definiti dal D. L. vo 81/08 e ss.mm.ii., così come le procedure interne definite dal datore di lavoro con il supporto del Responsabile del Servizio di Prevenzione e Protezione e il medico competente, sono parte integrante dei vincoli contrattuali, e come tali possono essere oggetto di sanzione disciplinare se non rispettati.

Gli obblighi di legge a carico dei lavoratori definiti dal D. L. vo 81/08 e ss.mm.ii., così come le procedure interne definite dal datore di lavoro con il supporto del Responsabile del Servizio di Prevenzione e Protezione e il medico competente, sono parte integrante dei vincoli contrattuali.

Alcuni esempi di violazioni sanzionabili

La violazione del contratto può riguardare sia aspetti organizzativi, come il mancato rispetto degli orari di lavoro, sia aspetti relativi alla salute e sicurezza sul lavoro (ex. il mancato utilizzo dei DPI, il mancato rispetto delle procedure di lavoro, l’introduzione di alcol nel luogo di lavoro), sia la violazione delle regole che l’impresa può avere definito al proprio interno rendendole oggetto di un regolamento integrativo del contratto di lavoro (ex. la modalità di gestione delle attrezzature aziendali), sia la natura fiduciaria del rapporto di lavoro (ex. il furto di un bene aziendale, una minaccia personale).

In che cosa consistono le sanzioni disciplinari

Le sanzioni disciplinari comprendono, in ordine crescente di gravità:

  1. il rimprovero verbale;
  2. il rimprovero scritto;
  3. la multa, cioè la trattenuta economica dalla retribuzione (per un massimo di 4 ore);
  4. la sospensione dal servizio e dalla retribuzione (per un massimo di 10 giorni);
  5. il licenziamento (per giustificato motivo, con preavviso ma anche per giusta causa senza preavviso).
Fatta eccezione per il rimprovero verbale e per il licenziamento per giusta causa, in tutti gli altri casi il datore di lavoro, prima di applicare la sanzione disciplinare, deve formulare la propria contestazione al lavoratore in forma scritta.

Fatta eccezione per il rimprovero verbale e per il licenziamento per giusta causa, in tutti gli altri casi il datore di lavoro, prima di applicare la sanzione, deve formulare la propria contestazione al lavoratore in forma scritta, consegnarla con ricevuta a mano o con raccomandata postale all’interessato e consentirgli di fornire le sue spiegazioni a quanto gli viene contestato, nel termine di 5 giorni dalla data di ricevimento della contestazione.

Decorsi i 5 giorni, il datore di lavoro, tenendo conto di eventuali riscontri del lavoratore, può applicare una sanzione disciplinare scegliendola in modo che sia commisurata alla gravità della violazione e dandone comunicazione all’interessato.

Perché applicarle le sanzioni disciplinari in ambito di salute e sicurezza sul lavoro

Il datore di lavoro può rendere esplicite le proprie buone intenzioni prevedendo anche un meccanismo premiante per i più rispettosi, oltre a quello punitivo per gli "indisciplinati".

Per quanto le imprese siano più portate a concepire le sanzioni disciplinari come strumento repressivo di comportamenti che determinano costi aggiuntivi o una riduzione dei guadagni, di fatto le sanzioni disciplinari possono diventare uno strumento attraverso il quale rendere evidente e indiscutibile l’attenzione e la rilevanza che salute e sicurezza hanno per l’organizzazione.

Tra le carte che il datore di lavoro si può giocare per sensibilizzare i lavoratori, le sanzioni disciplinari sono di certo la più antipatica, sia perché incidono su aspetti relazionali sia perché rappresentano un ulteriore aspetto da gestire con attenzione dal punto di vista dei dettagli di legge. Inserite in un sistema più ampio di formazione e vigilanza, però, le sanzioni disciplinari possono risultare non solo efficaci, ma anche tutelanti per il datore di lavoro. Che, comunque, può rendere esplicite le proprie buone intenzioni prevedendo anche un meccanismo premiante per i più rispettosi, oltre a quello punitivo per gli “indisciplinati”.

La formazione obbligatoria per il datore di lavoro

Non esiste una formazione minima richiesta, cioè la formazione obbligatoria per il datore di lavoro si individua in base ai ruoli che ricopre e alle attività che svolge nell'ambito dell'impresa.

Il datore di lavoro ha l’obbligo di formare, direttamente o per il tramite di formatori, i propri lavoratori. Ma quali corsi deve seguire in prima persona? Non esiste una formazione minima richiesta, cioè la formazione obbligatoria per il datore di lavoro si individua in base ai ruoli che ricopre e alle attività che svolge nell’ambito dell’impresa.

Ruoli aziendali per i quali il datore di lavoro deve essere formato

Nei casi previsti dall’allegato II del D. L.vo 81/08 e ss.mm.ii, il datore di lavoro può svolgere direttamente l’incarico di RSPP. E, per svolgere l’incarico, deve aver frequentato il corso di formazione specifico in base al rischio aziendale e deve procedere all’aggiornamento quinquennale.

Per svolgere l'incarico di RSPP il datore di lavoro deve aver frequentato il corso di formazione specifico.

Non sono previste invece limitazioni (dopo la modifica al Testo Unico Sicurezza del 2015) ai casi in cui il datore di lavoro svolga la funzione di addetto alla gestione delle emergenze, primo soccorso o antincendio. Come per il caso del RSPP, il requisito necessario è che frequenti il corso di formazione necessario in base alla classificazione dell’attività (a rischio basso, medio o elevato) e dell’azienda (gruppo A, B o C) e, periodicamente, a quello di aggiornamento.

Attività con formazione obbligatoria per il datore di lavoro

Se il datore di lavoro partecipa, anche con sola funzione di vigilanza e recupero in caso di emergenza, alle attività in spazi confinati e/o sospetti di inquinamento, allora dovrà essere in possesso di attestato di formazione sull’argomento. Così richiede la norma di riferimento, il DPR 177/2011.

Se il datore di lavoro partecipa, anche con sola funzione di vigilanza e recupero in caso di emergenza, alle attività in spazi confinati e/o sospetti di inquinamento, allora dovrà essere in possesso di attestato di formazione sull'argomento.

Il datore di lavoro deve essere in possesso di formazione specifica, aggiornata, anche nel caso utilizzi una o più delle attrezzature previste dall’Accordo Stato- Regioni del 22 febbraio 2012:

  • piattaforme di lavoro elevabili;
  • gru a torre;
  • gru mobile;
  • gru su autocarro;
  • carrelli elevatori semoventi con conducente a bordo;
  • trattori agricoli o forestali;
  • macchine movimento terra;
  • pompa per calcestruzzo.

Esiste un altro caso in cui la normativa prevede esplicitamente che la formazione di cui parla debba essere in possesso anche del datore di lavoro, se coinvolto nelle attività, ed è il corso per addetti ai sistemi di accesso e posizionamento mediante funi o alla sorveglianza di tale attività previsto dall’allegato XXI del D. L.vo 81/08 e ss.mm.ii.

sono sempre esclusi dalla formazione obbligatoria per il datore di lavoro i corsi per preposti e dirigenti e la formazione "base" (generale e specifica).

Esclusioni

Concludo con due precisazioni che ho imparato a non dare per scontate:

  1. sono sempre esclusi dalla formazione obbligatoria per il datore di lavoro i corsi per preposti e dirigenti e la formazione “base” (generale e specifica)!
  2. quando la normativa prevede che il datore di lavoro formi i lavoratori addetti a una specifica attività senza specificare che anche il datore di lavoro ricade nell’obbligo di formazione (ex. revisione, integrazione e apposizione della segnaletica stradale, utilizzo DPI di III categoria, montaggio/uso/smontaggio di ponteggi e redazione de Pi.M.U.S.) non si deve considerare la formazione come obbligatoria per il datore di lavoro che dovesse prendere parte all’attività in questione, ma nulla vieta che lui partecipi ai relativi corsi.

I contenuti della formazione sulla privacy

La formazione sulla privacy è obbligatoria e la sua assenza sanzionabile. Ma durata e contenuti non sono definiti, quindi che cosa fare?

La formazione in materia di privacy è obbligatoria e la sua assenza è sanzionabile. Ma non esistono riferimenti precisi in fatto di durata, contenuti e aggiornamenti in merito. Come organizzarla, quindi?

Concetti generali e operatività

Una formazione in materia di privacy che voglia essere efficace deve prevedere quindi contenuti generali e specifici (sì, come avviene per la sicurezza), dove i primi servono per conoscere il linguaggio della privacy e i secondi servono a tradurre in azioni concrete i principi generali.

L’obiettivo della formazione sulla privacy è quella di mettere chi raccoglie e tratta i dati nella condizione di essere consapevole della sua influenza sul rispetto delle disposizioni di legge previsti in materia di trattamento di dati personali, e anche delle azioni che l’organizzazione ha previsto a suo carico per la gestione dei dati in modo conforme.

Una formazione in materia di privacy che voglia essere efficace deve prevedere quindi contenuti generali e specifici.

Una traccia dei contenuti della formazione sulla privacy

Di seguito la mia proposta di un’ossatura della formazione che può essere arricchita di dettagli a seconda della tipologia e della dimensione dell’organizzazione ma che consente di passare dalla teoria alla pratica, rispondendo all’obbligo di formazione e anche all’esigenza di operatività di ogni organizzazione.

  1. Si parte dalla normativa di riferimento, anche solo per evitare confusione tra vecchia e nuova modulistica e per capire quale sia l’argomento in questione quando si vedono sigle e numeri.
  2. Si passa a termini e definizioni perché nel linguaggio tecnico le parole assumono un significato preciso, che consente di distinguere ruoli e responsabilità in modo univoco. Imparare a conoscere e a utilizzare termini specifici evita fraintendimenti e velocizza l’operatività.
  3. Calare la teoria nella realtà dell’organizzazione, dando nome e cognome al titolare del trattamento, ai responsabili esterni, agli addetti al trattamento, al DPO e illustrando i contenuti della documentazione predisposta per la gestione dei trattamenti dei dati, a partire dall’individuazione dei dati personali oggetto di trattamento.
  4. Individuare le situazioni potenzialmente pericolose e illustrare la procedura del data breach.
  5. Illustrare le sanzioni previste e alcuni esempi di applicazione da parte del Garante, con riferimento a tipologie di trattamenti analoghe a quelle dell’organizzazione per la quale si sta erogando la formazione.
  6. Proporre esercitazioni ed esempi, compilando la modulistica predisposta e affrontando le situazioni più comuni e quelle meno frequenti ma potenzialmente rischiose.
Di seguito la mia proposta di un'ossatura dei contenuti della formazione sulla privacy.

Durata e frequenza di aggiornamento

La durata del percorso dipende dal numero di persone che partecipano alla formazione, dalla complessità dell’organizzazione e dei trattamenti e dalla possibilità o meno di suddividere la formazione tra figure con uguale responsabilità in relazione al trattamento dei dati.

Nulla vieta di considerare come formazione già l’illustrazione dei documenti ai referenti di funzione, ma pensare di demandare loro la formazione ai loro sottoposti, in un percorso a cascata, risulta rischioso: un eventuale fraintendimento rischia di diffondersi in modo incontrollato tra colleghi e collaboratori.

La frequenza di aggiornamento, infine, è legata più alle variazioni delle tipologie di dati trattate o alle modifiche delle procedure di trattamento piuttosto che al passare del tempo. Per analogia si può parlare di integrazione o aggiornamento della formazione nel caso cambi il ruolo aziendale (e quindi l'”uso” dei dati in azienda).

E se si verifica un infortunio sul lavoro?

L'infortunio sul lavoro è una delle paure più grandi in ambito lavorativo: per i lavoratori, per i quali è minaccia alla salute, e per gli imprenditori, che si sentono in balia di eventi imprevedibili e incomprensibili.

L’infortunio sul lavoro è una delle paure più grandi in ambito lavorativo: per i lavoratori, per i quali è minaccia alla salute, e per gli imprenditori, che si sentono in balia di eventi imprevedibili e incomprensibili. Gestire le attività in modo da prevenire il verificarsi di infortuni sul lavoro è un obbligo di legge, una scelta etica e, anche, un’opportunità per riuscire a lavorare con maggiore serenità. Ignorare il rischio è il modo peggiore per gestirlo, quindi, oltre a definire le procedure di emergenza per il soccorso degli infortunati, è opportuno conoscere anche la dinamica dal punto di vista burocratico.

Attuare le misure di soccorso

Non temporeggiare e attuare nel più breve tempo possibile le misure di soccorso è il primo passo della gestione dell’infortunio sul lavoro. Questo significa stabilire se sia possibile prendersi cura dell’infortunato sul luogo dell’infortunio, se sia possibile trasportarlo al più vicino Pronto Soccorso o se, invece, non sia prioritario richiedere l’intervento dei soccorsi esterni sul luogo dell’accaduto.

Non temporeggiare e attuare nel più breve tempo possibile le misure di soccorso è il primo passo della gestione dell'infortunio sul lavoro.

Ci sono due aspetti che è opportuno sapere:

  1. nel periodo di emergenza sanitaria attuale, presentarsi in Pronto Soccorso può essere sconsigliato, soprattutto in assenza di preventivo contatto con la struttura;
  2. l’intervento dei soccorsi sul luogo dell’infortunio è accompagnato dalla segnalazione all’ATS/ASL di competenza o ai Carabinieri con conseguente sopralluogo immediato del luogo dell’accaduto.

Sopralluogo da parte degli enti di controllo e verbale di ispezione

Gli enti di controllo intervengono sul luogo dell’infortunio a seguito di segnalazione del 118 oppure a seguito di emissione del certificato di infortunio da parte del Pronto Soccorso. Sia in un caso che nell’altro, il sopralluogo si conclude con un verbale di ispezione nel quale:

  1. si dispone l’eventuale sospensione delle attività che hanno originato l’infortunio, il sequestro di mezzi o attrezzature coinvolte;
  2. si richiede copia della documentazione inerente la valutazione dei rischi e le misure di prevenzione e protezione adottate;
  3. si riportano i riferimenti dei soggetti con responsabilità in materia di salute e sicurezza sul lavoro (datore di lavoro, dirigente e preposto) e quelli relativi a eventuali testimoni, che possono essere sentiti sul posto o presso la sede dell’ente di controllo a seguito di convocazione.
Gli enti di controllo intervengono sul luogo dell'infortunio a seguito di segnalazione del 118 oppure a seguito di emissione del certificato di infortunio da parte del Pronto Soccorso.

Se lo ritiene opportuno, l’ente può definire le condizioni secondo le quali può essere nuovamente avviata l’attività mentre procede la sua attività ispettiva.

Denuncia di infortunio sul lavoro

Il datore di lavoro dell’infortunato deve provvedere entro 24 ore dalla ricezione del certificato di infortunio alla denuncia dell’infortunio tramite il sito INAIL.

Verbale di sanzione e prescrizione

Il verificarsi di un infortunio è considerato evidenza di violazione di una disposizione normativa in materia di salute e sicurezza. L’ente di controllo ricostruisce la dinamica dell’accaduto, analizza i documenti e le testimonianze ed emette un verbale di sanzione con definizione delle prescrizioni da attuare entro un termine definito.

 L'ente di controllo ricostruisce la dinamica dell'accaduto, analizza i documenti e le testimonianze ed emette un verbale di sanzione con definizione delle prescrizioni da attuare entro un termine definito.

I soggetti destinatari del verbale (tipicamente datore di lavoro ed eventuali dirigenti e preposti) devono dare evidenza dell’attuazione delle prescrizioni al fine di poter essere ammessi a pagare la sanzione in misura ridotta a un quarto. Nel caso in cui non provvedessero agli adempimenti nei tempi richiesti o tali adempimenti non fossero ritenuti adeguati o sufficienti, i soggetti sanzionati dovranno pagare la sanzione piena.

L’intervento della Procura della Repubblica

In caso di rispetto delle prescrizioni e di avvenuto pagamento della sanzione, l’ente di controllo trasmette proposta di archiviazione alla Procura della Repubblica che, comunque, può decidere di procedere d’ufficio nei confronti del soggetto presunto responsabile dell’infortunio, come avviene tipicamente nel caso di infortuni di prognosi superiore ai 40 giorni.

L’intervento della Procura della Repubblica è invece certo nel caso di mancato rispetto delle prescrizioni o mancato pagamento delle sanzioni nei termini definiti dall’ente di controllo.

L'intervento della Procura avvia un procedimento penale a carico dei presunti responsabili dell'infortunio che sono chiamati a dimostrare, per il tramite di un proprio legale o di un avvocato nominato d'ufficio, la propria estraneità ai fatti.

L’intervento della Procura avvia un procedimento penale a carico dei presunti responsabili dell’infortunio che sono chiamati a dimostrare, per il tramite di un proprio legale o di un avvocato nominato d’ufficio, la propria estraneità ai fatti o delle attenuanti alla propria responsabilità. Nell’ambito del procedimento penale, inoltre, l’infortunato si può costituire parte civile al fine di ottenere un risarcimento del danno subito.

La questione burocratica è quindi tutt’altro che semplice. Per questo dico sempre che la gestione efficace della salute e della sicurezza dei lavori è anche gestione lungimirante del rischio d’impresa.