Nel disegno di legge licenziato dal Governo il 16 ottobre 2012 si parla di azioni di “Semplificazione” agli adempimenti, soprattutto da un punto di vista cartaceo, legati alla Sicurezza sul Lavoro. L’intento è quello di adeguarsi agli standard e alle procedure in vigore nelle altre esperienze internazionali e di facilitare il controllo da parte degli organi di vigilanza che, ad oggi, si trovano spesso davanti documenti di ogni tipo che devono perdere tempo ad analizzare e studiare per misurarne la validità e, in molti casi, la reale attinenza all’attività in esame (il copia e incolla regna in presenza di ignoranza!) con un occhio all’abbattimento dei costi per le piccole e medie imprese.

Cosa potrebbe cambiare in pratica?

Riferendoci al DVR (documento di valutazione dei rischi) si torna al sogno,ormai utopistico, di avere dal ministero stesso dei modelli da compilare che siano uguali per tutti. In effetti il nostro scetticismo deriva dal fatto che dal lontano D.lgs. 626/94 stiamo ancora aspettando un unico modello di DVR che non permetta a qualche organo competente di sanzionare perché la forma grammaticale non è del tutto idonea!
Come già avvenuto nel caso della formazione per Datori di lavoro RSPP, Dirigenti, Preposti e lavoratori, si potrebbe cercare di individuare le attività a basso rischio infortunistico sulla base di criteri e parametri oggettivi (in Italia!). Vabbè, crediamoci e speriamo bene! Una volta fatta l’oggettiva distinzione, i datori di lavoro potranno attestare (quindi autocertificare come prima?) di aver compiuto la valutazione dei rischi, fermi restando i relativi obblighi, utilizzando il fantomatico modello ministeriale.

Qui siamo alle solite sul principio dell’autocertificazione. Se certifico di aver fatto la valutazione dei rischi, come la dimostro in presenza degli organi di controllo competenti o se qualcuno dei miei lavoratori ha la “sfortuna” di farsi male? Pensiamo che a questo punto la frase “fermi restando i relativi obblighi” acquisisca un senso compiuto. Speriamo!

Tale decreto dovrebbe entrare in vigore entro 60 giorni (ma cambiate ogni tanto, dite 65 giorni o magari 80, tanto per far credere che non è un tempo standard inventato ma una reale misurazione programmata da qualcuno!) dall’entrata in vigore della legge di semplificazione, ma le probabilità che i tempi vengano rispettati sono molto basse.
Per ora quindi teniamoci che la semplificazione introdotta, fino alla pubblicazione del decreto attuativo, permette alle aziende fino a 10 lavoratori di usufruire delle procedure standardizzate in corso di definizione (!) e comunque fino al 31 dicembre 2012 di effettuare la famosa autocertificazione che, lo ricordiamo a tutti coloro che credono di aver trovato il Santo Graal, espone a sanzioni penali in caso di falsa dichiarazione. Ci spieghiamo: se dichiaro di aver fatto la valutazione e poi mi controllano e non ho niente che lo attesti veramente, come faccio ad aver fatto la valutazione? Chiaro? Punto!
Inoltre i datori di lavoro che occupano fino a 50 lavoratori, sempre fino alla pubblicazione del decreto attuativo, potranno effettuare la valutazione sempre sulla base delle fantomatiche procedure standardizzate.

In riferimento agli obblighi derivanti dai contratti d’appalto o d’opera, di servizi e  di forniture, o di somministrazione, l’esecutivo ha previsto la modifica degli obblighi in tema di necessità di DUVRI (Documento unico di valutazione dei rischi da interferenza).

La semplificazione in questo caso prevede che il datore di lavoro Committente, che ha l’onere di  promuovere la cooperazione e il coordinamento dei lavori qualora il personale di aziende diverse sia costretto ad occupare il medesimo spazio di lavoro nel medesimo lasso di tempo scambiandosi o arricchendosi così dei rischi altrui, potrà nominare un proprio incaricato, sempre nelle attività a rischio (stra)basso, che sovraintenda a tale cooperazione e coordinamento del cui nome venga data evidenza nel contratto d’appalto.

Questa (povera) persona dovrà avere adeguata formazione, esperienza e competenza. In pratica dovrà essere il preposto dei preposti delle varie aziende operanti nell’appalto, quindi speriamo che la formazione sia adeguata alla figura e che, soprattutto venga detto anche a lui che è un preposto con tali responsabilità! (conosciamo sempre più spesso preposti di fatto, che non sanno cosa sia un preposto!). Il Duvri non dovrà essere redatto nei lavori o servizi la cui durata non sia superiore ai dieci-uomini giorno, sempre che non esistano rischi particolari.

Infine per dovere di cronaca citiamo anche le semplificazioni previste per il POS (piano operativo di sicurezza, il DVR che interessa il singolo cantiere di lavorazione), il PSC (piano di sicurezza e coordinamento, il “POS” di coordinamento da stilare in caso di presenza anche non contemporanea di due aziende sul medesimo cantiere temporaneo o mobile) e il PSS (piano di sicurezza sostitutivo, documento utilizzato in sostituzione al PSC quando non previsto, nelle gare di appalto da consegnare al vincitore entro 30 giorni dall’aggiudicazione). Anche qui sono previsti modelli semplificati in definizione d’essere, che aspettiamo con molta ansia, con adozione nei stessi termini previsti per gli altri adempimenti visti.

Qualcosa nella sicurezza si muove, sarà davvero più sicurezza e meno carta (intesa come soldi sprecati o documenti?), o più carta per fare meno sicurezza?

Restiamo in attesa insieme a voi.

Dott. Daniele Scopece, RSPP, docente-formatore

Intanto se non vuoi perdere tempo e fare quello di cui la tua azienda ha veramente bisogno, pagando il prezzo giusto a misura della tua azienda, visita la nostra pagina dei servizi o contattaci senza impegno.
Il nostro unico impegno è darti la sicurezza di cui hai bisogno te e i tuoi lavoratori.

Tags: 16 ottobre 2012, adempimenti sicurezza, autocertificazione, cantieri, costi, costi sicurezza, d.lgs. 81/08, datori di lavoro, duvri semplificato, DVR semplificato, formazione, lavoro, lgs, lgs 626, ministro del lavoro, misure sicurezza, Novità, piano operativo, pos, psc, pss, rspp, semplificato, SEMPLIFICAZIONI, sicurezza dei lavoratori, sicurezza sul lavoro, temporanei e mobili

Nuove regole per la sicurezza dei dati in rete e nelle tlc (garanteprivacy.it)

Il Garante per la Protezione dei dati ha pubblicato le “Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali” – Consultazione pubblica – 26 luglio 2012 (Pubblicato sulla Gazzetta Ufficiale n. 183 del 7 agosto 2012).
La direttiva 2002/58/Ce (c.d. direttiva e-Privacy) afferma che i fornitori di servizi di comunicazione elettronica devono adottare “appropriate misure tecniche e organizzative” per assicurare “un livello di sicurezza adeguato al rischio esistente” (art. 4, comma 1). Nella direttiva 2009/136/Ce (che ha modificato la direttiva 2002/58/Ce) si è tenuto conto, in particolare, del fatto che un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale al contraente (o alle altre persone interessate), tra cui l’usurpazione d’identità (cfr. considerando 61).

Con il recepimento delle suindicate previsioni tramite il decreto legislativo 28 maggio 2012, n. 69, con il quale il Governo ha dato attuazione alla delega prevista nell’art. 9 della legge comunitaria del 2010 (legge 15 dicembre 2011, n. 217, pubblicata in G.U. 2 gennaio 2012, n. 1), i fornitori di servizi di comunicazione elettronica sono oggi tenuti a comunicare senza indebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre persone interessate, l’occorrenza dei predetti eventi, qualificati come “violazioni di dati personali”.
In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall’Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le “violazioni di dati personali” (“data breaches”) che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.
La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
Chi deve comunicare le violazioni?
L’obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.

Il “registro delle violazioni”

Per consentire l’attività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.

Le sanzioni

Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.

Qualora si verificasse una violazione, come la comunichiamo al Garante per la Privacy?

Tramite l’apposito modulo “Modello di comunicazione al Garante“.

Per ulteriori approfondimenti potete consultare le linee guida complete previste dal provvedimento

Tags: attuazione della direttiva, comma, comunicazione, comunicazioni, consultazione, decreto legislativo, direttiva europea, disciplina, distruzione, garante per la privacy, gazzetta ufficiale, internet provider, legge 15, legge comunitaria, linee guida, misure, perdita dei dati, persone, sicurezza e privacy

Il Dlgs 81/08 recita all’art 29 comma 5: “I datori di lavoro che occupano fino a 10 lavoratori effettuano la valutazione dei rischi di cui al presente articolo sulla base delle procedure standardizzate di cui all’articolo 6, comma 8, lettera f). Fino alla scadenza del diciottesimo mese successivo alla data di entrata in vigore del decreto interministeriale di cui all’articolo 6, comma 8, lettera f), e, comunque, NON OLTRE IL 30 GIUGNO 2012, gli stessi datori di lavoro possono autocertificare l’effettuazione della valutazione dei rischi. Quanto previsto nel precedente periodo non si applica alle attività di cui all’articolo 31, comma 6, lettere a), b), c), d) nonchè g).”

Tags: 31/06/2012, articolo 31, articolo 6, autocertificazione, aziende, cessa, comma 6, dichiarazione, diciottesimo, dlgs, dpr 445 2000, DVR, DVR semplificato, effetti, lavoro, modello autocertificazione, periodo transitorio, scadenza, titolo, valutazione dei rischi

Il rappresentante legale, in presenza di una valida delega di funzioni, non è tenuto a vigilare sui singoli processi lavorativi di cui non è responsabile. Lo dice la Corte di Cassazione che, con la sentenza n. 10702 del 19 marzo 2012, ha assolto con formula piena la rappresentante legale di una società, affermando che l’imprenditore non è tenuto a essere operativo sulla sicurezza se non per quanto riguarda la vigilanza sul manager delegato. Occorre specificare che la delega di cui si discute non fa venir meno gli obblighi di vigilanza. Tuttavia qui si parla, come dispone il testo unico, di una vigilanza “alta”, quella cioè in carico al delegato.

La cosa più importante da considerare è il principio che sta alla base della delega. Questa ha senso se il delegante (o perché non sa, o perché non può, o perché non vuole agire in prima persona) trasferisce incombenze proprie ad altri, cui demanda i pertinenti poteri. Al delegato vengono trasferite le competenze afferenti la gestione del rischio lavorativo. Da ciò se ne deduce che al delegante spetta il controllo del processo gestionale generale affidato al delegato, ma non la verifica di ogni operazione sul campo eseguita dai lavoratori, in capo invece al delegato.

Questa decisione scatenerà il putiferio, ma per il momento la Suprema corte ha chiuso definitivamente il sipario sulla vicenda in esame assolvendo completamente la rappresentante legale dalle accuse di omicidio colposo scattate dopo la morte di un operaio in cantiere.

Estratto da Italia Oggi del 20/03/2012

Tags: 10702, 19 marzo 2012, 81/08, capo, cassazione, corte cassazione, D.lgs., d.lgs. 81/08, datore di lavoro, delega, delega di funzioni, delegante, delegato, italia oggi, la suprema corte, rappresentante, rappresentante legale, sentenza, sentenza n. 10702, sicurezza sul lavoro, testo unico

Più tutele per gli utenti di social network, blog e forum dedicati alla salute.
Prevista per i siti l’avvertenza di rischio

É quanto stabiliscono le ”Linee guida“ per i siti web dedicati alla salute (che non riguardano comunque i servizi di assistenza sanitaria on line e la telemedicina) varate dal Garante privacy e pubblicata il 20/02/2012 sulla Gazzetta Ufficiale.

Il ricorso sempre più crescente alla rete da parte di persone che, nell’ambio di siti web, blog, forum, social network si scambiano informazioni, inviano commenti, chiedono consigli o consulenze, presenta, insieme ad un innegabile vantaggio per gli utenti, anche potenziali rischi connessi alla pubblicazione e alla diffusione on line dei dati relativi alla loro salute.

In base alle Linee guida del Garante, i gestori di siti, blog, forum, social network dedicati a tematiche relative alla salute, che prevedano o meno la registrazione degli utenti, dovranno inserire nella loro home page una specifica “avvertenza di rischio”, il cui scopo sarà quello di richiamare l’attenzione sui rischi connessi al fatto di rendersi identificabili sul web in relazione alla propria patologia. E questo anche alla luce della possibilità che tali informazioni possano essere indicizzate dai motori di ricerca generalisti o conosciuti dalla generalità degli utenti Internet e non dai soli iscritti al sito.

L’utente, così avvisato, potrà fare attenzione e decidere in modo più consapevole se inserire o meno dati personali (es. nome, cognome e-mail etc.) che possano rivelare, anche indirettamente, la propria identità o quella di terzi, così come se pubblicare foto o video che consentano di rendere identificabili persone e luoghi. L’utente sarà invitato a dare conferma di aver preso visione dell’ “avvertenza di rischio”, barrando un’apposita casella.

I siti che prevedono la registrazione saranno tenuti anche ad informare gli utenti sugli scopi per i quali i dati sono richiesti, sulle modalità del loro trattamento, sui tempi di conservazione, sul diritto di cancellare, aggiornare, rettificare o integrare i dati così raccolti, come previsto dal Codice sulla Privacy.

Il Garante ha stabilito, infine, che i dati raccolti dai gestori dei siti dovranno essere protetti da rigorose misure di sicurezza, dovranno restare riservati e non essere comunicati o diffusi a terzi, e dovranno essere trattati solo da personale autorizzato.

fonte Garante Privacy [link]

Tags: blog, e mail, forum, garante, garante privacy, motori di ricerca, patologia, privacy blog, privacy forum, pubblicare foto, salute, salute e privacy, sanitaria on line, sicurezza, sicurezza salute, siti blog, siti web, social, social privacy, utenti internet, web, web 2.0, web blog

Si è tenuto a Roma il 24 febbraio 2012 il convegno “Tutela del dato nella società dell’informazione” presso la sala delle conferenze di P.za Monte Citorio. Il confronto si è basato sul tema del valore del dato sotto le più diverse angolazioni: economia, diritti fondamentali, sicurezza pubblica, informazione e conoscenza. Sotto la lente di ingrandimento anche gli scenari futuri per le aziende nella prospettiva tra legalità, regolazione e opportunità di business.
Organizzato da DMA Direct Marketing Association Italia, alla presenza del Presidente dell’autorità Garante per la Protezione dei dati personali, Dott. Franco Pizzetti ha visto tra gli altri la partecipazione del Presidente dell’Istituto Italiano per la Privacy, avv. Luca Bolognini, del Ministro dell’interno, capo dipartimento affari interni e territoriali, Prefetto Alessandro Pansa e il Presidente del comitato scientifico istituto italiano per la Privacy, avv. Rosario Imperiali.

Dopo le introduzioni da parte del Dott. Marco Rosso, presidente DMA Italia e dell’avv. Bolognini il “Garante della Privacy” ha voluto subito prendere la parola sotto la gestione del moderatore e giornalista parlamentare del TG2 Luciano Ghelfi.
“Evitare la schizofrenia!” l’imperativo del Garante Pizzetti, alla fine del suo mandato.
L’eccessivo controllo, anche da parte dello stato, dei propri cittadini come nei casi dei movimenti bancari di ogni tipo, anche quotidianamente.
Il direct marketing aggressivo e la politica Americana di Obama in merito hanno fatto da padroni in questo dibattito.
Il problema dell’OPT-in e dell’OPT-out, termini che indicano l’accesso e l’uscita alle informazioni commerciali alle quali ci registriamo e ci fanno registrare quotidianamente, ha reso attuale e molto pratica l’applicazione dei temi alla realtà dell’uomo qualunque, del cittadino tartassato giornalmente e costantemente. Diversi i provvedimenti dell’Autorità Garante in merito, ma pochi i risultati effettivi.
La profilazione delle nostre abitudini su internet (attraverso i cookies) e non solo, e la successiva pubblicità mirata hanno portato a riflessioni profonde anche sulla qualità dei dati in rete sopratutto dopo l’avvento dei social network che ha amplificato la quantità di informazioni spazzatura sulla rete, molto spesso inattendibili e non fruibili per qualunque fine.

La domanda da porsi è la seguente: è possibile gestire i sistemi globalizzati?

A oggi la soluzione italiana al trattamento eccedente dei dati personali è rappresentato dal Registro delle opposizioni che, se non risolve i problemi, si pone oggettivamente come uno strumento ulteriore di segnalazione all’autorità Garante.
Da Marzo 2011 a Dicembre 2011 le segnalazioni di telefonate non desiderate, anche grazie al registro, sono state 3500!
Altri elementi dibattuti hanno riguardato le regole internazionali sul Copyright, con la citazione di realtà come Pirate Bay e Megaupload. Il ditritto di proprietà, rappresentato dalla protezione economica dell’opera intellettuale sono una delle basi della Privacy, come citato anche dal 4° emendamento americano che protegge la proprietà dell’individuo.
Il cloud computing, rappresenta un altro problema per la protezione dei dati poiché molto spesso dietro l’offerta dei servizi si celano secondi fini nascosti che danneggiano il cittadino.
Infine la questione legata alle grandi multinazionali, come Google, Facebook, Apple che per tutelare la privacy, in assenza di una normativa internazionale comune e globalizzata, cercano, da soli, di darsi le regole migliori e condivise per garantire, a detta loro, la sicurezza dei propri utenti e clienti…Ma siamo sicuri che sono così buoni con tutti noi?

Dott. Daniele Scopece, docente e consulente in materia di Privacy ex D.lgs 196/03 smi
[Riproduzione vietata]

Tags: 24022012, apple, apple privacy, aziende, cloud, cloud computing, convegno, convegno privacy, costituzione, emendamenti, emendamento, facebook, facebook privacy, garante, garante della privacy, garante privaci, garante privacy, Ghelfi, google, google privacy, informazione, luciano ghelfi, megaupload, Optin, optou, pirate bay, politica americana, privaci, provider, servizi, TG2, tutela, tutela dati

Decreto legge n. 5 del 9/2/2012 Pubblicato in Gazzetta ufficiale n. 33 il 9/2/2012 suppl. ordinario n. 27 in vigore dal 10/2/2012

Come annunciato il tanto atteso Decreto Semplificazioni ha prodotto i suoi frutti.

Il decreto semplificazioni (Decreto legge n. 5 del 9/2/2012) è ormai legge, dopo la pubblicazione in Gazzetta Ufficiale (n. 33 il 9/2/2012 suppl. ordinario n. 27) e la conseguente entrata in vigore in data 10/2/2012.

Il cosiddetto decreto “Salva Italia” del 6 dicembre 2011 n.201 approvato con legge di conversione 22 dicembre 2011 n.214 e pubblicata sulla G.U. il 27 dicembre scorso aveva già apportato delle modifiche al testo del decreto relativo alla Protezione dei Dati Personali, in particolare all’art. 4 comma 1- lett. b) ex D.lgs. 196/03. In quest’occasione parlando di dato personale e di interessato al trattamento si era fatto ben intendere che la persona giuridica non era compresa in questo ambito. Nella pratica, alla persona giuridica, ente o associazione, non si applicano più i diritti dell’interessato dell’art. 7 e per “non” addolcire la pillola, non valgono più le misure di tutela per il trasferimento dei dati all’estero. Un’azienda non potrà più far ricorso al Garante in caso di trattamento illecito o non conforme alla legge sui dati a lei riferiti come persona giuridica e poiché i provvedimenti sui dati personali riferiti a persone giuridiche non saranno più applicabili non saranno più necessarie:

• l’informativa al trattamento dei dati personali verso persone giuridiche (clienti, fornitori, partner, etc..);
• le richieste di consenso, anche per finalità commerciali o di marketing, sempre nei confronti delle persone giuridiche.

L’architettura legislativa che era un modello europeo di tutela ed estensione dei diritti anche per le persone giuridiche, perde di valore in poche nuove righe.

Come previsto l’ Art. 45  del D.L. 5/2012 legifera nuove disposizioni in materia di misure minime di sicurezza ex “Codice in materia di protezione dei dati personali”.

Tale D.L. modifica anche il decreto (n.138 del 2011) che aveva introdotto la possibilità di autocertificazione in sostituzione del DPS “per i soggetti che trattano soltanto  dati  personali  non sensibili e che trattano  come  unici  dati  sensibili  e  giudiziari quelli relativi  ai  propri  dipendenti  e  collaboratori,  anche  se extracomunitari, compresi quelli relativi al coniuge e ai parenti”. Lo stesso Garante della Privacy, Francesco Pizzetti aveva già commentato queste novità dichiarando che “sono certo maggiori i potenziali costi, relativa ai rischi che comporta, che gli attesi vantaggi in ordine alla riduzione degli oneri” (Il Sole 24ore – 10 dicembre 2011).

Al decreto legislativo 30 giugno 2003, n. 196, sono quindi apportate le seguenti modificazioni:

a) all’articolo 21 dopo il comma 1 è inserito il seguente: «1-bis. Il trattamento dei dati giudiziari è  altresì  consentito quando è effettuato in attuazione  di  protocolli  d’intesa  per  la  prevenzione e il contrasto dei fenomeni di  criminalità  organizzata  stipulati  con  il  Ministero  dell’interno  o  con  i  suoi   uffici  periferici di cui all’articolo 15, comma 2, del  decreto  legislativo 30 luglio 1999,  n.  300,  che  specificano  la  tipologia  dei  dati  trattati e delle operazioni eseguibili.»;
b) all’articolo 27, comma 1, è aggiunto, in  fine,  il  seguente periodo: “Si applica quanto previsto dall’articolo 21, comma 1-bis.”;
c) all’articolo 34 è soppressa la lettera g) del comma 1  ed  è  abrogato il comma 1-bis; (abrogazione obbligo D.P.S. e autocertificazione)
d) nel disciplinare  tecnico  in  materia  di  misure  minime  di sicurezza di cui all’allegato B sono soppressi i paragrafi  da  19  a 19.8 e 26.

COSA DEVONO FARE LE AZIENDE IN MATERIA DI PRIVACY?

Innanzitutto l’adeguamento alla Privacy in Italia NON È la redazione del DPS, già in vigore con l’ex D.lgs. 675/96, così come sarebbe sciocco pensare che la sicurezza sul lavoro sia solo la redazione del Documento di valutazione dei rischi (ex D.lgs. 81/08 smi), senza pensare minimamente alla reale sicurezza dei lavoratori, o, come nel nostro caso, dei dati delle persone e dei loro diritti di riservatezza. Come ho avuto spesso occasione di dire ai nostri clienti, il Garante ha sempre inteso l’adeguamento come una misura “cautelativa”, ricordando che il 90% delle sanzioni nasce da segnalazioni di privati e non da controlli degli organi competenti.

Il DPS non è che una delle misure minime di sicurezza obbligatorie, finalizzate alla riduzione dei rischi di distruzione, perdita, accesso non autorizzato e trattamento non consentito di dati personali.

Lo stesso articolo 34 infatti specifica come il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le misure minime ancora obbligatorie riportate in basso.

Chi in questi anni ha provveduto onestamente all’adeguamento alla norma sa che la Privacy è un’orchestra costituita, anche dopo il Decreto semplificazioni obbligatoriamente,  da:

1. designazioni e nomine (responsabili e incaricati interni e esterni, amministratori di sistema, responsabili della videosorveglianza);
2. obblighi di informativa ed eventuale consenso al trattamento (art. 13)
3. particolari provvedimenti generali dell’autorità Garante (videosorveglianza, amministratori di sistema, custodia delle password, utilizzo di Internet e mail nei luoghi di lavoro, ecc.)
4. previsioni specifiche previste nelle autorizzazioni generali o in provvedimenti simili (autorizzazione al trattamento di dati genetici, dati relativi al traffico ecc.).

RICORDATE che Rimangono in vigore sanzioni e potenziali controlli da parte dell’Autorità Garante, anche tramite il nucleo operativo privacy della GDF (su 230 controlli nel 1semestre 2011, 181 sono stati sanzionatori).

Eliminare il D.P.S. non vuol dire abrogare la Privacy e fregarsene della sicurezza dei dati.
Il titolare coscienzioso, elaborerà comunque un documento di sintesi sugli adempimenti minimi di sicurezza previsti anche per risparmiarsi un sacco di fatica in caso di controllo.
Il titolare più ingenuo riterrà che la Privacy sia solo una perdita di tempo e soldi e che questa è l’occasione giusta per avere una scusa!
La lungimiranza e il successo appartengono a pochi.
Chi vuole avere successo sa che occorre assumersi le proprie responsabilità, perciò se il decreto avrà nella prassi l’effetto di spingere i titolari a sostituire il D.P.S. eccessivamente formale dell’All. B con un nuovo documento più flessibile, il legislatore avrà raggiunto un risultato di pregio.

Articolo a cura del Dott. Daniele Scopece, consulente e docente in materia di Privacy

[RIPRODUZIONE VIETATA]

Tags: clienti fornitori, CRESCITALIA, dati personali, decreto legge, DL 5/2012, DPS, garante, garante privacy, gazzetta ufficiale, incaricati, informativa, nomina, novità privacy, obbligo DPS, persone giuridiche, privaci, PRIVACY, privacy 2012, privacy facebook, protezione, responsabili, SEMPLIFICAZIONI

Il 21 dicembre 2011 è stato formalizzato l’accordo tra il Ministro del lavoro e delle politiche sociali, il Ministro della salute, le Regioni e le Province autonome di Trento e Bolzano relativamente alla formazione dei lavoratori, dirigenti, preposti e Datori di Lavoro che si sono assunti l’incarico di RSPP ai sensi dell’articolo 37, comma 2, del decreto legislativo 9 aprile 2008, n. 81.

Il presente accordo è stato pubblicato sulla Gazzetta Ufficiale N. 8 del 11 Gennaio 2012:

CONFERENZA PERMANENTE PER I RAPPORTI TRA LO STATO LE REGIONI E LE PROVINCE AUTONOME DI TRENTO E BOLZANO

ed è entrato in vigore il dopo il decimoquinto (15°) giorno come previsto dalla legge, quindi è in essere dal 26 Gennaio 2012. Sono previsti 18 mesi per eventuali adeguamenti dalla data di pubblicazione.

L’Accordo prevede percorsi formativi differenziati e specifici per i lavoratori, i dirigenti ed i preposti la cui durata minima è stabilita in base alla classificazione dei settori ATECO (2002-2007).

La Formazione potrà essere erogata solo da:

a) le Regioni e le Province autonome di Trento e di Bolzano, anche mediante le proprie strutture tecniche operanti nel settore della prevenzione (Aziende Sanitarie Locali, etc.) e della formazione professionale; le Regioni e le Province autonome di Trento e di Bolzano possono, altresì, autorizzare, o ricorrere a ulteriori soggetti operanti nel settore della formazione professionale accreditati in conformità al modello di accreditamento definito in ogni Regione e Provincia Autonoma ai sensi dell’ intesa sancita in data 20 marzo 2008 e pubblicata su GURI del 23 gennaio 2009.In tal caso detti soggetti devono, comunque, dimostrare di possedere esperienza biennale professionale maturata in ambito prevenzione e sicurezza nei luoghi di lavoro o maturata nella formazione alla salute e sicurezza nei luoghi di lavoro;

b) l’Università e le scuole di dottorato aventi ad oggetto le tematiche del lavoro e della formazione;

c) l’INAIL;

d) il Corpo nazionale dei vigili del fuoco o i corpi provinciali dei vigili del fuoco per le Province Autonome di Trento e Bolzano;

e) la Scuola superiore della pubblica amministrazione;

f) altre Scuole superiori delle singole amministrazioni;

g) le associazioni sindacali dei datori di lavoro o dei lavoratori;

h) gli enti bilaterali, quali definiti all’articolo 2, comma 1, lettera h), del D.Lgs. 10 settembre 2003, n. 276, e successive modifiche e integrazioni, e gli organismi paritetici quali definiti all’articolo 2 comma 1 lettera ee) del D.Lgs. n. 81/08 e per lo svolgimento delle funzioni di cui all’articolo 51 del D.Lgs. n. 81/08;

i) i fondi interprofessionali di settore;

j) gli ordini e i collegi professionali del settore di specifico riferimento.

Qualora i soggetti sopra indicati ai punti dalla lettera b) alla lettera j) intendano avvalersi di soggetti formatori esterni alla propria struttura,  questi ultimi devono essere in possesso dei requisiti previsti nei modelli di accreditamento definiti in ogni Regione e Provincia Autonoma ai sensi dell’ intesa sancita in data 20 marzo 2008 e pubblicata su GURI del 23 gennaio 2009.

Le associazioni sindacali dei datori di lavoro e dei lavoratori, gli enti bilaterali e gli organismi paritetici possono effettuare le attività formative e di aggiornamento o direttamente o avvalendosi unicamente di strutture formative di loro diretta emanazione.

I docenti devono avere una esperienza almeno triennale in materia di  tutela della salute e sicurezza sul lavoro maturata nei settori pubblici o privati.

FormaSer si avvale di professionisti qualificati che posseggono tutti i requisiti e specializzazioni per l’erogazione dei corsi e collabora già da tempo nel campo della formazione della sicurezza sul lavoro ex D.lgs.81/08 con Enti Bilaterali riconosciuti sul territorio nazionale.

Di seguito sono schematizzati i requisiti minimi richiesti per la formazione dei Datori di Lavoro che svolgono la funzione di RSPP, dei lavoratori, dei dirigenti, dei preposti. Presentiamo anche schema della classificazione del rischio delle aziende in base al modulo Ateco di appartenenza individuato.

Tags: 26 gennaio 2012, accordo stato regioni, art 34, art. 36, articolo 34, articolo 36, ateco 2002, aziende, classificazione, comma, conferenza permanente, corsi sicurezza sul lavoro Roma, d.lgs. 81/08, datori di lavoro, dirigenti, formazione, gazzetta ufficiale, intesa, lavoratori, ministro del lavoro, ministro della salute, numero 8, nuovi accordi, politiche sociali, preposti, rspp, schema, sensi, sicurezza dei lavoratori, sicurezza Roma, smi, soggetti, stabilita

Ideata negli anni sessanta negli Stati Uniti per garantire l’igiene e la conservazione dei prodotti alimentari forniti agli astronauti, la Hazard Analysis and Critical Control Point (H.A.C.C.P.) entra in vigore in Europa nel 1993.

A oggi la normativa in materia si basa sui regolamenti CE 852/04, 178/02 e la delibera 852/09 e disposizioni n° 282/02 della Regione Lazio. Nella pagina dei servizi FormaSer relativa all’HACCP è possibile trovare tutta la nostra offerta di consulenza.

In questa sede ci preme avvertire la nostra clientela e chi è in cerca di un partner affidabile per l’adeguamento normativo della propria attività di un’incredibile offerta.

Contattaci per iscriverti direttamente al corso o avere informazioni in merito.

Tags: adeguamenti, corsi haccp, critical control point, H.A.C.C.P, hazard analysis and critical control point, informazioni, lgs, medicina del lavoro, misure minime di sicurezza, procedure di gestione, sicurezza dei lavoratori, sicurezza sul lavoro

Siamo in attesa di avere notizie sul destino degli adempimenti della Privacy dal “decreto semplificazioni” in pubblicazione sulla Gazzetta ufficiale.
La norma, infatti, dovrebbe abrogare la lettera g) dell’art. 34 comma 1 del D.lgs. 196/03 Codice in materia di protezione dei dati personali e il comma 1 bis del medesimo articolo (procedura semplificata solo per le PMI attraverso l’autocertificazione), nonché i punti da 19 a 19.8 e 26 del relativo Allegato B.

QUINDI, COSA DEVONO FARE LE AZIENDE IN MATERIA DI PRIVACY?
Innanzitutto l’adeguamento alla Privacy in Italia NON È la redazione del DPS, già in vigore con l’ex D.lgs. 675/96, così come sarebbe sciocco pensare che la sicurezza sul lavoro sia solo la redazione del Documento di valutazione dei rischi (ex D.lgs. 81/08 smi), senza pensare minimamente alla reale sicurezza dei lavoratori, o, come nel nostro caso, dei dati delle persone e dei loro diritti di riservatezza.
Il DPS non è che una delle misure minime di sicurezza obbligatorie, finalizzate alla riduzione dei rischi di distruzione, perdita, accesso non autorizzato e trattamento non consentito di dati personali.
Lo stesso articolo 34 infatti specifica come il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B).

RIMANE OBBLIGATORIO
1    l’autenticazione informatica;
2    l’adozione di procedure di gestione delle credenziali di autenticazione
3    l’utilizzazione di un sistema di autorizzazione
4    l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla    manutenzione degli strumenti elettronici
5    la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
6    l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
7    g) tenuta di un aggiornato documento programmatico sulla sicurezza
8    l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

Chi in questi anni ha provveduto onestamente all’adeguamento alla norma sa che la Privacy è un complesso burocratico costituito anche da:
1.    designazioni e nomine (eventuali responsabili interni e esterni, incaricati, amministratori di sistema, responsabili della videosorveglianza);
2.    obblighi di informativa ed eventuale consenso al trattamento (art. 13)
3.    particolari provvedimenti generali dell’autorità Garante (videosorveglianza, amministratori di sistema, uso di Internet e mail nei luoghi di lavoro, ecc.)
4.    previsioni specifiche previste nelle autorizzazioni generali o in provvedimenti simili (autorizzazione al trattamento di dati genetici, dati relativi al traffico ecc.)

LA FINE DEI NOSTRI DATI PIÙ INTIMI?
Adempimenti che rimangono in vigore, ma non dovranno più essere riportati nel D.P.S. per cui, rispetto a quando i processi di semplificazione riguardavano solo le imprese (che trattano dati per finalità amministrativo-contabili), stavolta, la sua eliminazione riguarderà tutti i titolari, pubblici e privati.
Questo vuol dire che le procedure di sicurezza per i dati trattati, da ospedali, cliniche private, banche, assicurazioni e pubbliche amministrazioni non dovranno più essere rese note e quindi TRASCURATE!
Rimangono in vigore sanzioni e potenziali controlli da parte dell’Autorità Garante, anche tramite il nucleo operativo privacy della GDF (su 230 controlli nel 1semestre 20122, 181 sono stati sanzionatori).

LA LOGICA SUPERA OGNI REGOLA!

Eliminare il D.P.S. non vuol dire abrogare la Privacy e fregarsene della sicurezza dei dati.
Il titolare coscienzioso, elaborerà comunque un documento di sintesi dei provvedimenti in essere in azienda per garantire la sicurezza e si risparmierà un sacco di fatica in caso di controllo.
Il titolare più ingenuo riterrà che la Privacy sia solo una perdita di tempo e soldi e che questa è l’occasione giusta per avere una scusa!
La lungimiranza e il successo appartengono a pochi.
Chi vuole avere successo sa che occorre assumersi le proprie responsabilità, perciò se il decreto avrà nella prassi l’effetto di spingere i titolari a sostituire il D.P.S. eccessivamente formale dell’All. B con un nuovo documento più flessibile, il legislatore avrà raggiunto un risultato di pregio.
Rimaniamo perciò in attesa di vedere il testo effettivamente pubblicato in Gazzetta Ufficiale e poi gli eventuali interventi di modifica in sede di conversione in parlamento.

Tags: art 34, autenticazione informatica, autocertificazione, credenziali di autenticazione, disciplinare tecnico, informatica 2, lgs, misure minime di sicurezza, procedure di gestione, sicurezza dei lavoratori, sicurezza sul lavoro