Il D.lgs. 102/2020 ha apportato modifiche al D.Lgs. 152/2006 e s.m.i. (c.d. Testo Unico Ambientale), prevedendo delle specifiche disposizioni relative ad alcune sostanze pericolose classificate come cancerogene, mutagene o tossiche per la riproduzione o mutagene (CMR) e sostanze di tossicità e cumulabilità particolarmente elevata ed estremamente preoccupanti (SVHC).

Il comma 7-bis dell’art. 271 del Testo Unico Ambientale, così come novellato dal D.lgs. 102/2020, stabilisce che le emissioni provenienti dalle sostanze sopra indicate devono essere limitate e sostituite appena possibile all’interno del ciclo produttivo. Di conseguenza, lo scopo di tale normativa è quello di ridurre l’impiego di sostanze pericolose classificate come CMR e SVHC, prescrivendo la sostituzione non appena possibile delle citate sostanze e imponendo comunicazioni agli Enti e/o adeguamenti autorizzativi obbligatori.

Secondo quanto previsto dalla nuova normativa, i gestori degli stabilimenti ed impianti che utilizzano sostanze CMR e/o SVHC e che sono autorizzati alle relative emissioni in atmosfera sono obbligati ad inviare una relazione tecnica all’autorità competente, in cui analizzano la disponibilità di sostanze alternative ed esaminano la fattibilità tecnica ed economica del loro utilizzo in luogo di quelle altamente preoccupanti come materie prime nei propri processi produttivi.

Per gli stabilimenti in esercizio al 28 agosto 2020 e per quelli nuovi autorizzati successivamente a tale data, la prima relazione deve essere inviata all’autorità competente tassativamente entro il 28 agosto 2021. Successivamente l’obbligo decorrerà ogni cinque anni.

SOSTANZE / MISCELE INTERESSATE

Le sostanze/miscele coinvolte ai fini dell’applicazione dell’art. 271, comma 7-bis, del Testo Unico Ambientale, sono quelle classificate come:

• cancerogene o tossiche per la riproduzione o mutagene (indicazioni di pericolo: H340, H350, H360, H350i, H360F, H360D, H360FD, H360Fd, H360Df);
• di tossicità e cumulabilità particolarmente elevata (PBT/vPvB, tabella A2, parte II dell’Allegato I alla Parte Quinta del D.Lgs. 152/06 e Allegato XIII Reg. REACH);
• estremamente preoccupanti ai sensi dal regolamento (CE) REACH n. 1907/2006 (SVHC).

SOGGETTI INTERESSATI

Gli obblighi e le prescrizioni di cui all’art. 7-bis del citato D.lgs. 102/2020 si applicano ai gestori di stabilimenti o impianti nei cui cicli produttivi vengono utilizzano le sostanze CMR e/o SVHC da cui si generano emissionie che possiedono l’Autorizzazione Unica Ambientale (c.d. AUA) o l’Autorizzazione Integrata Ambientale (c.d. AIA).

Non sono invece coinvolti, e quindi non devono presentare la relazione di cui all’art. 7-bis, i gestori di stabilimenti ed impianti se:

• non vengono utilizzate le sostanze/miscele sopra elencate, anche se autorizzati in AUA o AIA;
• se le sostanze classificate CMR sono utilizzate in quantità inferiori a 10 kg/anno;
• se le sostanze nella lista SVHC presenti in miscele in concentrazioni inferiori allo 0,1% p/p;
• le sostanze sono materie prime naturali per le quali è prevista apposita deroga;
• le sostanze classificate CMR e/o SVHC presenti in emissione derivano da processi chimici o da decomposizione/degradazione;
• autorizzati in deroga ex art. 272 commi 2 e 3 del Testo Unico Ambientale o con emissioni scarsamente rilevanti.

ADEMPIMENTI E TEMPISTICHE

I gestori degli stabilimenti ed impianti autorizzati alle emissioni in atmosfera sono obbligati ad inviare una relazione tecnica all’autorità competente (la Provincia), in cui analizzano la disponibilità di sostanze alternative rispetto a quelle sopra indicate ed esaminano la fattibilità tecnica ed economica della sostituzione delle sostanze/miscele CMR e/o SVHC e delle alternative individuate. Sulla base della relazione presentata, l’autorità competente può richiedere la presentazione di una domanda di aggiornamento o di rinnovo dell’autorizzazione.

Per gli stabilimenti in esercizio al 28 agosto 2020 e per quelli nuovi autorizzati successivamente a tale data, la prima relazione deve essere inviata all’autorità competente tassativamente entro il 28 agosto 2021. Successivamente l’obbligo decorrerà ogni cinque anni.

Di seguito, vengono indicati le varie casistiche, gli obblighi e le tempistiche.

STABILIMENTI CON AUTORIZZAZIONE ORDINARIA  AUA O AIA

-esisenti al 28/08/2020

In caso di utilizzo di sostanze e/o miscele estremamente preoccupanti nel ciclo produttivo da cui originano emissioni in atmosfera, il gestore di stabilimento o di impianto deve:

• entro il 28/08/2021 redigere la Relazione;
• entro il 01/01/2025 presentare una domanda di autorizzazione per l’adeguamento alle prescrizioni oppure in data antecedente individuata dall’autorità competente in risposta alla relazione. L’adeguamento potrà inoltre essere previsto in sede di rinnovo periodico dell’autorizzazione o in caso di modifiche sostanziali presentate prima del 01/01/2025, occasioni in cui il gestore dovrà già considerare le eventuali modifiche legate all’utilizzo delle sostanze pericolose.

-con domanda (nuovo impianto, modifica o rinnovo) presentata dopo il 28/08/2020

Nell’autorizzazione vengono riportate le seguenti nuove prescrizioni:

• sostituire sostanze e/o miscele estremamente preoccupanti nel ciclo produttivo non appena tecnicamente ed economicamente possibile;
• inviare all’autorità competente la Relazione ogni 5 anni.

-in caso di riclassificazione successiva delle sostanze e/o miscele:

In caso di riclassificazione successiva delle sostanze e/o miscele, occorre:

• presentare domanda di Autorizzazione Unica Ambientale (AUA) ai sensi dell’art. 269 del Testo Unico Ambientale, entro 3 anni dalla modifica della classificazione delle sostanze e/o miscele in uso.

STABILIMENTI CON AUTORIZZAZIONE VIA GENERALE (AVG) AI SENSI DELL’ART. 272 DEL TESTO UNICO AMBIENTALE

-esistenti al 28/08/2020

In caso di utilizzo delle sostanze e/o miscele sopra elencate, il gestore di stabilimento o di impianto deve:

• presentare entro il 28/08/2023 una domanda di Autorizzazione Unica Ambientale (AUA) ai sensi dell’art. 269 del Testo Unico Ambientale.

-con domanda (nuovo impianto, modifica o rinnovo) presentata dopo il 28/08/2020

Per usufruire dell’autorizzazione in deroga, il divieto di utilizzo di sostanze e/o miscele classificate come Cancerogene, Tossiche per la riproduzione o Mutagene viene confermato e si estende anche a quelle classificate come estremamente preoccupanti.

-In caso di riclassificazione delle sostanze e/o miscele

In caso di riclassificazione successiva delle sostanze e/o miscele, occorre:

• presentare domanda di Autorizzazione Unica Ambientale (AUA) ai sensi dell’art. 269 del Testo Unico Ambientale, entro 3 anni dalla modifica della classificazione delle sostanze e/o miscele in uso

oppure

• comunicare agli Enti la sostituzione della sostanza /miscela con una alternativa non pericolosa.

SANZIONI

In caso di violazione degli obblighi, sono previste specifiche sanzioni:

• sanzioni penali, per la mancata domanda di autorizzazione per l’utilizzo di sostanze riclassificate come pericolose entro tre anni
• sanzioni amministrative pecuniarie da € 500,00 a 2.500, per la mancata presentazione della relazione entro il 28 agosto 2021 (e successivamente ogni cinque anni).

Fonti:

Certifico – https://www.certifico.com/ambiente/356-news-ambiente/14001-relazione-emissioni-in-atmosfera-sostanze-miscele-svhc-cmr

Testo Unico Ambientale – https://lexambiente.it/legislazione/codice-ambientale-dlv-152-06.html

Caratteristiche e funzioni concrete dell’OdV tra recente giurisprudenza e buone prassi aziendali per costruire Modelli organizzativi efficaci

Il 17 giugno scorso sono state depositate le motivazioni della sentenza del Tribunale Di Vicenza (del 19/03/2021) in merito al processo sul crac della Banca Popolare di Vicenza. La pronuncia, al di là della condanna ai vertici aziendali, ha condannato la BPVi per responsabilità amministrativa degli enti dipendente da reati (ex D.Lgs 231/2001). I reati in oggetto sono quelli societari, ossia, aggiotaggio e ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza commessi al suo interno (art. 25-ter c. 1 lett. r- s D.lgs. 231/2001). Di particolare interesse risultano le osservazioni sulla inefficacia del Modello di Organizzazione e Gestione adottato, nonché sulle caratteristiche dell’Organismo di Vigilanza.

L’OdV costituisce l’organismo dell’ente al quale devono competere autonomi poteri di iniziativa e controllo, al fine di vigilare sul funzionamento, l’aggiornamento e l’osservanza dei modelli 231. Primo aspetto da considerare riguarda la scelta dei membri dell’Organismo. Nelle motivazioni risulta che l’OdV era “composto da soggetti non esenti da ingerenza e condizionamento da parte dei componenti dell’ente, in particolare degli organi di vertice”. Nel caso specifico, su tre membri del Collegio, uno era interno (con funzioni di Direzione Internal Audit) ed era subordinato gerarchicamente e funzionalmente a coloro che avrebbe dovuto controllare, facendo venir meno l’indipendenza. Altri due erano avvocati esterni ai quali venivano riconosciuti ingenti retribuzioni, tali da lederne l’autonomia.

Oltre ai legami con i vertici è emersa una grave carenza nell’esercizio concreto dei compiti. L’Organismo esercitava un’attività del tutto carente ed inconsistente, con controlli meramente formali. Una siffatta operatività determinava verbali scarsamente approfonditi, su temi non rilevanti per la Banca e che non si estendevano alle principali aree sensibili. Inoltre, i poteri di iniziativa e di controllo erano compromessi in quanto non erano effettuate ispezioni senza preavviso sui vertici, vanificando l’azione di monitoraggio propria dell’Organismo.

Sempre dalla pronuncia si rileva l’inadeguatezza dei flussi informativi verso l’OdV. Eventuali violazioni erano segnalate al Presidente dell’Organismo mediante un canale di posta elettronica non inidoneo a garantire le dovute tutele del segnalante. La Banca aveva quindi adottato un modello di organizzazione carente ed inefficace sotto svariati profili che hanno portato, tra gli altri, alla condanna in primo grado.

Buone prassi aziendali

In tale contesto si inserisce lo studio pubblicato di recente da Assonime intitolato l’Organismo di Vigilanza nella prassi delle imprese a vent’anni dal D.lgs. 231/2001 (Note e Studi 10/2021). Trattasi dell’esito di una indagine sullo stato di attuazione della disciplina con particolare riferimento all’Organismo di Vigilanza, quale elemento essenziale nel sistema dei controlli e dell’efficace attuazione dei Modelli.

L’indagine ha coinvolto 222 società medio-grandi che emettono titoli quotati sul mercato regolamentato di Borsa Italiana. Emerge un quadro di buone prassi con riferimenti giurisprudenziali che rappresentano un punto di riferimento per tutte le aziende e gli operatori coinvolti in questa materia.

La scelta dei componenti

La normativa riconosce la facoltà nelle società di capitali di individuare i membri dell’Organismo di Vigilanza nell’organo di controllo (es. Collegio Sindacale). In ogni caso è l’ente a valutare in concreto se la concentrazione delle figure rappresenta o meno una soluzione efficace, tale da non compromettere l’efficacia dei controlli e degli interventi. In alcuni casi le aziende scelgono un organismo con componenti totalmente esterni, in altre circostanze si nominano soggetti interni ed esterni specializzati. Inoltre, a seconda del contesto aziendale si può scegliere un Organismo monocratico oppure collegiale (solitamente di tre soggetti).

L’azienda nell’ambito della scelta deve garantire che i membri soddisfino importanti condizioni oggettive e soggettive. Tale risultato lo si ottiene anche avvalendosi di utili strumenti, quali, l’individuazione di cause di ineleggibilità, di decadenza e di revoca, l’adozione di un adeguato regolamento dell’OdV che ne garantisca l’indipendenza, la predisposizione di un budget per garantirne l’autonomia finanziaria.

L’Organismo assume un’importanza centrale nella 231, di conseguenza deve rispondere a requisiti di autonomia, indipendenza, professionalità nell’ottica della continuità d’azione. Sul tema si riscontrano numerosi interventi della giurisprudenza ed importanti spunti dalle linee guida di categoria. Dallo studio emerge inoltre che nella prassi numerose società all’atto dell’accettazione dell’incarico richiedono una autodichiarazione sul possesso dei requisiti richiesti per ricoprire il ruolo di componente dell’OdV.

Ruolo e responsabilità

Come ricorda lo studio in esame, l’OdV esercita un ruolo di supporto “all’organo di gestione, assicurando che vi siano assetti organizzativi adeguati a prevenire i reati, all’organo di controllo nel vigilare sull’adeguatezza degli assetti, e alle funzioni aziendali in una logica di gestione integrata dei rischi di impresa”.

L’attività di vigilanza va concretamente svolta dall’Organismo e può avvenire mediante interviste (ai dipendenti e ai responsabili di funzioni o consulenti) o ispezioni, anche non programmate ed accesso a documenti ed atti societari. Tuttavia, come sottolinea Assonime l’OdV non ha potere di intervento diretto e impeditivo dei reati e degli atti che violano il modello, né assolve autonomi poteri disciplinari. Il collegio si limita infatti a segnalare presunte violazioni agli organi amministrativi e di controllo predisposti.

Flussi informativi e whistleblowing

Nei modelli 231 vanno adottati adeguati strumenti per gestire i flussi comunicativi da e verso l’Organismo. Ci si riferisce sia alle informazioni utili e necessarie all’OdV per assolvere i propri compiti, sia alle segnalazioni.

Le segnalazioni invece riguardano l’eventuale commissione di reati o violazioni del modello 231 e devono essere circostanziate e fondate su elementi di fatto, precisi e concordanti. Le segnalazioni vanno gestite in modo da garantire la tutela e la riservatezza del segnalante, come previsto dalla disciplina del whistleblowing (introdotta con L. n. 179 del 30/11/2017). Dato che non tutte le segnalazioni rilevano per la disciplina del whistleblowing, nello studio si consiglia una buona prassi che consiste nel distinguere i canali di segnalazione ed i relativi trattamenti. In linea generale per agevolare lo scambio informativo con l’Organismo sono necessari incontri periodici con gli organi direzionali, le aree sensibili ed il Collegio Sindacale. Gli esiti degli audit andranno adeguatamente verbalizzati per fornire inoltre un riscontro sull’operatività ed efficacia del Modello.

Un efficace modello 231, oltre che concreto nei presidi predisposti ed adeguato nell’assetto organizzativo, deve godere di una buona sensibilizzazione interna. L’ente deve intervenire con adeguata formazione, a seconda dei reparti e settori coinvolti, per implementare la cultura sulla corretta gestione dei processi, sull’aspetto sanzionatorio e disciplinare e sui flussi comunicativi.

Fonte: http://www.assonime.it/attivita-editoriale/studi/Pagine/Note-e-studi-10_2021.aspx

In vigore dal 01 settembre 2021 il nuovo Registro per l’abilitazione all’esercizio delle attività di raccolta e trasporto di rifiuti metallici.

Formazione in materia di salute e sicurezza sul lavoro

Come orientarsi tra obblighi, scadenze e sanzioni

In materia di salute e sicurezza sui luoghi di lavoro la normativa di riferimento – D.lgs n. 81/2008 – riserva particolare importanza alla formazione nell’ottica di una maggiore consapevolezza e sensibilizzazione sull’importanza della prevenzione dei rischi di infortuni negli ambienti di lavoro.

Il Decreto differenzia tre oneri formativi in capo al Datore di lavoro, ossia:

• informazione: complesso delle attività dirette a fornire conoscenze utili alla identificazione, alla riduzione e alla gestione dei rischi in ambiente di lavoro;
• formazione: processo educativo attraverso il quale trasferire ai lavoratori ed agli altri soggetti del sistema di prevenzione e protezione aziendale conoscenze e procedure utili alla acquisizione di competenze per lo svolgimento in sicurezza dei rispettivi compiti in azienda e alla identificazione, alla riduzione e alla gestione dei rischi;
• addestramento: complesso delle attività dirette a fare apprendere ai lavoratori l’uso corretto di attrezzature, macchine, impianti, sostanze, dispositivi, anche di protezione individuale, e le procedure di lavoro. L’addestramento va effettuato da persona esperta, sul luogo di lavoro e durante l’orario di lavoro in quanto non può comportare oneri economici a carico dei lavoratori.

Il Datore (art. 37 del Decreto) ha l’obbligo di assicurare che ciascun lavoratore riceva una formazione sufficiente ed adeguata in materia di salute e sicurezza sul lavoro, con particolare riferimento a:

a) concetti di rischio, danno, prevenzione, protezione, organizzazione della prevenzione aziendale, diritti e doveri dei soggetti aziendali, organi di vigilanza, controllo, assistenza;

b) rischi riferiti alle mansioni e ai possibili danni ed alle conseguenti misure e procedure di prevenzione e protezione caratteristici del settore o comparto di appartenenza aziendale.

Il contenuto della formazione, infine, deve essere facilmente comprensibile per i lavoratori; qualora rivolta a lavoratori immigrati, deve avvenire previa verifica della comprensione e conoscenza della lingua utilizzata nel percorso formativo.

Quando è necessaria

La formazione si estende a tutti i lavoratori che prestano attività lavorativa nell’ambito dell’organizzazione di un Datore di lavoro a prescindere dal tipo di contratto e dal settore pubblico o privato, anche nel caso di soci lavoratori, tirocinanti ed apprendisti. Sono per contro esclusi gli addetti ai servizi domestici e familiari.

Ciascun lavoratore deve ricevere una formazione generale di 4 ore alla quale si aggiunge la formazione specifica con durata variabile (da 4 a 12 ore), quest’ultima varia a seconda dal settore economico di appartenenza aziendale (codice ATECO) e dalla classe di rischio indicata sul Documento di Valutazione dei Rischi. Soltanto la formazione specifica è soggetta all’aggiornamento di 6 ore ogni 5 anni; quella generale non ha scadenza.

La formazione e, ove previsto, l’addestramento devono avvenire in occasione della costituzione del rapporto di lavoro (entro 60 giorni dall’assunzione), in caso di trasferimento/cambio mansioni, oppure quando si introducono nuove attrezzature o tecnologie di lavoro, prima dell’utilizzo delle stesse. La formazione secondo il Decreto va periodicamente ripetuta con corsi di aggiornamento in relazione all’evoluzione o all’insorgenza di nuovi rischi.

Tra le principali figure in materia di sicurezza sul lavoro sono altresì previsti obblighi formativi anche nei confronti dei Preposti e dei Dirigenti con relativi aggiornamenti a cadenza quinquennale. Chi viene inoltre nominato dai lavoratori quale Rappresentante dei Lavoratori per la Sicurezza (RLS) deve ricevere, sempre a carico del Datore di lavoro, una formazione iniziale ed un adeguato aggiornamento annuale la cui durata in termini di ore varia in base alla dimensione aziendale.

Per la gestione delle emergenze è previsto che il Datore deve individuare i lavoratori incaricati dell’attività di prevenzione incendi e lotta antincendio e gli addetti alprimo soccorso. Questi soggetti devono essere presenti in ogni Organizzazione in numero variabile in base alle dimensioni ed al numero di lavoratori. Gli addetti così individuati devono ricevere una formazione periodicamente aggiornata per poter ricoprire tali ruoli.

Specifici oneri formativi sono infine previsti per l’utilizzo delle attrezzature da lavoro e per i singoli settori o comparti di lavoro, in quanto la volontà del legislatore è di diffondere una cultura della sicurezza che sia il più aderente possibile alla mansione svolta e quindi realtà lavorativa che coinvolge a pieno la vita del lavoratore. Nell’ottica di sensibilizzare ogni figura professionale, a tutti i livelli, al concetto di rischio e di prevenzione, di sé e degli altri.

I corsi hanno una durata e una validità variabile, come da tabella sotto riportata:

*Si consiglia la stessa periodicità della formazione per gli addetti al primo soccorso secondo il D.Lgs. 388/03 e quindi triennale.

Sanzioni e come evitarle

In materia di formazione nella sicurezza sul lavoro il D.Lgs 81/2001 prevede sanzioni gravose ove si riscontrino mancanze, difformità o irregolarità.

In caso di accertamenti dagli organi di controllo, ove si riscontri la mancata o irregolare formazione dei lavoratori, il Datore può incorrere nella pena dell’’arresto da due a quattro mesi o nell’ammenda da 1.474,21 a 6.388,23 euro.

Inoltre, come più volte ricordato dalla Corte di Cassazione, ove il datore non adempia agli obblighi di informazione e formazione gravanti su di lui e sui suoi delegati risponde, a titolo di colpa specifica, dell’infortunio dipeso dalla negligenza del lavoratore il quale, nell’espletamento delle proprie mansioni, realizza condotte imprudenti, trattandosi di conseguenza diretta e prevedibile della inadempienza degli obblighi formativi. L’adempimento di tali obblighi non é escluso né é surrogabile dal personale bagaglio di conoscenza del lavoratore, formatosi per effetto di una lunga esperienza operativa, o per il travaso di conoscenza che si realizza nella collaborazione tra lavoratori, anche posti in relazione gerarchica (C. Cass. Penale, Sez. 4 del 22/06/2021; Sez. 4, n. 49593 del 14/06/2018C. Cass. Sez. 4; n. 39765 del 19/05/2015.)

Una buona organizzazione interna permette di monitorare le scadenze ed agevola l’azienda ad adeguarsi ed essere compliant alla normativa evitando di incorrere in sanzioni. In tal senso si ricorda di prestare massima attenzione agli enti formatori ai quali affidarsi, in quanto, ai fini della validità legale dei corsi effettuati, i formatori sono soggetti a vincoli stringenti, anche in termini di accreditamento e controllo dagli organi competenti. La normativa detta infatti importanti requisiti dei formatori al fine di garantire professionalità ed uniformità nell’erogazione dei contenuti.

Contenuti e modalità di erogazione dei corsi

La durata, i contenuti minimi e le modalità della formazione sono individuati negli Accordi presi in sede di Conferenza permanente per i rapporti Stato-Regioni. Va fatto riferimento ai contenuti degli “Accordi Stato Regioni del 21/12/2011”. In linea generale la durata dei corsi e la frequenza degli aggiornamenti sono relativi sia dalla tipologia di rischio dell’azienda, sia dal concreto grado di responsabilità assunto all’interno della stessa.

La formazione in materia di salute e sicurezza sui luoghi di lavoro viene svolta in presenza, ossia in aula. Tuttavia, la normativa prevede la possibilità di adottare per determinati percorsi formativi, la modalità e-learning. Per conoscere i corsi che lo Studio Quality eroga “a distanza” clicca qui.

VIOLAZIONE DEI DATI PERSONALI

Come intervenire e cosa prevede la nuova procedura telematica disposta dal Garante della Privacy

La violazione dei dati personali (data breach) costituisce una violazione della sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati (art. 4 Regolamento UE n. 2016/679 – G.D.P.R.). Il data breach provoca quindi effetti negativi in termini di riservatezza, integrità o disponibilità dei dati personali. 

In linea generale, sono numerosi e di svariata natura gli eventi che possono provocare una violazione dei dati personali; alcuni casi pratici sono illustrati sul sito del Garante della privacy:

– accesso o acquisizione di dati da parte di terzi non autorizzati

– furto o perdita di dispositivi informatici contenenti dati personali

– deliberata alterazione di dati personali

– impossibilità di accedere ai dati per cause accidentali o per attacchi esterni (virus, malware, ecc.)

– perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o calamità

– divulgazione non autorizzata dii dati personali.

PROCEDURE DA SEGUIRE

Il G.D.P.R. indica la procedura per i Titolari del trattamento sia pubblici che privati qualora si verifichi una violazione dei dati personali. Il Titolare senza ingiustificato ritardo, possibilmente entro 72 ore dall’avvenuta conoscenza dell’incidente, deve notificare la violazione dei dati personali all’Autorità Garante per la protezione dei dati personali. Tuttavia, non è dovuta la notificazione se risulta improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche coinvolte.

È fondamentale intervenire in maniera tempestiva per accertare le dinamiche, le cause, la portata dell’incidente e bloccare o limitare gli effetti. È quindi preminente capire se l’incidente ha coinvolto dati personali. Analizzare tutti i profili serve per valutare se procedere o meno alla notificazione della violazione dei dati personali. Il Garante indica che è necessario notificare se la violazione può produrre “effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali”. In ogni caso, eventuali incidenti di sicurezza, anche qualora si valuti di non procedere con la notificazione, dovranno essere registrati internamente. Così facendo sarà agevole motivare le scelte in caso di controlli.

La violazione potrebbe essere rilevata da un Responsabile del trattamento dei dati (es. un fornitore di determinati servizi o un consulente aziendale). In questa ipotesi il Responsabile deve comunicare tempestivamente l’evento al Titolare del trattamento. Sarà infatti il Titolare a valutare la procedura da adottare.

Inoltre, il G.D.P.R. impone al Titolare del trattamento di effettuare un’opportuna ed idonea comunicazione alle persone fisiche coinvolte se la violazione comporta un rischio elevato per i loro diritti. La comunicazione agli interessati non è dovuta quando il Titolare ha adottato misure adeguate in grado di ridurne l’impatto.

Il Titolare del trattamento che viola quanto previsto in caso di data breach può incorrere in una gravosa sanzione amministrativa; il Regolamento UE n. 2016/679 prevede fino a 10 milioni di euro (o il 2% del fatturato annuo della società).

NUOVA PROCEDURA TELEMATICA SUL SITO DEL GARANTE

Sul sito dell’Autorità Garante per la protezione dei dati personali sarà operativa, a partire dal mese di luglio, una nuova procedura telematica per le notificazioni di violazione dei dati personali.

Al fine di agevolare l’indicazione di tutti gli elementi relativi ad un incidente di sicurezza, verranno segnalati automaticamente i campi ancora da completare nel corso della procedura. Si offrirà altresì la possibilità di caricare documenti esplicativi. Le notificazioni andranno in ogni caso firmate digitalmente ma il sito agevola la pratica con istruzioni aggiornate e modelli di autovalutazione utili. Il Garante si mostra quindi partecipe alle esigenze delle parti e coinvolto nel migliorare ed agevolare il flusso comunicativo dalle imprese private e pubbliche.

MISURE DI SICUREZZA E COMPORTAMENTI CORRETTI

In ambito privacy gli obblighi ed i profili da considerare sono numerosi, in quanto costituisce una materia particolarmente trasversale. La normativa impone ai Titolare ed ai Responsabili del trattamento di adottare e di dimostrare comportamenti proattivi e rafforzati, nell’ottica della responsabilizzazione di tutti i livelli coinvolti (accountability). Ai sensi del G.D.P.R. – art. 5 – Il trattamento dei dati personali deve infatti garantire un’adeguata sicurezza che comprende la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali.

Le misure vanno accuratamente progettate (a monte) per i diversi trattamenti tenendo conto di tutti gli aspetti coinvolti e, soprattutto, vanno monitorate e mantenute adeguate nel tempo. In relazione ad esempio, alla realtà dell’Organizzazione, al contesto ed agli strumenti, alle finalità di trattamento, alla natura, quantità e tipologia dei dati personali ed alle caratteristiche degli interessati, si potranno scegliere le misure di sicurezza. In caso di violazione dei dati personali, dimostrare l’adeguatezza delle misure adottate rappresenta un elemento basilare per le valutazioni dell’autorità di controllo.

Al fine di gestire un data breach è quindi necessario definire chiaramente ruoli e responsabilità, prevedere una buona organizzazione delle risorse, adottare procedure concrete e lineari e misure tecniche ed informatiche adeguate e controllate. Diffondere una sensibilità ed una cultura della sicurezza dei dati da proteggere rappresenta un punto fondamentale sul quale far leva. La sicurezza in molti casi è infatti strettamente legata dalla percezione del rischio da parte di ciascuno di noi.

Fonte: https://www.garanteprivacy.it/regolamentoue/databreach 

Responsabilità amministrativa degli Enti

Come intervenire per evitare le sanzioni ed essere compliat

IL Decreto Legislativo n. 231 del 2001 ha compiuto 20 anni. La responsabilità amministrativa diretta degli enti, ossia delle società e associazioni anche prive di personalità giuridiche, è prevista in caso di commissione di determinati reati da parte di persone che ricoprono posizioni apicali e/o sottoposte, nell’interesse od a vantaggio dell’ente.

La responsabilità amministrativa degli enti sussiste per le fattispecie espressamente previste dal Decreto e va ad aggiungersi alla responsabilità penale dell’autore del reato. Nel novero dei delitti vi rientrano, a titolo esemplificativo, reati in materia di salute e sicurezza sul lavoro, reati contro la pubblica amministrazione, in materia ambientale, reati informatici, in materia di diritto d’autore, abusi di mercato, reati societari, di carattere transfrontaliero, in materia di immigrazione clandestina, e di recente i reati tributari e fiscali introdotti nel 2020.

Sono elevate le sanzioni pecuniarie ed interdittive previste; senza dimenticare che in caso di sentenza di condanna all’ente è sempre disposta la confisca del prezzo o del profitto del reato. Tuttavia, l’ente può evitare le sanzioni se si è dotato di un efficace Modello di Organizzazione, Gestione e Controllo (MOG).

L’azienda può esimersi dalla responsabilità amministrativa se dimostra:

• di aver adottato ed efficacemente attuato un Modello di Organizzazione e Gestione, unitamente ad un sistema etico-comportamentale ed un meccanismo disciplinare adeguati
• di aver affidato il monitoraggio e l’aggiornamento del Modello ad un organismo di Vigilanza (ODV) dotato di autonomi poteri di iniziativa e di controllo
• il reato è stato commesso eludendo fraudolentemente il Modello, ossia come indicato dalla giurisprudenza, aggirando le “misure di sicurezza” in modo tale da forzarne l’efficacia.

L’Impresa che intende adottare un Modello conforme al Decreto deve effettuare un’approfondita analisi (Risk Assessment) sui reati presupposto che potrebbero essere commessi, individuando le aree esposte ai rischi, al fine di predisporre i presidi di controllo per prevenire la commissione dei reati.

Linee Guida di Confindustria ed aggiornamenti

La normativa sulla responsabilità delle imprese richiede numerosi interventi di compliance di diversa natura che vanno calati nelle singole realtà aziendali. In tale contesto si inseriscono le recenti Linee Guida di Confindutria; attraverso un’approfondita analisi sulla materia, sulla base dei maggiori orientamenti dottrinali e giurisprudenziali degli ultimi 7 anni (al 20014 risalgono le precedenti linee guida), si delinea un importante documento dotato di linearità e significativo taglio pratico. L’obiettivo è di individuare le migliori prassi in ambito 231, per agevolare le diverse realtà imprenditoriali ad orientarsi nella realizzazione di Modelli di Organizzazione e Gestione concreti.

Tra le principali novità si segnalano quelle relative al Whistleblowing, con indicazioni che recepiscono le ultime normative sulle modalità di effettuazione e gestione delle segnalazioni. Viene ribadito il ruolo dell’Organismo di Vigilanza quale destinatario delle segnalazioni ed il corretto rapporto con le figure aziendali eventualmente coinvolte nel flusso delle segnalazioni, in modo da non sottrarre al monitoraggio dell’OdV il flusso informativo originato dal meccanismo di whistleblowing. Viene affrontato in maniera approfondita il tema sui nuovi reati fiscali, la cui corretta mitigazione dei rischi si integra con il concetto dei sistemi di gestione integrati.

Sistemi integrati di gestione: strumento da non sottovalutare

Le aziende per essere conformi alle numerose normative che le riguardano possono trovare nell’adozione di sistemi di gestione integrati un importante strumento. Tale approccio come indicato nelle Linee Guida, può fornire diversi vantaggi, quali la razionalizzazione delle attività, la migliore efficacia ed efficienza delle attività di compliance e la più agevole condivisione delle informazioni in tutti i processi.

Organizzare adeguatamente le risorse – umane, fiscali, strumentali, documentali ed informative – ottimizza l’implementazione di procedure, modalità operative e presidi di prevenzione tali da non creare sovrapposizioni e finalizzate alla mitigazione di numerosi rischi, nell’ottica di una buona suddivisione dei ruoli e delle responsabilità interne.

Per quanto riguarda la salute e sicurezza sul lavoro la trasversalità delle materie coinvolte emerge chiaramente. Il D.Lgs n. 81/2008 (art. 30) rimanda all’importante ruolo esimente (ossia, la possibilità di non incorrere nelle sanzioni amministrative dipendenti da reato) dei modelli di organizzazione e gestione, ove adottati ed efficacemente attuati nel rispetto della normativa di cui al D.Lgs 231/2001. Un sistema di gestione aziendale adottato sulla base delle normative di adesione volontaria, come la UNI 45001, si presume in grado di evitare di incorrere nella responsabilità da reato dell’ente. Tuttavia, come sottolinea Confindustria, l’ottenimento delle certificazioni sui sistemi di gestione non è di per sé sufficiente ad escludere la responsabilità amministrativa dell’impresa per infortuni o malattie professionali.

La presunzione di conformità dei sistemi di gestione è da intendersi in termini astratti, in quanto il Modello idoneo ai seni della 231 deve essere non solo adottato ma anche efficacemente attuato. L’efficace attuazione del modello 231 non può essere valutata preventivamente in concreto ma solo ed eventualmente successivamente, ad opera del giudice penale: logica che si estende a tutti i sistemi di gestione aziendale. Sono numerose le normative di adesione volontaria, tra le principali ricordiamo quelle in materia antinfortunistica (OHSAS 18001 o ISO 45001), di qualità (ISO 9001), ambientale (ISO14001), di sicurezza informatica (ISO 27001) e anticorruzione (ISO 37001).

Le logiche e gli scopi dei sistemi di gestione non sono perfettamente sovrapponibili a quanto richiede il D.Lgs 231/2001; In ogni caso, adottare o implementare un sistema di gestione certificato indica la volontà e la sensibilità dell’Azienda a diffondere il rispetto delle norme e può a tutti gli effetti costituire la base per adottare Modelli 231 che si rivelino idonei. Soltanto l’adozione e l’efficace attuazione di un Modello di Organizzazione e Gestione costituiscono il presupposto per poter beneficiare dell’esimente normativo ed evitare le gravose sanzioni.

Fonti

“Giurisprudenza penale”: LG-231-Confindustria-6-2021.pdf (giurisprudenzapenale.com)

Attenzione a diffondere il QR Code del Green Pass

L’avvertimento del Garante Privacy per un utilizzo consapevole e senza rischi

Pubblicare il proprio QR Code del Green Pass sui social è particolarmente rischioso per la protezione e la riservatezza dei dati personali. È questo l’avvertimento che è stato diffuso dal Garante della Privacy.

Nelle ultime settimane sono molti i cittadini che hanno scaricato il Green Pass personale generato dal sistema nazionale istituito dal Governo. Le certificazioni dal primo luglio entreranno in vigore in tutta l’Unione Europea con lo scopo di superare le limitazioni ed i problemi prodotti dalla pandemia.

Com’era prevedibile sui social si sono diffusi con leggerezza svariati post con il QR Code ottenuto, senza preoccupazioni sul fatto che nel Certificato sono presenti non solo dati anagrafici dell’interessato ma anche quelli relativi alla salute, la situazione vaccinale se e quando si è stati vaccinati, con che tipo di vaccino, oppure se si è guariti dall’infezione, o l’esito di un recente tampone o test molecolare.

Green Pass e protezione dei dati personali: quali tutele

La normativa privacy mediante il GDPR (Regolamento UE 2016/679) inserisce i dati sanitari delle persone fisiche nella categoria dei dati particolari, c.d. sensibili, ossia informazioni che attengono alla sfera più delicata della persona, il cui utilizzo improprio o illegittimo può esporre a conseguenze gravi tali da compromettere i diritti e libertà fondamentali dell’interessato (a titolo esemplificativo, rischi di discriminazione, di frode, di furto d’identità).  Il trattamento dei dati di natura particolare deve avvenire esclusivamente se vi sono le basi giuridiche che ne rendono lecito il trattamento. Le organizzazioni pubbliche e private che trattano questi dati in qualità di Titolari o Responsabili del trattamento devono inoltre adottare misure tecniche ed organizzative per garantire un livello di sicurezza adeguato ai rischi che derivano relativamente alla distruzione, alla perdita, alla modifica, alla divulgazione non autorizzata o all’accesso non consentito.

Nello specifico, il Governo con DPCM 17 giugno 2021 ha regolamentato l’utilizzo della piattaforma per i Certificati Covid-19 ed ha stabilito i vincoli per le organizzazioni pubbliche e le imprese private che possono effettuare i relativi controlli. Le imprese coinvolte dovranno individuare gli addetti alla verifica dei Green Pass mediante delega, istruire gli stessi e controllare che le operazioni di trattamento dei dati rispettino le istruzioni. Il DPCM (art. 13) stabilisce che l’attività di verifica delle Certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma. Sono solo le imprese individuate dalla normativa a poter effettuare le verifiche dei Certificati, esclusivamente mediante l’App gratuita istituita dal Governo – VerificaC19. Trattasi, in linea generale di imprese, gestori, titolari o responsabili di luoghi ai quali si può accedere se si possiede il Green Pass.

Quali sono i comportamenti rischiosi

La protezione dei dati personali rappresenta un diritto fondamentale in tutti gli Stati Membri, pertanto in questa fase di delicata gestione dei Green Pass l’intervento del Garante del 24 giugno è stato chiaro ed incisivo.

L’Autorità ammonisce che diffondere nel web e sui canali social il QR Code del Green Pass espone a numerosi pericoli, quali:

• La possibilità per chiunque di accedere alle informazioni ed utilizzarle per scopi malevoli, anche di profilazione
• Correre il rischio di non poter accedere a determinati luoghi o di vedersi discriminati per cause illecite
• La diffusione massiccia dei dati potrebbe compromettere lo scopo del Green Pass con rischio elevato di contraffazioni dei certificati

Il Garante ribadisce che il QR code va esibito solo alle forze dell’ordine ed alle organizzazioni pubbliche o private autorizzate, esclusivamente per l’esercizio delle attività individuate dalla normativa e solamente con l’ausilio degli strumenti predisposti dal Governo. L’utilizzo consapevole e prudente dei Certificati potrà così evitare di incorrere in una serie di pericoli che non si erano preventivamente considerati. In una realtà sempre più digitale e caratterizzata da reti di informazioni ed infrastrutture è pertanto necessario il giusto coinvolgimento di tutte pe parti coinvolte.

Fonti

Spostamenti nell’Unione Europea, al via le facilitazioni

RIAPERTURA DAL PRIMO GIUGNO PER LA RISTORAZIONE

Come adeguare le attività per evitare sanzioni

In zona gialla dal primo giugno 2021 potranno riaprire i ristoranti al chiuso e si potrà tornare a consumare al bancone dei bar.

Per garantire le riaperture in sicurezza, gli esercenti dovranno adottare specifici Protocolli anti-contagio aggiornati, nel rispetto di quanto previsto dal Protocollo Nazionale condiviso dalle parti sociali il 06 aprile 2021.

Come stabilito inoltre dalle linee guida adottate dalla conferenza Stato – Regioni, i ristoranti e le attività di somministrazione alimenti, tra le principali disposizioni dovranno:

1. Esporre cartelli informativi che riportino chiaramente le regole su:
   • distanziamento interpersonale di almeno 1 metro;
   • disinfezione delle mani con i gel messi a disposizione in diversi punti del locale;
   • utilizzo obbligatorio della mascherina da parte dei clienti quando si alzano dai tavoli.
2. Adottare misure adeguate per evitare assembramenti (vengono in ausilio i cartelli / catenelle per differenziare le zone / segnaletica a terra;
3. Vanno privilegiate le prenotazioni e va mantenuto il relativo registro per 14 giorni, nel rispetto delle disposizioni in materia privacy;
4. I tavoli devono essere organizzati in modo da assicurare 1 metro di distanza tra i posti a sedere; 
5. I menù possono essere consultabili on line oppure su carta plastificata da disinfettare dopo l’uso oppure ancora con menù cartacei a perdere;
6. Se non si dispone di posti a sedere l’accesso va limitato ad un numero di clienti per volta in base alle caratteristiche del locale, in modo da assicurare la distanza di un metro;
7. La consumazione al banco deve avvenire mantenendo la distanza di un metro tra clienti;
8. Nei buffet la somministrazione deve avvenire da parte degli operatori, si deve quindi escludere per i clienti la possibilità di toccare i prodotti ed in ogni caso permane obbligo della mascherina e del distanziamento di 1 metro
9. Nei servizi self service si devono utilizzare esclusivamente prodotti confezionati singolarmente garantendo sempre il distanziamento interpersonale tra le persone
10. Il personale deve indossare la mascherina chirurgica durante tutto il servizio e deve procedere ad igienizzarsi le mani con frequenza
11. Garantire la frequente pulizia di tutti gli ambienti con regolare disinfezione delle superfici toccate con maggiore frequenza;
12. È obbligatorio provvedere al ricircolo costante e frequente dell’aria, mantenendo aperte, a meno che le condizioni meteorologiche o altre situazioni di necessità non lo consentano, porte, finestre e vetrate al fine di favorire il ricambio d’aria naturale negli ambienti interni. In ragione dell’affollamento e del tempo di permanenza degli occupanti, dovrà essere verificata l’efficacia degli impianti.

Per maggiori informazioni contattaci al 0171 260239 oppure invia una e-mail a formazione@studioquality.it.