Tag: Sicurezza

Pubblicato il

I registri delle attività di trattamento

I registri delle attività di trattamento.

Introdotto dal GDPR, sono strumenti fondamentali e irrinunciabili per gestire i trattamenti compiuti in un’organizzazione e aiutare il titolare o il responsabile del trattamento a mantenere i livelli adeguati di sicurezza.

L’8 ottobre 2018 il Garante Privacy ha pubblicato le istruzioni sul registro delle attività di trattamento, che s’inseriscono all’interno del quadro normativo come strumenti utili per sciogliere eventuali dubbi sull’obbligatorietà o meno della tenuta del registro, andando a spiegare con un linguaggio più semplice di quello usato nella norma europea ciò che deve essere fatto dai titolari e dai responsabili dei trattamenti.

Fonte normativa.

Il registro delle attività di trattamento è disciplinato dall’art. 30 del Regolamento (UE) 2016/679, anche conosciuto come GDPR, che ne descrive i contenuti, la forma e i casi in cui è obbligatorio. Ne esistono due tipi: quello del titolare e quello del responsabile del trattamento.

Il primo indica i dati del titolare stesso, elenca le finalità perseguite con ogni trattamento effettuato (giova ricordare, in questo momento, che per “trattamento” intendiamo qualsiasi attività o processo in cui siano coinvolti dati personali), descrive le categorie di interessati e di dati personali (per esempio: clienti e loro dati anagrafici, lavoratori dipendenti e loro dati relativi alle presenze, passanti e loro immagini riprese dalle telecamere di videosorveglianza…), indica le categorie di destinatari a cui vengono comunicati i dati personali, elenca i trasferimenti verso Paesi extra-UE od organizzazioni internazionali e le garanzie che sono poste in essere per tutelare il diritto delle persone alla protezione dei dati, indica i termini di conservazione e descrive le misure di sicurezza tecniche e organizzative adottate.

Il registro del responsabile del trattamento risulta più semplice, poiché è richiesto che indichi i dati del responsabile, le categorie di trattamento effettuate per conto di ogni titolare, elenca i trasferimenti verso Paesi extra-UE o organizzazioni internazionali e le garanzie che sono attuate per tutelare i diritti delle persone alla protezione dei dati e descrive le misure di sicurezza tecniche e organizzative adottate.

In ogni caso, i registri devono avere forma scritta e possono avere anche formato elettronico e devono essere esibiti agli organi di vigilanza qualora ne sia fatta richiesta.

Per quanto riguarda l’obbligatorietà, è stabilito che lo sia quando:

  • Si effettua almeno un trattamento che può presentare rischi per diritti o libertà degli interessati; o
  • Si effettua almeno un trattamento con continuità e sistematicità (anche periodicamente); o
  • Si effettua almeno un trattamento che prevede dati particolari (ovvero quelli riferiti alla salute, all’appartenenza a sindacati, al credo religioso, alle caratteristiche biometriche…) o riferiti a condanne penali o reati.

In ogni caso, se questi tre criteri fossero tutti inapplicabili nell’ambito che stiamo osservando, i registri sono obbligatori se il titolare o il responsabile hanno più di 250 dipendenti.

Criticità.

La tenuta dei registri, però, si accompagna ad alcune criticità che si dovrebbero considerare bene.

Anzitutto, bisogna individuare quale ruolo si ricopre: talvolta si è solo titolari del trattamento, talaltra solo responsabili. Molto spesso, quando si è responsabili del trattamento che ci è stato affidato da un titolare, si è nella condizione di essere i titolari dei trattamenti su cui abbiamo il completo potere di determinazione delle finalità e dei mezzi di realizzazione. È questo il caso tipico dei commercialisti, degli esperti contabili o dei consulenti del lavoro. Questi soggetti devono predisporre entrambi i registri.

La seconda criticità è data dalla forma del registro – che ovviamente deve essere privo di abrasioni e cancellazioni, con i fogli rilegati e non asportabili – che deve necessariamente essere “scritta”. Nel linguaggio giuridico, semplificando, un documento “in forma scritta” è quello su cui è apposta la firma di chi esercita la legale rappresentanza.

La terza risiede nell’eventuale forma elettronica: in Italia, perché un documento elettronico abbia validità legale, deve avere anche le caratteristiche previste dal Codice dell’Amministrazione Digitale, dal regolamento eIDAS, e dal DPCM 13 Novembre 2014 sulla formazione del documento informatico. È chiaro che non sono considerati validi, né opponibili in giudizio, documenti formati solo con programmi di uso comune per la videoscrittura.

La quarta è che il registro deve essere scritto e mantenuto aggiornato, dando prova delle varie versioni che si susseguono e dimostrazione della loro presenza a una certa data.

La quinta, infine, è rappresentata dal fatto che, qualora indicassimo informazioni non veritiere nei registri, nel momento in cui il Garante o la Guardia di Finanza ne volessero prendere visione, incorreremmo nel reato di falsa dichiarazione, perseguito penalmente.

Vantaggi.

I registri, tuttavia, sono anche forieri di vantaggi che si riflettono in modo concreto sull’intera organizzazione: come sottolinea lo stesso Garante, infatti, i registri sono documenti di censimento e analisi dei trattamenti effettuati. Si tratta di strumenti fondamentali non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Proprio per questi motivi, il Garante ne raccomanda la redazione e l’aggiornamento poiché, secondo la sua opinione, questi non costituiscono solo un mero adempimento formale, bensì sono parte integrante di un sistema di corretta gestione dei dati personali; su queste considerazioni, quindi, esorta i titolari e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a dotarsi di tale registro, prevedendo anche la possibilità, secondo le volontà del titolare o del responsabile, d’inserire ulteriori informazioni se lo si ritiene opportuno nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

In definitiva, i registri dei trattamenti sono obbligatori e necessari per tutti e, se adeguatamente curati nel tempo, sono uno strumento potentissimo per governare l’organizzazione e per difenderla in caso di ispezione o contenzioso, essendo la trasposizione documentale di tutto ciò che è stato fatto per aderire al principio di responsabilizzazione che fa da sfondo all’intero GDPR.

Fonte: Fiscal Focus

Pubblicato il

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Lo scorso autunno il Gruppo di lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali ha pubblicato le sue linee guida concernenti la valutazione d’impatto sulla protezione dei dati personali (PIA, privacy impact assessment) e i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del GDPR.

Che dire? Belle, scritte bene, piuttosto utili, con qualche spunto di riflessione e molti collegamenti non proprio espliciti, ma… Secondo me manca qualcosa.

Tra gli aspetti positivi c’è certamente quello di ripetere più d’una volta il concetto che la PIA è un processo continuativo e che deve essere completato e riproposto periodicamente e secondo le caratteristiche del contesto di riferimento.

Di positivo ci sono poi tutti i richiami a norme volontarie e a linee guida e suggerimenti già pubblicati da altri soggetti (per esempio ISO, ICO, CNIL…), il suggerimento di avvalersi di soggetti esperti nella gestione e nella valutazione dei rischi e il collegamento a un generale concetto di gestione della qualità.

Poi ci sono gli esempi e le tabelle che aiutano a inquadrare meglio il discorso, assieme alle immagini e i grafici.

 Apprezzabile, a mio modo di vedere, il fatto che sia richiamato il registro dei trattamenti del titolare, poiché può costituire una buona base di partenza – se fatto bene – per procedere con la valutazione del rischio. Attenzione però: coinvolgere attivamente gli eventuali responsabili del trattamento (oltre ai DPO) è importante. E qui entrano in gioco gli accordi che vincolano i titolari e i responsabili, per rispondere alle esigenze che emergono in un’ottica di garanzia e responsabilità, di gestione dei rischi, di gestione della qualità.

Infine, ci sono addirittura i criteri per definire una PIA accettabile.

Eppure, lo ripeto, secondo me manca qualcosa. Sono migliorabili. E in quanto tali, se lette e applicate da persone inesperte, potrebbero comportare più danni che benefici.

L’inesperienza a cui mi riferisco non è tanto quella nel variegato mondo della protezione dei dati, quanto quella nello specifico mondo della gestione dei rischi, che non ha nulla a che vedere con gli aspetti legali o informatici, o con la compliance e gli audit, se non il fatto che questi ultimi due, se fatti male, rappresentano un rischio a cui non si dovrebbe rimanere indifferenti.

Le linee guida hanno il pregio di offrire una chiave di lettura orientata alla protezione dei dati personali – addirittura estendendone il concetto anche ad aspetti sociologici, etici e comunicativi e includendo anche il contenuto di agende, appunti e dati sensibili nel senso comune del termine – e di proporre almeno due nuovi diritti degli interessati – la loro consultazione (qui trovo che si avvicino molto ai concetti espressi con riguardo alle consultazioni dei rappresentanti sindacali o dei rappresentanti dei lavoratori per la sicurezza) e la definizione di un sottoinsieme costituito dai soggetti vulnerabili per i quali si dovrebbe avere un occhio di riguardo – ma trovo che siano piuttosto carenti nel definire effettivamente una strategia operativa standard che possa garantire almeno un livello minimo di adeguatezza nell’effettuazione del processo stesso. In primis per il fatto che partono dal presupposto che sia “facile” – o, almeno, non complesso – determinare se si sia o meno soggetti all’obbligo di condurre la PIA stessa.

Mi spiego meglio: nel diagramma di flusso, per come viene proposto (v. pag. 6 del testo in italiano), si parte chiedendosi se il trattamento possa comportare un rischio elevato; peccato che però non si faccia riferimento a come arrivare a tale conclusione. È come se mancasse tutta la fase di valutazione generale del rischio, al termine della quale, se si giunge alla conclusione che il rischio è basso o medio, si conviene che non sia necessario procedere alla PIA. Una sola lista di controllo che elenca i trattamenti esclusi e quelli inclusi, secondo me, non è sufficiente. È grossolano. È un errore madornale e da dilettanti. Non può essere considerato accountable, come direbbero gli anglofoni.

A queste linee guida, se il blocco di partenza del diagramma di flusso è il “punto 0”, manca il “punto -1”.

Forse, la più evidente mancanza di queste linee guida, è aver perso l’opportunità di consacrare una volta per tutte la protezione dei dati come aspetto strategico, tagliando i ponti con la scuola di pensiero che la vede ancora come adempimento burocratico che non apporta valore aggiunto.

Pubblicato il

Riflessioni sui contenuti e durata della formazione per i lavoratori

Riflessioni sui contenuti e durata della formazione per i lavoratori.

In materia di salute e sicurezza sul lavoro la formazione è obbligatoria e sottostà a regole normative e di mercato che possono essere inadeguate allo scopo: la tutela fisica e psicologica delle persone.

È un argomento spinoso, lo so, la formazione in materia di salute e sicurezza sul lavoro per i lavoratori. Ed è reso ancor più difficile dall’estrema ignoranza che le imprese hanno sull’argomento, unita allo scetticismo che provocano molti (troppi) operatori del settore che ci speculano sopra.

Il criterio con cui è poi stata scritta la norma di riferimento e l’accordo che ne regola i contenuti e la durata, poi, non è proprio dei più illuminati.

Partiamo dal fatto che sono individuati contenuti standard basati quasi esclusivamente su presunzioni. Si presume che aziende che operano in contesti merceologici simili, abbiano rischi simili. Il che può anche essere vero, fintanto che si affronta l’argomento in linea generale. Ma nel momento in cui la formazione assume un ruolo centrale nella prevenzione di incidenti e infortuni o malattie professionali o, più in generale, nella promozione della cultura della salute, questo approccio è assolutamente fallace e inadeguato: aziende con la stessa classificazione ATECO possono avere rischi diversi o rischi uguali ma a cui il processo di valutazione ha assegnato gradi differenti anche in modo sensibile.

Facciamo un esempio: tre officine meccaniche di tre datori di lavoro diversi. La prima impiega un solo operario, che è anche il titolare, ed è specializzata nel restauro di automobili d’epoca, ha un ambiente di lavoro relativamente piccolo e ordinato, funzionale allo scopo, e le lavorazioni sotto alle automobili sono effettuate scendendo in una fossa. La seconda è un’officina in cui lavorano cinque persone, in un ambiente e in un contesto in cui si dà poca importanza alla sicurezza, ci sono poche informazioni, strumenti e attrezzature vecchie e in cattivo stato di manutenzione, raramente sottoposte a controllo o revisione, un ambiente sporco e disordinato in cui si trovano vicini oggetti e sostanze infiammabili e potenziali fonti d’innesco perché i lavoratori fumano all’interno dei locali. La terza è un’officina nuova e all’avanguardia, un cui molte attività sono assistite da robot, e l’ambiente è organizzato, pulito e ordinato, i lavoratori sono tutti tecnici specializzati che frequentano frequentemente corsi di formazione e aggiornamento.

Ebbene, non serve un genio per intuire che i rischi presunti possono anche essere identici, ma quelli reali non lo sono affatto.

E qui la prima critica, al legislatore: visto che si vuole spostare l’accento sull’adeguatezza dei sistemi di organizzazione e di controllo, perché non si richiede una formazione adeguata al contesto, anziché una cosa che troppo spesso è standardizzata?

Secondariamente, vi invito a riflettere sull’essenza stessa della formazione. Questa è dovuta a un processo comunicativo che è finalizzato a trasferire dalla mente del docente alla mente del discente tutti quei concetti che devono servire a quest’ultimo per lavorare in sicurezza, conoscendo i suoi diritti, i suoi doveri e il modo in cui rapportarsi con gli altri e valutare i rischi della sua specifica attività. Quindi la comunicazione è efficace se e solo se il concetto che sta nella testa dell’emittente viene trasferito nella testa del ricevente e quest’ultimo elabora lo stesso concetto iniziale, partendo dalle informazioni ricevute. Se ciò non avviene, la comunicazione ha fallito. La formazione ha fallito. E bisognerà necessariamente interrogarsi sulle cause, perché non è detto che sia esclusivamente colpa del ricevente: se parlo a un sordo e questo non mi capisce, è scemo lui, o sono scemo io che non uso un canale e un mezzo adeguato? Se faccio una lezione a un cieco usando grafici e diapositive, è scemo lui o sono scemo io che non mi rendo conto che il metodo che ho scelto è assolutamente inefficace? Se parlo in gergo tecnico a un neofita, non posso certamente aspettarmi che mi comprenda.

E dunque la seconda critica, al sistema messo in piedi dagli enti di formazione: quanto può essere utile una lezione standardizzata, che non tiene conto delle dovute variabili e che viene progettata con il parametro della “durata massima” anziché della “durata minima” (prevista per legge)?

Se al termine delle otto ore di corso per i lavoratori a rischio basso il docente si rende conto che la classe non è adeguatamente preparata, a mio modo di vedere dovrebbe proseguire e cambiare modo di fare lezione, variare registro linguistico, mezzi e canali di comunicazione. Parimenti, se una persona padroneggia già un determinato argomento, ripeterlo ulteriormente potrebbe addirittura creare l’effetto non voluto di creare confusione, aumentando, di fatto, il grado di rischio.

Non si tratta di bocciare o promuovere persone, perché per quello c’è la scuola. A ben vedere, “promuovere” o “bocciare” non sono nemmeno concetti contemplati dalla norma: il punto è che finché le informazioni idonee e ritenute necessarie a salvaguardare la sicurezza del lavoratore non sono state assimilate dallo stesso, la formazione dovrebbe andare avanti a oltranza, a prescindere dal miglioramento e dall’aggiornamento continuo.

Pubblicato il

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

Sono due adempimenti richiesti dal GDPR con peculiari caratteristiche che si realizzano attraverso la formazione di due documenti distinti, solamente se ricorrono i casi specificati. Ma a ben vedere, il loro legame è molto più profondo di quanto possa apparire e potrebbe essere utile considerarli “simbiotici”.

In biologia la simbiosi è un rapporto che s’instaura a livello intimo tra due soggetti e che tende a legarli in maniera forte e mutuale, con lo scopo ultimo di portare un vantaggio reciproco a entrambi nel corso del tempo e dell’evoluzione del contesto di riferimento.

È possibile, dunque, trovare questo tipo di connessione tra il registro del responsabile del trattamento e la valutazione d’impatto sulla protezione dei dati? E se è possibile, quanto sarebbe utile farlo?

Questa è la domanda con cui sono uscito dal seminario organizzato da AssoDPO a Milano lo scorso 26 ottobre, durante il quale si è ampiamente dibattuto sullo stato dell’applicazione del GDPR a circa 200 giorni dalla sua definitiva applicazione diretta su tutto il territorio dell’Unione. Molte informazioni utili e un importante spunto di riflessione, appunto.

Come mia abitudine, parto dal considerare i principali riferimenti normativi, per circoscrivere il discorso che altrimenti rischierebbe di divagare troppo. Vi invito, perciò, a considerare il secondo e quinto paragrafo dell’art. 30 e il primo dell’art. 35, avendo sempre in mente i precetti dell’art. 5.

Quando parlo di simbiosi intendo dire che esiste uno stretto rapporto che lega il registro del trattamento del responsabile alla valutazione d’impatto svolta dal titolare e viceversa e, in un’ottica complessiva di gestione del rischio, non trovo poi così assurdo ipotizzare che il contenuto del primo, dovrebbe essere considerato nella seconda, fermo restando che è anche dai risultati della valutazione d’impatto che deriva l’adozione del registro stesso.

Così, se è vero che un titolare che, a seguito della valutazione d’impatto, individuati rischi elevati per i diritti e le libertà degli interessati deve richiedere l’adozione di un registro da parte del suo responsabile anche se questo potrebbe applicare (al netto del rapporto con il titolare) la deroga prevista dal quinto paragrafo dell’art. 30, trovo altrettanto vero che, in un complessivo sistema di gestione dei rischi, il titolare abbia il legittimo interesse, per non dire il diritto, di consultare il registro del responsabile per venire a conoscenza di quali siano gli eventuali altri titolari con cui ha rapporti.

Questo perché oggi non è possibile non considerare anche gli “altri titolari” come una fonte di rischio. Così come in un condominio con locali a uso commerciale, quando si redigono i DVR per la sicurezza sul lavoro, non si possono non considerare anche le altre attività presenti per via delle conseguenze sull’affollamento complessivo in caso di evacuazione o con effetti diretti sulla valutazione di rischi derivanti dalla vicinanza con obiettivi “sensibili” per rischi di rapina o attacchi terroristici (pensiamo, per esempio, se nello stesso stabile ci fossero al piano terra una filiale di una banca o delle poste, e ai piani superiori un laboratorio di oreficeria e un’ambasciata o un consolato), analogamente si dovrebbero considerare gli altri titolari per via dalla loro “attitudine” a essere bersaglio di tentativi di violazioni di dati.

Proviamo a pensare al caso in cui un’azienda che si occupa di conservazione e archiviazione documentale. In pratica l’attività consiste nell’offrire uno spazio fisico in cui è possibile lasciare i propri documenti che saranno conservati e archiviati secondo logiche predefinite su scaffali all’interno di capannoni.

Bene, è chiaro che se oltre ai nostri, ci fossero anche documenti di altri titolari, penso ci sarebbe utile valutare il rischio che qualcuno che si introduce nell’archivio per danneggiare uno degli altri, possa accidentalmente danneggiare anche noi. E questa valutazione ritengo che possa essere utile per una protezione dei dati in senso lato, anche in caso di dati informatici e in caso di dati non personali in senso stretto (bilanci societari, brevetti, progetti di vario genere…).

E quindi lo chiedo di nuovo: esiste una simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati personali?

A mio modo di vedere, la risposta è affermativa: sì, perché se conosco il contesto di riferimento posso valutare e gestire il rischio.

A questo punto, quindi,  la questione si sposta sulla volontà del responsabile di rendere disponibile l’informazione. Gli strumenti contrattuali e tecnici per assistere il titolare nella sua valutazione senza necessariamente diffondere informazioni che il responsabile potrebbe voler o dover mantenere riservate esistono.

Pubblicato il

Sui costi della non sicurezza

Sui costi della non sicurezza.

Un recente comunicato stampa dell’OSHA (l’Agenzia europea per la salute e la sicurezza sul lavoro), ripreso poi dalle principali testate specializzate sull’argomento, racconta come il costo, per l’Unione Europea, della non sicurezza sia arrivato, nel 2017, alla cifra di 476 miliardi di Euro. 476.000.000.000. Quattrocentosettantaseimiliardi. Causati da infortuni o malattie professionali. Di questa cifra, circa il 25% è dovuto ai tumori professionali.

La cifra legata alla non sicurezza è importante e, se confrontata con il PIL dell’UE del 2016, varrebbe circa il 3%. Detto molto malamente, è come se ogni 100 € fatturati, ognuno di noi ne pagasse 3 per pagare infortuni o malattie professionali.

Il fatto, però, è che in questi termini è davvero detto “molto malamente”. Perché i costi della non sicurezza, non possono essere solamente calcolati sulla spesa pubblica che serve a coprire gli infortuni e le malattie professionali.

Provo a spiegarmi meglio: i costi sostenuti dagli enti pubblici di previdenza e di assistenza (di cui possiamo avere un consuntivo con cadenza annuale) sono solo una parte dei costi economici che effettivamente derivano dalla non sicurezza.

Quali sono, dunque, le altre voci di costo?

Per rispondere a questa domanda non basta di sicuro un breve articolo, poiché la risposta va ricercata anzitutto a livello globale e sul piano dell’organizzazione e della strategia.

Facciamo un esempio concreto, con un semplice ragionamento per assurdo.

Un’impresa privata, che paga un lavoratore dipendente (chiamiamolo Tizio) 10 Euro l’ora, in condizioni di sicurezza vedrà remunerato l’investimento fatto su tale risorsa, perché questa produrrà valore e ricavi. Diciamo che ogni ora di lavoro, ciò che viene prodotto ha un valore di 100 Euro.

Immaginiamo che Tizio si debba fermare e non possa lavorare per un giorno, perché infortunato. L’impresa dovrà comunque pagare il suo stipendio, quindi avrà comunque un esborso di 80 Euro (calcolato sulle canoniche 8 ore lavorative), ma se Tizio era l’unico lavoratore impiegato, significa che per l’intera giornata l’azienda non avrà prodotto nulla, il che significa che avrà perso 800 Euro. Il che, di fatto, è come dover sostenere un costo di uguale importo.

Immaginiamo poi che Tizio dovesse produrre qualcosa di estremamente importante per un cliente, il quale, non ricevendo in tempo l’ordine perché l’impresa è stata improduttiva per un giorno, decide di rescindere il contratto di fornitura, mettendo a repentaglio il fatturato di mesi di lavoro futuro.

Chiaramente, l’imprenditore non gradisce che si prospetti una situazione simile, quindi assume una nuova risorsa specializzata (che nella migliore delle ipotesi costerà anch’essa 10 Euro l’ora), oppure ne impiega una dal livello professionale inferiore rispetto a Tizio (chiamiamola Caio), per fronteggiare una situazione momentanea. Questa soluzione, tuttavia, sebbene comporti un minor costo del lavoro, potrebbe comportare anche una minore redditività dello stesso (sia essa intesa in termini quantitativi o qualitativi).

Volendo mantenere lo stesso livello di quantità e di qualità, Caio dovrà necessariamente essere formato in modo specifico per fagli acquisire le stesse capacità e conoscenze di Tizio. Altra voce di costo da sostenere. A cui comunque si aggiunge quello della mancata produzione per il periodo in cui Caio è in aula e non in produzione.

Si può andare avanti all’infinito, anche considerando che, alla fine dell’anno, gli enti assicurativi probabilmente aumenteranno il premio richiesto, sulla base della variazione della classe di rischio che è derivata dall’infortunio.

Dio non voglia che Tizio, a seguito dell’infortunio, riceva un’invalidità permanente che non gli permetterà più di lavorare: questo significherebbe dover erogare una pensione d’invalidità che sarebbe finanziata con le nostre tasse e le imposte. Se aumenta il numero delle persone a cui pagare una pensione, probabilmente lo Stato farà in modo di aumentare il gettito.

Poi potremmo discutere su tutti quei costi occulti necessari per difendersi in tribunale (avvocati, spese processuali, periti di parte…) o per pagare le sanzioni amministrative o penali comminate, o per risarcire il danno procurato a livello civile. E, di conseguenza, i costi per valutare nuovamente i rischi, progettare realizzare e mantenere efficace un modello organizzativo e di controllo che sia idoneo, adeguato e che possa garantire la dovuta conformità alle disposizioni di legge e, magare, anche alle norme tecniche e agli standard internazionali.

Tutto questo, e molto di più, sono i costi della non sicurezza.

Ipotizziamo che Tizio si sia infortunato battendo la testa contro una sporgenza, perché sprovvisto di caschetto (DPI) che avrebbe dovuto essere consegnato, ma non è mai stato acquistato, per risparmiare una decina di Euro (e sto arrotondando per eccesso).

Bene. Vi sembra logico dover pagare tutto quello che abbiamo visto, e molto di più, solo per aver “risparmiato” 10 Euro? Se la vostra risposta è affermativa, signori, avete grossi problemi e il primo è quello di non saper valutare adeguatamente gli investimenti. Forse, fareste cosa migliore se smetteste di fare i datori di lavoro.

Pubblicato il

Organizzarsi è prevenire

Organizzarsi è prevenire

OgranizzazioneSpesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…

Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.

Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.

Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.

Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.

Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.

Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.

In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.

All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.

Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.

Quanto è successo non è molto chiaro, però si possono fare due considerazioni:

  • C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
  • C’è stata una violazione dei dati personali del cliente.

Sulla base di questo, si può certamente affermare che:

  • Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
  • La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
  • Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.

Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.

Il metodo migliore è sempre lo stesso: organizzarsi.

Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).

Pubblicato il

Sicurezza e Organizzazione

Organizzazione e sicurezzaSicurezza e Organizzazione

È forse il più sottovalutato e meno considerato degli aspetti relativi alla sicurezza sul lavoro, eppure c’è un articolo appositamente dedicato: il 30 del Dlgs 81/2008, che tratta specificamente di sicurezza e organizzazione.

Se quasi tutti conoscono – di fama – il decreto sulla sicurezza sul lavoro, molti meno hanno familiarità con quello sulla responsabilità amministrativa degli enti. Questo perché c’è la tendenza a considerare quest’ultimo applicabile principalmente alle grandi imprese, ma sicurezza e organizzazione sono questioni comuni a tutti.

Il dato sconcertante, però, è che quasi nessuno (nella mia esperienza) si rende conto che il primo richiama espressamente il secondo con il suo articolo 30. Questo, di per sé, la potrebbe già dire lunga su parecchi consulenti in materia di sicurezza sul lavoro che la “vendono” solo come quella norma che obbliga le aziende a fare i corsi per i dipendenti (anche se dovrebbero essere per i lavoratori, cosa assai diversa) e a scrivere il DVR.

Per chi non conoscesse il Dlgs 231/2001 sulla responsabilità amministrativa degli enti, in estrema sintesi si può riassumere come quella norma che elenca una serie di reati contemplati da altre norme (per esempio il Codice Penale) per i quali si ritiene responsabile non solo la persona fisica che ha materialmente commesso o permesso l’illecito, ma anche la persona giuridica nel cui interesse o per il cui vantaggio questo illecito è stato commesso o tentato, e l’unico modo per l’ente di uscirne pulito è dimostrare di avere progettato e implementato un modello organizzativo adeguato a prevenire ed evitare l’evento. Solo se si riesce a provare che il sistema di controllo era attivo e che il fatto è stato commesso eludendo volontariamente i controlli predisposti, allora l’ente si può avvalere della cosiddetta “esimente” ed evitare pesanti sanzioni.

In pratica: se non sei organizzato bene e qualcuno commette un reato, l’azienda può essere co-responsabile.

Due dei reati contemplati (trattati dall’art. 25-septies) sono quelli previsti dagli articoli 589 e 590 del Codice Penale: l’omicidio colposo o le lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro.

Ora, se è vero che l’adozione di un modello organizzativo (quindi politiche interne, procedure, sistema di controlli organizzati e specifici, figure preposte alla vigilanza interna…) è solamente facoltativo secondo le disposizioni del Dlgs 231/2001, il discorso cambia radicalmente se si considera il Testo Unico sulla sicurezza sul lavoro.

Questo perché con l’articolo 30, il decreto dispone che “il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al decreto legislativo 8 giugno 2001, n° 231, DEVE essere adottato ed efficacemente attuato, assicurando un sistema aziendale per l’adempimento di tutti gli obblighi giuridici”…

Ovvero: tutte le aziende devono organizzarsi e dimostrare di essere organizzate per evitare che qualcuno si faccia male o muoia mentre sta lavorando.

Fortunatamente, organizzare un’azienda deve necessariamente tenere conto delle sue caratteristiche, quindi è possibile che due realtà abbiano modelli simili (magari realizzati sulla base di linee guida generali), ma è assolutamente escluso che questi siano esattamente identici. Ognuno deve organizzarsi secondo le sue peculiarità e secondo le sue necessità.

Il lato positivo della faccenda, è che questo genere di organizzazione, se progettato, realizzato e applicato bene, a fronte di una consistente spesa iniziale, già sul medio periodo consente di vedere risultati positivi, anche in assenza di infortuni e quindi lesioni o incidenti mortali.

In particolare, mi riferisco a un miglioramento generale della gestione aziendale, non solo con riguardo agli adempimenti strettamente connessi alla sicurezza, ma anche con riguardo ad altre voci di costo che sono comunque previste, come i premi assicurativi da versare all’INAIL.

In che modo? Per esempio attraverso la richiesta di riduzione del premio dovuto, che si può fare compilando e trasmettendo il modulo OT 24 (per le aziende operative da più di due anni) o il modulo OT 20 (per quelle nel primo biennio).

Tutto questo, senza dimenticare che l’adozione del modello di organizzazione e di gestione nelle imprese fino a 50 lavoratori rientra tra le attività finanziabili.

Vincere la battaglia quotidiana nella guerra contro gli incidenti sul lavoro è “solo” questione di organizzazione e ricordatevi che il miglior condottiero è quello che vince senza combattere.

Pubblicato il

Software gestionali per la privacy: benefici e rischi

Software gestionali per la privacy: benefici e rischi

Prima di procedere con l’acquisto, così come durante il suo utilizzo, sarebbe bene ricordarsi che un programma gestionale è solamente uno strumento che per rendere al meglio deve essere maneggiato con l’adeguata preparazione.

Capiamoci fin da subito: non sono contro i gestionali per partito preso, anzi, direi piuttosto che mi schiero con chi ritiene che le macchine non possono fare tutto e non possono sostituirsi all’uomo. Se è vero che avere un software apporta alcuni benefici, lo è altrettanto che espone chi lo usa a nuovi rischi.

Tralasciamo il fatto che non tutti i gestionali sono uguali e che possono comportare spese differenti in termini di acquisto della licenza, o investimenti per lo sviluppo interno, o canoni per l’assistenza, e che ovviamente possono offrire una qualità di servizio differente, e concentriamoci su alcuni (tutti è difficile farlo in questa sede) dei benefici e dei rischi che interessano prevalentemente il lato operativo della faccenda.

Tra i benefici penso si possano elencare una miglioria nella gestione complessiva degli adempimenti, una migliore organizzazione delle scadenze e una facilità di accesso a determinate informazioni sul modello organizzativo adottato per proteggere i dati personali.

In alcune realtà, potrebbe essere un valido strumento per la conduzione di audit o, comunque, per espletare alcuni dei controlli necessari, tra cui la valutazione di impatto sulla protezione dei dati (c.d. DPIA), e migliora senza dubbio gli effetti del lavoro di squadra e della collaborazione attiva, sempre più rilevanti e importanti nelle organizzazioni moderne, soprattutto se il suo impego non è limitato a poche persone chiave.

D’altro canto, i rischi sono comunque dietro l’angolo.

Innanzi tutto si rischia di sostituire completamente l’elemento umano, trasformando potenzialmente alcuni dei trattamenti da “manuali” a “automatizzati”, con tutto quanto ne consegue anche sotto l’aspetto della tutela dei diritti degli interessati.

Secondariamente, affidarsi troppo al software potrebbe allontanare dalla realtà effettiva dei fatti chi è incaricato di controllare il sistema, come i responsabili o i DPO. Se il software non funzionasse correttamente (e non è un’ipotesi da escludere a priori, visto che è prassi consolidata emettere patch o aggiornamenti per correggere anomalie o bachi) potrebbe avere effetti negativi sulla realtà percepita e, di conseguenza, sull’efficacia del controllo e della gestione complessiva.

Infine, basare il proprio operato esclusivamente sul gestionale per la privacy, genera un errore di fondo gravissimo (a mio parere) soprattutto in sede di valutazione d’impatto: procedendo solo con il software, non potremmo più parlare di “valutazione”, bensì dovremmo parlare di “misurazione”.

Il perché è presto detto: ogni realtà è differente e ognuna include necessariamente operatori (responsabili del trattamento, DPO, incaricati, IT manager…) differenti che hanno ognuno ciascuno un bagaglio di conoscenze ed esperienze diversi e di cui è doveroso tenerne conto in sede di valutazione che, oltre tutto, è di per sé un prodotto di queste conoscenze ed esperienze. Una valutazione è necessariamente soggettiva e deve essere relativa al contesto osservato, perché è sulla base delle sue caratteristiche e dei risultati della valutazione stessa, che il titolare del trattamento può mettersi nella condizione di essere adempiente alle norme vigenti, su tutte il GDPR, con particolare riferimento agli artt. 24, 25, 32 e 35, che richiedono tutti di tenere conto dell’ stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche i rischi gravanti sui diritti e le libertà degli interessati.

Tutto questo, senza scomodare la più recente giurisprudenza che è arrivata ad affermare che il concetto di dato personale, fortemente legato all’identificabilità anche indiretta della persona fisica a cui si riferiscono, è correlato anche alla “facilità” e all’impegno necessario per identificarla. Tradotto: se io scrivo Mario Rossi o John Smith, in questo testo e per coloro che lo leggono, sono quattro parole che di dato personale hanno ben poco.

Pensare di essere a posto con la privacy solo perché si è comprato un software per la sua gestione, è come salire su un’auto da F1 e pensare di poter vincere il GP di Montecarlo senza aver mai guidato quel mezzo, né mezzi simili, né essere mai stato in pista, né aver mai visto le strade di Montecarlo aperte al traffico.

Chi lo fa, è un pericolo per sé e per gli altri. Con l’aggravante di non essere pienamente consapevole di cosa significhi effettivamente occuparsi della protezione dei dati personali.

Pubblicato il

Controllo a distanza con videosorveglianza, GPS o altri sistemi

Privacy e videosorveglianza con i nuovi modelli INL

L’Ispettorato Nazionale del Lavoro ha rilasciato la versione aggiornata dei modelli da utilizzare per presentare le istanze di autorizzazione al telecontrollo dei lavoratori. Da marzo 2017 diventano tre, ognuno specifico per una determinata modalità, in luogo di uno unico

Dal 10 marzo 2017 sul sito dell’INL sono disponibili tre modelli – scaricabili in formato PDF – per presentare le istanze di autorizzazione all’installazione e utilizzo di apparecchiature che consentono il telecontrollo dei lavoratori. Uno specifico per la videosorveglianza, uno specifico per gli impianti GPS a bordo delle auto aziendali e uno specifico per tutti gli altri dispositivi di controllo.

Concentriamoci, in questa sede, sul modello predisposto per la videosorveglianza (qui il link), ossia il primo file dell’elenco (per intenderci, è quello che, una volta aperto, reca l’intestazione “Modulo istanza di autorizzazione all’installazione di impianti audiovisivi”). Più specificamente, andiamo a fare alcune considerazioni sulla sezione delle “dichiarazioni”. Va sottolineato, anzitutto, che apporre la propria firma sul documento, senza che la situazione di riferimento sia conforme a quanto scritto in questa sezione, corrisponde a dichiarare il falso, con tutto quello che ne consegue.

Tutta la sezione è costellata di richiami più o meno indiretti alla normativa sulla privacy, a partire dalla limitazione temporale della conservazione, fissata a 24 ore (salve speciali esigenze), passando per l’informativa da rendere agli interessati (lavoratori e non), fino alla generica indicazione di “rispettare la disciplina, in particolare il provvedimento in materia di videosorveglianza”.

Proprio quest’ultimo punto potrebbe rappresentare un ostacolo non da poco, soprattutto ora che è arrivato il GDPR (Regolamento UE 2016/679), che richiede l’adozione di un approccio orientato alla gestione del rischio e focalizzato sulla responsabilizzazione e la dimostrabilità di ogni decisione assunta.

Cosa significa, dunque, essere conformi alla normativa?

Innanzi tutto, ogni titolare del trattamento (cioè chi vuole installare l’impianto) dovrebbe porsi le domande fondamentali “è proprio necessario fare videosorveglianza?” e “non posso organizzarmi in un altro modo?”. Se la risposta è affermativa, allora non c’ nemmeno bisogno di investine nell’acquisto del sistema.

Se, invece, la risposta è negativa, allora questa risposta e le motivazioni che hanno permesso di darla, cioè tutte le considerazioni e le valutazioni in merito, devono essere adeguatamente riportate in una relazione.

Una volta che abbiamo deciso e capito che ci serve davvero la videosorveglianza, bisognerà procedere con l’organizzarsi adeguatamente e prima che sia installato l’impianto. Tra le varie persone a nostra disposizione, dovremo individuare almeno due responsabili del trattamento, e spiegare loro dettagliatamente cosa significa essere il “responsabile della videosorveglianza” (si va dalla semplice custodia delle chiavi di accesso al sistema, fino alla completa gestione e manutenzione dell’infrastruttura hardware e software e al controllo in diretta dei monitor). Queste istruzioni, oltre a risultare da un atto scritto e ufficiale, dovranno poi essere coerenti con una politica o, almeno, una procedura interna che disciplini specificamente l’argomento.

Tutte queste informazioni saranno la base su cui elaborare la relazione tecnico-descrittiva richiesta al punto 2 della lista degli allegati da presentare con l’istanza.

Riassumendo, questo è ciò che occorre avere (almeno):

  • La valutazione preliminare sulla necessità di dotarsi di un impianto di videosorveglianza;
  • La valutazione dell’impatto sulla privacy che consegue all’installazione dell’impianto;
  • Eventualmente, la motivazione del perché servono tempi di conservazione più lunghi (e qui potrebbe entrare in gioco il Garante);
  • Un adeguato modello organizzativo, con policy e procedure specifiche;
  • Nominare i responsabili per iscritto e istruirli sul loro compito;
  • Informare tutti gli interessati con modalità “estese” e con i cartelli.

In conclusione, vi ricordo che l’istanza è da presentare solo se non è presente alcuna rappresentanza sindacale in azienda, o se con quella presente non si è raggiunto un accordo (cosa che potrebbe richiedere un modus operandi molto simile) e vi rammento che per l’installazione dell’impianto, bisogna seguire anche le eventuali indicazioni che arrivano dalla normativa sulla sicurezza sul lavoro riguardo gli obblighi dei progettisti, degli installatori e, se pertinente, dei committenti e degli appaltatori.

Pubblicato il

Slide sulla videosorveglianza

Slide sulla videosorveglianza

Un’utile pubblicazione per conoscere gli adempimenti previsti dalle norme che regolano la videosorveglianza, la privacy, il lavoro

Sul sito iCLHUB sono ora a disposizione le slide tecnico normative per i formatori sulla normativa e sulle procedure da attuare per la corretta videosorveglianza dei luoghi di lavoro. In allegato anche il vademecum per utenti e installatori.

Come esperto in materia di protezione dei dati personali, ho scelto di pubblicare sulla Libreria Digitale Pubblica dell’Associazione un pacchetto di slides tecniche in formato PDF, da utilizzare nei corsi sull’utilizzo in sicurezza della videosorveglianza (dei lavoratori, dei beni aziendali, dei processi produttivi…).

Nelle slide sono presenti tutti i riferimenti tecnico normativi (e relative istruzioni) al Nuovo Statuto dei Lavoratori, al Codice Privacy, alle sanzioni derivanti dal Codice Civile e Penale per un uso scorretto (nelle forme e nei modi) della videosorveglianza, con un focus particolare sul provvedimento sulla videosorveglianza del Garante.

A complemento, un secondo file (sempre in formato PDF) con un vademecum sui punti fondamentali della videosorveglianza dei diversi ambiti d’applicazione (lavoro, domestico, condominiale, sanitario…).