Tag: Dlgs 81/2008

Posted on

Software per valutazione SLC

Samuel De Fazio

Valutazione SLC: disponibile il mio software programmato in Excel

È ora disponibile il file Excel programmato per la valutazione SLC (stress lavoro-correlato) secondo le linee guida pubblicate dall’INAIL a ottobre 2017, aggiornando quelle del 2011.

Il mio file, scaricabile dal portale iCLHUB, si propone come alternativa alla piattaforma online messa a disposizione dall’INAIL, a cui si può accedere solo previa autenticazione.

Oltre a essere funzionante offline, ha il pregio di poter essere modificato a piacimento dall’utilizzatore, così che possa essere adattato alle sue esigenze.

Si invitano coloro che vorranno scaricarlo a considerare che:

  • La responsabilità della valutazione dei rischi – qualunque essi siano, quindi anche l’SLC – grava sul datore di lavoro.
  • Per ottenere il miglior risultato possibile, la valutazione SLC e la base di dati elaborati dal software devono essere costantemente aggiornate, almeno una volta l’anno.

Posted on

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

Sono due adempimenti richiesti dal GDPR con peculiari caratteristiche che si realizzano attraverso la formazione di due documenti distinti, solamente se ricorrono i casi specificati. Ma a ben vedere, il loro legame è molto più profondo di quanto possa apparire e potrebbe essere utile considerarli “simbiotici”.

In biologia la simbiosi è un rapporto che s’instaura a livello intimo tra due soggetti e che tende a legarli in maniera forte e mutuale, con lo scopo ultimo di portare un vantaggio reciproco a entrambi nel corso del tempo e dell’evoluzione del contesto di riferimento.

È possibile, dunque, trovare questo tipo di connessione tra il registro del responsabile del trattamento e la valutazione d’impatto sulla protezione dei dati? E se è possibile, quanto sarebbe utile farlo?

Questa è la domanda con cui sono uscito dal seminario organizzato da AssoDPO a Milano lo scorso 26 ottobre, durante il quale si è ampiamente dibattuto sullo stato dell’applicazione del GDPR a circa 200 giorni dalla sua definitiva applicazione diretta su tutto il territorio dell’Unione. Molte informazioni utili e un importante spunto di riflessione, appunto.

Come mia abitudine, parto dal considerare i principali riferimenti normativi, per circoscrivere il discorso che altrimenti rischierebbe di divagare troppo. Vi invito, perciò, a considerare il secondo e quinto paragrafo dell’art. 30 e il primo dell’art. 35, avendo sempre in mente i precetti dell’art. 5.

Quando parlo di simbiosi intendo dire che esiste uno stretto rapporto che lega il registro del trattamento del responsabile alla valutazione d’impatto svolta dal titolare e viceversa e, in un’ottica complessiva di gestione del rischio, non trovo poi così assurdo ipotizzare che il contenuto del primo, dovrebbe essere considerato nella seconda, fermo restando che è anche dai risultati della valutazione d’impatto che deriva l’adozione del registro stesso.

Così, se è vero che un titolare che, a seguito della valutazione d’impatto, individuati rischi elevati per i diritti e le libertà degli interessati deve richiedere l’adozione di un registro da parte del suo responsabile anche se questo potrebbe applicare (al netto del rapporto con il titolare) la deroga prevista dal quinto paragrafo dell’art. 30, trovo altrettanto vero che, in un complessivo sistema di gestione dei rischi, il titolare abbia il legittimo interesse, per non dire il diritto, di consultare il registro del responsabile per venire a conoscenza di quali siano gli eventuali altri titolari con cui ha rapporti.

Questo perché oggi non è possibile non considerare anche gli “altri titolari” come una fonte di rischio. Così come in un condominio con locali a uso commerciale, quando si redigono i DVR per la sicurezza sul lavoro, non si possono non considerare anche le altre attività presenti per via delle conseguenze sull’affollamento complessivo in caso di evacuazione o con effetti diretti sulla valutazione di rischi derivanti dalla vicinanza con obiettivi “sensibili” per rischi di rapina o attacchi terroristici (pensiamo, per esempio, se nello stesso stabile ci fossero al piano terra una filiale di una banca o delle poste, e ai piani superiori un laboratorio di oreficeria e un’ambasciata o un consolato), analogamente si dovrebbero considerare gli altri titolari per via dalla loro “attitudine” a essere bersaglio di tentativi di violazioni di dati.

Proviamo a pensare al caso in cui un’azienda che si occupa di conservazione e archiviazione documentale. In pratica l’attività consiste nell’offrire uno spazio fisico in cui è possibile lasciare i propri documenti che saranno conservati e archiviati secondo logiche predefinite su scaffali all’interno di capannoni.

Bene, è chiaro che se oltre ai nostri, ci fossero anche documenti di altri titolari, penso ci sarebbe utile valutare il rischio che qualcuno che si introduce nell’archivio per danneggiare uno degli altri, possa accidentalmente danneggiare anche noi. E questa valutazione ritengo che possa essere utile per una protezione dei dati in senso lato, anche in caso di dati informatici e in caso di dati non personali in senso stretto (bilanci societari, brevetti, progetti di vario genere…).

E quindi lo chiedo di nuovo: esiste una simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati personali?

A mio modo di vedere, la risposta è affermativa: sì, perché se conosco il contesto di riferimento posso valutare e gestire il rischio.

A questo punto, quindi,  la questione si sposta sulla volontà del responsabile di rendere disponibile l’informazione. Gli strumenti contrattuali e tecnici per assistere il titolare nella sua valutazione senza necessariamente diffondere informazioni che il responsabile potrebbe voler o dover mantenere riservate esistono.

Posted on

Sui costi della non sicurezza

Sui costi della non sicurezza.

Un recente comunicato stampa dell’OSHA (l’Agenzia europea per la salute e la sicurezza sul lavoro), ripreso poi dalle principali testate specializzate sull’argomento, racconta come il costo, per l’Unione Europea, della non sicurezza sia arrivato, nel 2017, alla cifra di 476 miliardi di Euro. 476.000.000.000. Quattrocentosettantaseimiliardi. Causati da infortuni o malattie professionali. Di questa cifra, circa il 25% è dovuto ai tumori professionali.

La cifra legata alla non sicurezza è importante e, se confrontata con il PIL dell’UE del 2016, varrebbe circa il 3%. Detto molto malamente, è come se ogni 100 € fatturati, ognuno di noi ne pagasse 3 per pagare infortuni o malattie professionali.

Il fatto, però, è che in questi termini è davvero detto “molto malamente”. Perché i costi della non sicurezza, non possono essere solamente calcolati sulla spesa pubblica che serve a coprire gli infortuni e le malattie professionali.

Provo a spiegarmi meglio: i costi sostenuti dagli enti pubblici di previdenza e di assistenza (di cui possiamo avere un consuntivo con cadenza annuale) sono solo una parte dei costi economici che effettivamente derivano dalla non sicurezza.

Quali sono, dunque, le altre voci di costo?

Per rispondere a questa domanda non basta di sicuro un breve articolo, poiché la risposta va ricercata anzitutto a livello globale e sul piano dell’organizzazione e della strategia.

Facciamo un esempio concreto, con un semplice ragionamento per assurdo.

Un’impresa privata, che paga un lavoratore dipendente (chiamiamolo Tizio) 10 Euro l’ora, in condizioni di sicurezza vedrà remunerato l’investimento fatto su tale risorsa, perché questa produrrà valore e ricavi. Diciamo che ogni ora di lavoro, ciò che viene prodotto ha un valore di 100 Euro.

Immaginiamo che Tizio si debba fermare e non possa lavorare per un giorno, perché infortunato. L’impresa dovrà comunque pagare il suo stipendio, quindi avrà comunque un esborso di 80 Euro (calcolato sulle canoniche 8 ore lavorative), ma se Tizio era l’unico lavoratore impiegato, significa che per l’intera giornata l’azienda non avrà prodotto nulla, il che significa che avrà perso 800 Euro. Il che, di fatto, è come dover sostenere un costo di uguale importo.

Immaginiamo poi che Tizio dovesse produrre qualcosa di estremamente importante per un cliente, il quale, non ricevendo in tempo l’ordine perché l’impresa è stata improduttiva per un giorno, decide di rescindere il contratto di fornitura, mettendo a repentaglio il fatturato di mesi di lavoro futuro.

Chiaramente, l’imprenditore non gradisce che si prospetti una situazione simile, quindi assume una nuova risorsa specializzata (che nella migliore delle ipotesi costerà anch’essa 10 Euro l’ora), oppure ne impiega una dal livello professionale inferiore rispetto a Tizio (chiamiamola Caio), per fronteggiare una situazione momentanea. Questa soluzione, tuttavia, sebbene comporti un minor costo del lavoro, potrebbe comportare anche una minore redditività dello stesso (sia essa intesa in termini quantitativi o qualitativi).

Volendo mantenere lo stesso livello di quantità e di qualità, Caio dovrà necessariamente essere formato in modo specifico per fagli acquisire le stesse capacità e conoscenze di Tizio. Altra voce di costo da sostenere. A cui comunque si aggiunge quello della mancata produzione per il periodo in cui Caio è in aula e non in produzione.

Si può andare avanti all’infinito, anche considerando che, alla fine dell’anno, gli enti assicurativi probabilmente aumenteranno il premio richiesto, sulla base della variazione della classe di rischio che è derivata dall’infortunio.

Dio non voglia che Tizio, a seguito dell’infortunio, riceva un’invalidità permanente che non gli permetterà più di lavorare: questo significherebbe dover erogare una pensione d’invalidità che sarebbe finanziata con le nostre tasse e le imposte. Se aumenta il numero delle persone a cui pagare una pensione, probabilmente lo Stato farà in modo di aumentare il gettito.

Poi potremmo discutere su tutti quei costi occulti necessari per difendersi in tribunale (avvocati, spese processuali, periti di parte…) o per pagare le sanzioni amministrative o penali comminate, o per risarcire il danno procurato a livello civile. E, di conseguenza, i costi per valutare nuovamente i rischi, progettare realizzare e mantenere efficace un modello organizzativo e di controllo che sia idoneo, adeguato e che possa garantire la dovuta conformità alle disposizioni di legge e, magare, anche alle norme tecniche e agli standard internazionali.

Tutto questo, e molto di più, sono i costi della non sicurezza.

Ipotizziamo che Tizio si sia infortunato battendo la testa contro una sporgenza, perché sprovvisto di caschetto (DPI) che avrebbe dovuto essere consegnato, ma non è mai stato acquistato, per risparmiare una decina di Euro (e sto arrotondando per eccesso).

Bene. Vi sembra logico dover pagare tutto quello che abbiamo visto, e molto di più, solo per aver “risparmiato” 10 Euro? Se la vostra risposta è affermativa, signori, avete grossi problemi e il primo è quello di non saper valutare adeguatamente gli investimenti. Forse, fareste cosa migliore se smetteste di fare i datori di lavoro.

Posted on

Sicurezza e Organizzazione

Organizzazione e sicurezzaSicurezza e Organizzazione

È forse il più sottovalutato e meno considerato degli aspetti relativi alla sicurezza sul lavoro, eppure c’è un articolo appositamente dedicato: il 30 del Dlgs 81/2008, che tratta specificamente di sicurezza e organizzazione.

Se quasi tutti conoscono – di fama – il decreto sulla sicurezza sul lavoro, molti meno hanno familiarità con quello sulla responsabilità amministrativa degli enti. Questo perché c’è la tendenza a considerare quest’ultimo applicabile principalmente alle grandi imprese, ma sicurezza e organizzazione sono questioni comuni a tutti.

Il dato sconcertante, però, è che quasi nessuno (nella mia esperienza) si rende conto che il primo richiama espressamente il secondo con il suo articolo 30. Questo, di per sé, la potrebbe già dire lunga su parecchi consulenti in materia di sicurezza sul lavoro che la “vendono” solo come quella norma che obbliga le aziende a fare i corsi per i dipendenti (anche se dovrebbero essere per i lavoratori, cosa assai diversa) e a scrivere il DVR.

Per chi non conoscesse il Dlgs 231/2001 sulla responsabilità amministrativa degli enti, in estrema sintesi si può riassumere come quella norma che elenca una serie di reati contemplati da altre norme (per esempio il Codice Penale) per i quali si ritiene responsabile non solo la persona fisica che ha materialmente commesso o permesso l’illecito, ma anche la persona giuridica nel cui interesse o per il cui vantaggio questo illecito è stato commesso o tentato, e l’unico modo per l’ente di uscirne pulito è dimostrare di avere progettato e implementato un modello organizzativo adeguato a prevenire ed evitare l’evento. Solo se si riesce a provare che il sistema di controllo era attivo e che il fatto è stato commesso eludendo volontariamente i controlli predisposti, allora l’ente si può avvalere della cosiddetta “esimente” ed evitare pesanti sanzioni.

In pratica: se non sei organizzato bene e qualcuno commette un reato, l’azienda può essere co-responsabile.

Due dei reati contemplati (trattati dall’art. 25-septies) sono quelli previsti dagli articoli 589 e 590 del Codice Penale: l’omicidio colposo o le lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro.

Ora, se è vero che l’adozione di un modello organizzativo (quindi politiche interne, procedure, sistema di controlli organizzati e specifici, figure preposte alla vigilanza interna…) è solamente facoltativo secondo le disposizioni del Dlgs 231/2001, il discorso cambia radicalmente se si considera il Testo Unico sulla sicurezza sul lavoro.

Questo perché con l’articolo 30, il decreto dispone che “il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al decreto legislativo 8 giugno 2001, n° 231, DEVE essere adottato ed efficacemente attuato, assicurando un sistema aziendale per l’adempimento di tutti gli obblighi giuridici”…

Ovvero: tutte le aziende devono organizzarsi e dimostrare di essere organizzate per evitare che qualcuno si faccia male o muoia mentre sta lavorando.

Fortunatamente, organizzare un’azienda deve necessariamente tenere conto delle sue caratteristiche, quindi è possibile che due realtà abbiano modelli simili (magari realizzati sulla base di linee guida generali), ma è assolutamente escluso che questi siano esattamente identici. Ognuno deve organizzarsi secondo le sue peculiarità e secondo le sue necessità.

Il lato positivo della faccenda, è che questo genere di organizzazione, se progettato, realizzato e applicato bene, a fronte di una consistente spesa iniziale, già sul medio periodo consente di vedere risultati positivi, anche in assenza di infortuni e quindi lesioni o incidenti mortali.

In particolare, mi riferisco a un miglioramento generale della gestione aziendale, non solo con riguardo agli adempimenti strettamente connessi alla sicurezza, ma anche con riguardo ad altre voci di costo che sono comunque previste, come i premi assicurativi da versare all’INAIL.

In che modo? Per esempio attraverso la richiesta di riduzione del premio dovuto, che si può fare compilando e trasmettendo il modulo OT 24 (per le aziende operative da più di due anni) o il modulo OT 20 (per quelle nel primo biennio).

Tutto questo, senza dimenticare che l’adozione del modello di organizzazione e di gestione nelle imprese fino a 50 lavoratori rientra tra le attività finanziabili.

Vincere la battaglia quotidiana nella guerra contro gli incidenti sul lavoro è “solo” questione di organizzazione e ricordatevi che il miglior condottiero è quello che vince senza combattere.