Sui costi della non sicurezza

Sui costi della non sicurezza.

Un recente comunicato stampa dell’OSHA (l’Agenzia europea per la salute e la sicurezza sul lavoro), ripreso poi dalle principali testate specializzate sull’argomento, racconta come il costo, per l’Unione Europea, della non sicurezza sia arrivato, nel 2017, alla cifra di 476 miliardi di Euro. 476.000.000.000. Quattrocentosettantaseimiliardi. Causati da infortuni o malattie professionali. Di questa cifra, circa il 25% è dovuto ai tumori professionali.

La cifra legata alla non sicurezza è importante e, se confrontata con il PIL dell’UE del 2016, varrebbe circa il 3%. Detto molto malamente, è come se ogni 100 € fatturati, ognuno di noi ne pagasse 3 per pagare infortuni o malattie professionali.

Il fatto, però, è che in questi termini è davvero detto “molto malamente”. Perché i costi della non sicurezza, non possono essere solamente calcolati sulla spesa pubblica che serve a coprire gli infortuni e le malattie professionali.

Provo a spiegarmi meglio: i costi sostenuti dagli enti pubblici di previdenza e di assistenza (di cui possiamo avere un consuntivo con cadenza annuale) sono solo una parte dei costi economici che effettivamente derivano dalla non sicurezza.

Quali sono, dunque, le altre voci di costo?

Per rispondere a questa domanda non basta di sicuro un breve articolo, poiché la risposta va ricercata anzitutto a livello globale e sul piano dell’organizzazione e della strategia.

Facciamo un esempio concreto, con un semplice ragionamento per assurdo.

Un’impresa privata, che paga un lavoratore dipendente (chiamiamolo Tizio) 10 Euro l’ora, in condizioni di sicurezza vedrà remunerato l’investimento fatto su tale risorsa, perché questa produrrà valore e ricavi. Diciamo che ogni ora di lavoro, ciò che viene prodotto ha un valore di 100 Euro.

Immaginiamo che Tizio si debba fermare e non possa lavorare per un giorno, perché infortunato. L’impresa dovrà comunque pagare il suo stipendio, quindi avrà comunque un esborso di 80 Euro (calcolato sulle canoniche 8 ore lavorative), ma se Tizio era l’unico lavoratore impiegato, significa che per l’intera giornata l’azienda non avrà prodotto nulla, il che significa che avrà perso 800 Euro. Il che, di fatto, è come dover sostenere un costo di uguale importo.

Immaginiamo poi che Tizio dovesse produrre qualcosa di estremamente importante per un cliente, il quale, non ricevendo in tempo l’ordine perché l’impresa è stata improduttiva per un giorno, decide di rescindere il contratto di fornitura, mettendo a repentaglio il fatturato di mesi di lavoro futuro.

Chiaramente, l’imprenditore non gradisce che si prospetti una situazione simile, quindi assume una nuova risorsa specializzata (che nella migliore delle ipotesi costerà anch’essa 10 Euro l’ora), oppure ne impiega una dal livello professionale inferiore rispetto a Tizio (chiamiamola Caio), per fronteggiare una situazione momentanea. Questa soluzione, tuttavia, sebbene comporti un minor costo del lavoro, potrebbe comportare anche una minore redditività dello stesso (sia essa intesa in termini quantitativi o qualitativi).

Volendo mantenere lo stesso livello di quantità e di qualità, Caio dovrà necessariamente essere formato in modo specifico per fagli acquisire le stesse capacità e conoscenze di Tizio. Altra voce di costo da sostenere. A cui comunque si aggiunge quello della mancata produzione per il periodo in cui Caio è in aula e non in produzione.

Si può andare avanti all’infinito, anche considerando che, alla fine dell’anno, gli enti assicurativi probabilmente aumenteranno il premio richiesto, sulla base della variazione della classe di rischio che è derivata dall’infortunio.

Dio non voglia che Tizio, a seguito dell’infortunio, riceva un’invalidità permanente che non gli permetterà più di lavorare: questo significherebbe dover erogare una pensione d’invalidità che sarebbe finanziata con le nostre tasse e le imposte. Se aumenta il numero delle persone a cui pagare una pensione, probabilmente lo Stato farà in modo di aumentare il gettito.

Poi potremmo discutere su tutti quei costi occulti necessari per difendersi in tribunale (avvocati, spese processuali, periti di parte…) o per pagare le sanzioni amministrative o penali comminate, o per risarcire il danno procurato a livello civile. E, di conseguenza, i costi per valutare nuovamente i rischi, progettare realizzare e mantenere efficace un modello organizzativo e di controllo che sia idoneo, adeguato e che possa garantire la dovuta conformità alle disposizioni di legge e, magare, anche alle norme tecniche e agli standard internazionali.

Tutto questo, e molto di più, sono i costi della non sicurezza.

Ipotizziamo che Tizio si sia infortunato battendo la testa contro una sporgenza, perché sprovvisto di caschetto (DPI) che avrebbe dovuto essere consegnato, ma non è mai stato acquistato, per risparmiare una decina di Euro (e sto arrotondando per eccesso).

Bene. Vi sembra logico dover pagare tutto quello che abbiamo visto, e molto di più, solo per aver “risparmiato” 10 Euro? Se la vostra risposta è affermativa, signori, avete grossi problemi e il primo è quello di non saper valutare adeguatamente gli investimenti. Forse, fareste cosa migliore se smetteste di fare i datori di lavoro.

Nuove regole per i compro oro

Nuove regole per i compro oro

Seguendo l’ormai consolidato filone di pensiero che vede preferire la responsabilizzazione agli elenchi di obblighi, il Governo ha emanato un nuovo decreto legislativo volto a regolare le attività di compro oro, in modo da uniformarla con le nuove disposizioni antiriciclaggio.

L’atto normativo in questione è il Dlgs 92/2017, del 25 maggio e pubblicato sulla Gazzetta Ufficiale il 20 giugno 2017, delegato dall’articolo 15, comma 2, lettera l), della legge 170/2016.

Anzitutto, il decreto fornisce le doverose definizioni, necessarie per inquadrare il contesto di riferimento e specificare i concetti, che potrebbero essere confusi con quelli usualmente utilizzati nel linguaggio comune o in altre norme. Tra le definizioni spuntano in particolare:

  • L’attività di compro oro, ossia l’attività commerciale consistente nel compimento di operazioni di compravendita sia all’ingrosso che al dettaglio o la permuta di oggetti preziosi usati (c.d. “operazioni di compro oro”), esercitata in via esclusiva ovvero in via secondaria rispetto all’attività prevalente;
  • L’oggetto prezioso usato, che è un oggetto in oro o in altri metalli preziosi nella forma del prodotto finito o di gioielleria, di rottame, cascame o avanzi di oro e materiale gemmologico;
  • Il cliente, cioè il privato che, anche sotto forma di permuta, acquista o cede oggetti preziosi usati ovvero l’operatore professionale in oro (disciplinato, quest’ultimo, dalla legge 7/2000) cui i medesimi oggetti sono ceduti;
  • L’operatore compro oro, che è il soggetto – anche diverso dall’operatore professionale in oro – che esercita l’attività di compro oro, previa iscrizione nel registro degli operatori compro oro;
  • Il registro degli operatori compro oro è il registro pubblico informatizzato, istituito presso l’OAM, in cui gli operatori compro oro sono tenuti ad iscriversi, al fine del lecito esercizio dell’attività di compro oro;
  • I dati identificativi del cliente, cioè il nome e il cognome, il luogo e la data di nascita, la residenza anagrafica e il domicilio, ove diverso dalla residenza, gli estremi del documento di identificazione e, ove assegnato, il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e, ove assegnato, il codice fiscale;
  • L’operazione frazionata: un’operazione unitaria sotto il profilo del valore economico, di importo pari o superiore ai limiti stabiliti dal presente decreto, posta in essere attraverso più operazioni, singolarmente inferiori ai predetti limiti, effettuate in momenti diversi ed in un circoscritto periodo di tempo fissato in sette giorni, ferma restando la sussistenza dell’operazione frazionata quando ricorrano elementi per ritenerla tale.

Saltano subito all’occhio, dunque, alcuni aspetti che potrebbero sembrare secondari nel linguaggio comune:

  • La locuzione “compro oro” è fuorviante, poiché si riferisce non solo all’oro in sé, ma a tutti gli oggetti e i metalli preziosi elencati dal Dlgs 251/1999;
  • L’oggetto prezioso usato può essere sotto qualsiasi forma, anche rottame o scarto di lavorazione.

Da rilevare anche altri aspetti:

  • L’attività, per essere lecita, deve essere censita nell’apposito registro tenuto dall’OAM (lo stesso organismo che controlla gli agenti finanziari e i mediatori creditizi) ed è subordinata ai requisiti descritti dal TULPS (RD 773/1931);
  • I limiti dell’operazione frazionata – temine mutuato dal Dlgs 231/2007 – sono posti a 500 Euro (quindi una misura specificamente contestualizzata e diversa da quanto disposto nel decreto antiriciclaggio).

Come detto in apertura, il filo logico di fondo è quello di responsabilizzare gli operatori economici, esattamente come accade in ambito antiriciclaggio in senso ortodosso.

Dunque è chiaro che l’operatore compro oro dovrà, nei limiti della sua propria impresa, fare in modo di creare un modello organizzativo che possa dare una direzione strategica e monitorare e controllare in ogni momento la vita aziendale, rilevando tempestivamente ed eventualmente comunicando nei modi e nei tempi dovuti gli aspetti più rilevanti, oltre a quelli richiesti espressamente dal testo normativo.

Tra le comunicazioni da effettuare troviamo quelle verso l’OAM, per l’iscrizione iniziale nel registro e per le successive variazioni dei dati in esso contenuti (da effettuare entro dieci giorni), e quelle verso la UIF, per la segnalazione delle operazioni sospette.

Proprio questa seconda eventuale comunicazione comporta un lavoro “occulto” non indifferente, che richiede la conoscenza e l’applicazione delle disposizioni contenute negli attuali decreti legislativi 231/2007 (in tema di antiriciclaggio e recentemente aggiornato) e 196/2003 (in materia di privacy) e nel Regolamento UE 2016/679 (anch’esso in materia privacy).

L’applicazione di queste quattro disposizioni normative è giustificata dalla volontà del legislatore di tutelare sia il sistema economico che gli interessi collettivi di sicurezza in generale, richiedendo agli operatori compro oro di avere un comportamento non solo lecito, ma anche partecipativo e proattivo, che garantisca:

  • La tracciabilità delle operazioni effettuate;
  • L’accessibilità completa e tempestiva ai dati da parte delle autorità competenti;
  • L’integrità e la non alterabilità dei medesimi dati, successivamente alla loro acquisizione;
  • La completezza e la chiarezza dei dati e delle informazioni acquisiti;
  • Il mantenimento della storicità dei medesimi, in modo che, rispetto a ciascuna operazione, sia assicurato il collegamento tra i dati e le informazioni acquisite ai sensi del presente decreto.

Chiudiamo con una rapida occhiata alle sanzioni previste:

  • L’esercizio abusivo dell’attività (dovuta alla mancata iscrizione nel registro tenuto dall’OAM) è punito con la reclusione da sei mesi a quattro anni e con la multa da 2.000 a 10.000 Euro;
  • La mancata o tardiva comunicazione delle variazioni all’OAM è punita con una sanzione amministrativa pecuniaria che parte da 1.500 Euro;
  • La mancata identificazione del cliente, così come la mancata o la non adeguata conservazione dei dati, dei documenti e delle informazioni previste, è punita con la sanzione amministrativa pecuniaria da 1.000 a 10.000 Euro;
  • La mancata o tardiva segnalazione di operazione sospetta è punita con la sanzione amministrativa pecuniaria da 5.000 a 50.000 Euro.

A proposito delle sanzioni bisogna segnalare che nei casi di violazioni gravi o ripetute o sistematiche ovvero plurime, le sanzioni amministrative pecuniarie sono raddoppiate; tuttavia, per le violazioni delle disposizioni previste dal presente decreto, ritenute di minore gravità, la sanzione amministrativa pecuniaria può essere ridotta fino a un terzo.

Il tutto senza considerare le sanzioni previste dalle altre norme citate.

Organizzarsi è prevenire

Organizzarsi è prevenire

OgranizzazioneSpesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…

Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.

Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.

Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.

Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.

Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.

Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.

In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.

All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.

Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.

Quanto è successo non è molto chiaro, però si possono fare due considerazioni:

  • C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
  • C’è stata una violazione dei dati personali del cliente.

Sulla base di questo, si può certamente affermare che:

  • Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
  • La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
  • Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.

Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.

Il metodo migliore è sempre lo stesso: organizzarsi.

Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).

Diritti dell’interessato o interessi del titolare?

Diritti dell’interessato o interessi del titolare?

Nell’era dell’economia digitale, dell’industria 4.0, dell’IoT, dei prodotti e dei servizi personalizzati e della società dell’informazione, possiamo ancora pensare che questi due concetti siano entità distinte?

La nuova norma europea sulla protezione dei dati personali (c.d. GDPR) rappresenta indubbiamente un passo in avanti verso la tutela dei diritti fondamentali e assoluti di tutti i cittadini. In una società civile e moderna, questo aspetto non dovrebbe essere sottovalutato e atti legislativi come questo dovrebbero essere visti e applicati da tutti, in un’ottica di rispetto reciproco, di correttezza, di trasparenza e di responsabilità verso gli altri.

Purtroppo, però, sappiamo bene che, soprattutto nel mondo delle imprese, si lotta per sopravvivere e non sempre c’è molto spazio per gli scrupoli, prediligendo la politica della massimizzazione del profitto a discapito di altri aspetti che, ognuno a vario titolo, sono o potrebbero essere addirittura più rilevanti.

E così, tutti quei precetti normativi che trattano specificamente dei diritti degli interessati, rischiano di vedersi oscurare da atteggiamenti egoistici da parte delle aziende, che verosimilmente continueranno a vedere la privacy come un fastidioso adempimento burocratico inefficiente dal punto di vista economico (nel senso che genera più costi che ricavi).

L’errore di fondo delle imprese è proprio quello di non considerare l’argomento da diverse prospettive. Certo, anche il testo normativo non aiuta, visto che è farcito di obblighi e che, ammettiamolo, le cose obbligate ci infastidiscono parecchio. Se poi consideriamo anche che ancora troppo spesso si parla di “privacy” e non di “protezione dei dati (personali)”, capiamo bene perché il rischio di aver scritto l’ennesima norma che, pur scritta bene, è generalmente non applicata è decisamente concreto.

Ma se provassimo a osservare la questione da un altro punto di vista? Se ci soffermassimo a riflettere sul fatto che oggi, il più grande patrimonio di cui un’azienda possa disporre è composto da dati da strutturare in informazioni? Se si capisse e si diffondesse la linea di pensiero che, senza informazioni non si può determinare una strategia di mercato, né una di miglioramento delle risorse umane, né nessun altro tipo di attività che risulti efficace sul medio e lungo periodo?

Se si iniziasse a pensare non più ai diritti degli interessati, ma agli interessi del titolare, lo stesso testo normativo perderebbe il suo spirito coercitivo in luogo di uno persuasivo, ottenendo probabilmente risultati migliori e più diffusi. Siamo obiettivi, a chi non piacerebbe:

  • Avere il controllo totale delle informazioni con cui realizza la propria attività, conoscendone l’intero ciclo di vita e a chi sono affidate (alias “diritto di accesso”)?
  • Avere i dati sempre aggiornati (alias “diritto di rettifica”) sulla base dei quali modificare le proprie scelte e politiche?
  • Evitare di conservare dati inutili, inesatti, obsoleti o il cui trattamento espone al rischio di essere sanzionati (alias “diritto alla cancellazione”), con la diretta conseguenza di limitare i costi legati all’infrastruttura di conservazione (meno dati significa meno spazio di archiviazione)?
  • Poter trasmettere interi database con il minimo sforzo (alias “diritto alla portabilità”)?
  • Avere la ragionevole certezza di poter fare quello che si vuole, perché sicuri di essere nella piena legalità e nel pieno diritto di poterlo fare, senza che altri possano opporsi?

Oggi parlare di “privacy” è anacronistico. Oggi si deve parlare di “protezione dei dati personali”, per difendere diritti, libertà e dignità delle persone, per contribuire attivamente agli interessi della società in cui viviamo e per tutelare i legittimi interessi dei titolari (tra cui anche quelli economici), all’interno di un sistema che è sempre più interdipendente [1].

In questi termini, la norma acquista le sembianze di una “linea guida” e ne si apprezza appieno il valore aggiunto.


[1] In proposito, si veda anche il mio precedente articolo su argomento simile.

A chi serve il DPO?

chi serve il DPO?A chi serve il DPO?

Il DPO è una figura su cui si discute parecchio e da tempo. Tuttavia c’è ancora un velo di insicurezza circa gli ambiti merceologici in cui dovrebbe essere sicuramente nominato.

A chi serve il DPO? O meglio: in quali casi deve essere nominato?

La domanda sembra scontata, perché bastano pochi minuti di ricerca per imbattersi in uno dei tanti “interessanti articoli” sull’argomento che sono fioriti nell’ultimo biennio, ma che – diciamocelo – non hanno aggiunto nulla di più di quanto non fosse già stato chiaramente detto dal GDPR e successivamente descritto dalle linee guida di dicembre 2016.

Una critica forte che mi sento di fare è che in questo ultimo lustro, pochi si sono posti davvero il problema di determinare a chi serve il DPO, ma ricade in quelle categorie di soggetti titolari o responsabili del trattamento per i quali la nomina sarebbe obbligatoria, ma in modo non così immediatamente palese.

È pacifico e scontato che un ospedale debba nominarlo, così come deve farlo una pubblica amministrazione e, allo stesso modo, chi fornisce servizi di vigilanza da remoto. Ma gli altri? A chi serve il DPO?

Quanto segue è tratto da un episodio che mi è accaduto negli scorsi giorni.

Mi trovavo in cassa al supermercato e ho notato un cartello che, insieme ad altri avvisi, ricordava che il Codice Penale vieta la somministrazione di bevande alcooliche ai minori di sedici anni o agli infermi di mente. Per comodità, riporto integralmente il testo della norma:

Codice Penale – Art. 689.
Somministrazione di bevande alcooliche a minori o a infermi di mente.

L’esercente un’osteria o un altro pubblico spaccio di cibi o di bevande, il quale somministra, in un luogo pubblico o aperto al pubblico, bevande alcooliche a un minore degli anni sedici, o a persona che appaia affetta da malattia di mente, o che si trovi in manifeste condizioni di deficienza psichica a causa di un’altra infermità, è punito con l’arresto fino a un anno.

La stessa pena di cui al primo comma si applica a chi pone in essere una delle condotte di cui al medesimo comma, attraverso distributori automatici che non consentano la rilevazione dei dati anagrafici dell’utilizzatore mediante sistemi di lettura ottica dei documenti. La pena di cui al periodo precedente non si applica qualora sia presente sul posto personale incaricato di effettuare il controllo dei dati anagrafici.

Se il fatto di cui al primo comma è commesso più di una volta si applica anche la sanzione amministrativa pecuniaria da 1.000 euro a 25.000 euro con la sospensione dell’attività per tre mesi.

Se dal fatto deriva l’ubriachezza, la pena è aumentata.

La condanna importa la sospensione dall’esercizio.

Fermi tutti! Abbiamo letto bene?

In pratica il Codice Penale ci sta dicendo che chi somministra (vende) alcoolici deve controllare un documento d’identità valido per accertarsi dell’età dell’acquirente/consumatore e deve accertarsi del suo stato di salute psichica, perché se dal controllo risultano determinate informazioni, allora non può vendere nemmeno una birra leggera. Tra l’altro, è anche contemplata la possibilità di avvalersi di incaricati per espletare il controllo e ci sono precise indicazioni anche per i distributori automatici.

Incredulo, ho approfondito la ricerca e mi sono imbattuto in più d’una sentenza della Cassazione, che sostanzialmente confermavano quanto scritto nel Codice; una in particolare (Sentenza n° 46334 del 2013, emessa dalla V Sezione Penale), citando anche la Legge 125/2001, arriva a dire che:

La natura di reato di pericolo della somministrazione di bevande alcooliche a minori di anni sedici impone una effettiva e necessaria diligenza nell’accertamento dell’età del consumatore, atteggiamento che, nel caso in cui la somministrazione sia stata preceduta dalla richiesta, da parte del cameriere addetto alle consumazioni, dell’età dell’avventore, non può essere soddisfatto né dalla presenza nel locale di cartelli indicanti il divieto di erogazione di bevande alcooliche ai minori, né limitandosi a prendere atto della risposta del cliente sul superamento dell’età richiesta, ove ciò non corrisponda al vero.

Si tratta di un obbligo che grava innanzitutto sul soggetto che gestisce l’esercizio commerciale in cui si pratica la vendita al pubblico di bevande alcoliche, assicurandone la somministrazione, su richiesta dei clienti, personalmente o attraverso forme di organizzazione del lavoro incentrate sull’impiego di uno o più dipendenti retribuiti.

Per completezza, riporto anche l’articolo della citata legge:

Legge 125/2001 – Art. 14-ter: Introduzione del divieto di vendita di bevande alcoliche a minori.

1. Chiunque vende bevande alcoliche ha l’obbligo di chiedere all’acquirente, all’atto dell’acquisto, l’esibizione di un documento di identità, tranne che nei casi in cui la maggiore età dell’acquirente sia manifesta.

2. Salvo che il fatto non costituisca reato, si applica la sanzione amministrativa pecuniaria da 250 a 1.000 euro a chiunque vende o somministra bevande alcoliche ai minori di anni diciotto. Se il fatto è commesso più di una volta si applica la sanzione amministrativa pecuniaria da 500 a 2.000 euro con la sospensione dell’attività da quindici giorni a tre mesi.

Vediamo come le norme italiane e la giurisprudenza della Cassazione confermano quanto scritto poco sopra: l’esercente deve controllare.

Ora aggiungiamo quanto scritto nel GDPR e nelle linee guida, in particolare l’art. 37 del primo e i concetti di “attività principale”, “larga scala” e “monitoraggio regolare e sistematico”.

Anche se sembra strano, considerate tutte le norme, le linee guida e le sentenze, appare chiaro che:

  1. Chi vende o somministra alcoolici deve controllare i documenti e lo stato di salute psichica del cliente.
  2. Quest’obbligo – che a mio modo di vedere persegue finalità di pubblica sicurezza e interesse, oltre che di tutela della salute del cliente stesso – rende l’attività di controllo un’attività principale, perché condizione essenziale per la vendita o la somministrazione (salvo voler andare contro disposizioni di legge).
  3. Conseguentemente, il trattamento dei dati è effettuato su larga scala (perché coinvolge praticamente tutti i soggetti che intendono acquistare la bevanda alcoolica) ed è svolto in modo regolare e sistematico (poiché deve essere fatto almeno la prima volta che si presenta un nuovo cliente e deve essere fatto per adempiere a norme cogenti).
  4. I dati raccolti possono riguardare minorenni e possono essere sensibili o particolari.

Se poi consideriamo che, in presenza di un distributore automatico, il trattamento dei dati implica anche un processo decisionale automatizzato che produce effetti giuridici sull’interessato (cioè l’acquisto della proprietà, o meno, della bevanda alcoolica), è chiaro che l’intero processo di vendita si basa su un trattamento dei dati personali che è tutt’altro che poco rischioso (in termini di responsabilità e gestione dei rischi sui diritti degli interessati).

E se al distributore automatico si può ragionevolmente immaginare di essere in un contesto “riservato”, altrettanto non si può dire di un locale aperto al pubblico. Possiamo ragionevolmente affermare che c’è il rischio di mettere in forte imbarazzo l’acquirente nel caso non si volesse vendere il prodotto alcoolico perché lo riteniamo in “stato di deficienza psichica” (magari perché malato, oppure perché ebbro); ho usato il termine “forte imbarazzo” per evitare di scrivere “ledere la sua personalità” in presenza di altre persone.

A questo punto la domanda è:

A chi serve il DPO? Se ho un bar, un ristorante o un distributore automatico e vendo alcoolici, devo nominarlo?

Ebbene, se non siete giocatori d’azzardo e non vi piace rischiare di incorrere in sanzioni, la mia risposta potrebbe non piacervi.

Perché è .

Personalmente, ritengo che questo sia uno dei casi in cui è chiaro che quando si scrivono le regole, talvolta ci si dimentica che poi qualcuno dovrebbe anche applicarle. Uscendo dal ruolo di consulente privacy, non nascondo la mia perplessità di fronte a quanto è così chiaramente scritto nei testi normativi.

Forse, in questo caso, l’errore più grosso lo hanno commesso i legislatori.

 

 

Sicurezza e Organizzazione

Organizzazione e sicurezzaSicurezza e Organizzazione

È forse il più sottovalutato e meno considerato degli aspetti relativi alla sicurezza sul lavoro, eppure c’è un articolo appositamente dedicato: il 30 del Dlgs 81/2008, che tratta specificamente di sicurezza e organizzazione.

Se quasi tutti conoscono – di fama – il decreto sulla sicurezza sul lavoro, molti meno hanno familiarità con quello sulla responsabilità amministrativa degli enti. Questo perché c’è la tendenza a considerare quest’ultimo applicabile principalmente alle grandi imprese, ma sicurezza e organizzazione sono questioni comuni a tutti.

Il dato sconcertante, però, è che quasi nessuno (nella mia esperienza) si rende conto che il primo richiama espressamente il secondo con il suo articolo 30. Questo, di per sé, la potrebbe già dire lunga su parecchi consulenti in materia di sicurezza sul lavoro che la “vendono” solo come quella norma che obbliga le aziende a fare i corsi per i dipendenti (anche se dovrebbero essere per i lavoratori, cosa assai diversa) e a scrivere il DVR.

Per chi non conoscesse il Dlgs 231/2001 sulla responsabilità amministrativa degli enti, in estrema sintesi si può riassumere come quella norma che elenca una serie di reati contemplati da altre norme (per esempio il Codice Penale) per i quali si ritiene responsabile non solo la persona fisica che ha materialmente commesso o permesso l’illecito, ma anche la persona giuridica nel cui interesse o per il cui vantaggio questo illecito è stato commesso o tentato, e l’unico modo per l’ente di uscirne pulito è dimostrare di avere progettato e implementato un modello organizzativo adeguato a prevenire ed evitare l’evento. Solo se si riesce a provare che il sistema di controllo era attivo e che il fatto è stato commesso eludendo volontariamente i controlli predisposti, allora l’ente si può avvalere della cosiddetta “esimente” ed evitare pesanti sanzioni.

In pratica: se non sei organizzato bene e qualcuno commette un reato, l’azienda può essere co-responsabile.

Due dei reati contemplati (trattati dall’art. 25-septies) sono quelli previsti dagli articoli 589 e 590 del Codice Penale: l’omicidio colposo o le lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro.

Ora, se è vero che l’adozione di un modello organizzativo (quindi politiche interne, procedure, sistema di controlli organizzati e specifici, figure preposte alla vigilanza interna…) è solamente facoltativo secondo le disposizioni del Dlgs 231/2001, il discorso cambia radicalmente se si considera il Testo Unico sulla sicurezza sul lavoro.

Questo perché con l’articolo 30, il decreto dispone che “il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al decreto legislativo 8 giugno 2001, n° 231, DEVE essere adottato ed efficacemente attuato, assicurando un sistema aziendale per l’adempimento di tutti gli obblighi giuridici”…

Ovvero: tutte le aziende devono organizzarsi e dimostrare di essere organizzate per evitare che qualcuno si faccia male o muoia mentre sta lavorando.

Fortunatamente, organizzare un’azienda deve necessariamente tenere conto delle sue caratteristiche, quindi è possibile che due realtà abbiano modelli simili (magari realizzati sulla base di linee guida generali), ma è assolutamente escluso che questi siano esattamente identici. Ognuno deve organizzarsi secondo le sue peculiarità e secondo le sue necessità.

Il lato positivo della faccenda, è che questo genere di organizzazione, se progettato, realizzato e applicato bene, a fronte di una consistente spesa iniziale, già sul medio periodo consente di vedere risultati positivi, anche in assenza di infortuni e quindi lesioni o incidenti mortali.

In particolare, mi riferisco a un miglioramento generale della gestione aziendale, non solo con riguardo agli adempimenti strettamente connessi alla sicurezza, ma anche con riguardo ad altre voci di costo che sono comunque previste, come i premi assicurativi da versare all’INAIL.

In che modo? Per esempio attraverso la richiesta di riduzione del premio dovuto, che si può fare compilando e trasmettendo il modulo OT 24 (per le aziende operative da più di due anni) o il modulo OT 20 (per quelle nel primo biennio).

Tutto questo, senza dimenticare che l’adozione del modello di organizzazione e di gestione nelle imprese fino a 50 lavoratori rientra tra le attività finanziabili.

Vincere la battaglia quotidiana nella guerra contro gli incidenti sul lavoro è “solo” questione di organizzazione e ricordatevi che il miglior condottiero è quello che vince senza combattere.

Software gestionali per la privacy: benefici e rischi

Software gestionali per la privacy: benefici e rischi

Prima di procedere con l’acquisto, così come durante il suo utilizzo, sarebbe bene ricordarsi che un programma gestionale è solamente uno strumento che per rendere al meglio deve essere maneggiato con l’adeguata preparazione.

Capiamoci fin da subito: non sono contro i gestionali per partito preso, anzi, direi piuttosto che mi schiero con chi ritiene che le macchine non possono fare tutto e non possono sostituirsi all’uomo. Se è vero che avere un software apporta alcuni benefici, lo è altrettanto che espone chi lo usa a nuovi rischi.

Tralasciamo il fatto che non tutti i gestionali sono uguali e che possono comportare spese differenti in termini di acquisto della licenza, o investimenti per lo sviluppo interno, o canoni per l’assistenza, e che ovviamente possono offrire una qualità di servizio differente, e concentriamoci su alcuni (tutti è difficile farlo in questa sede) dei benefici e dei rischi che interessano prevalentemente il lato operativo della faccenda.

Tra i benefici penso si possano elencare una miglioria nella gestione complessiva degli adempimenti, una migliore organizzazione delle scadenze e una facilità di accesso a determinate informazioni sul modello organizzativo adottato per proteggere i dati personali.

In alcune realtà, potrebbe essere un valido strumento per la conduzione di audit o, comunque, per espletare alcuni dei controlli necessari, tra cui la valutazione di impatto sulla protezione dei dati (c.d. DPIA), e migliora senza dubbio gli effetti del lavoro di squadra e della collaborazione attiva, sempre più rilevanti e importanti nelle organizzazioni moderne, soprattutto se il suo impego non è limitato a poche persone chiave.

D’altro canto, i rischi sono comunque dietro l’angolo.

Innanzi tutto si rischia di sostituire completamente l’elemento umano, trasformando potenzialmente alcuni dei trattamenti da “manuali” a “automatizzati”, con tutto quanto ne consegue anche sotto l’aspetto della tutela dei diritti degli interessati.

Secondariamente, affidarsi troppo al software potrebbe allontanare dalla realtà effettiva dei fatti chi è incaricato di controllare il sistema, come i responsabili o i DPO. Se il software non funzionasse correttamente (e non è un’ipotesi da escludere a priori, visto che è prassi consolidata emettere patch o aggiornamenti per correggere anomalie o bachi) potrebbe avere effetti negativi sulla realtà percepita e, di conseguenza, sull’efficacia del controllo e della gestione complessiva.

Infine, basare il proprio operato esclusivamente sul gestionale per la privacy, genera un errore di fondo gravissimo (a mio parere) soprattutto in sede di valutazione d’impatto: procedendo solo con il software, non potremmo più parlare di “valutazione”, bensì dovremmo parlare di “misurazione”.

Il perché è presto detto: ogni realtà è differente e ognuna include necessariamente operatori (responsabili del trattamento, DPO, incaricati, IT manager…) differenti che hanno ognuno ciascuno un bagaglio di conoscenze ed esperienze diversi e di cui è doveroso tenerne conto in sede di valutazione che, oltre tutto, è di per sé un prodotto di queste conoscenze ed esperienze. Una valutazione è necessariamente soggettiva e deve essere relativa al contesto osservato, perché è sulla base delle sue caratteristiche e dei risultati della valutazione stessa, che il titolare del trattamento può mettersi nella condizione di essere adempiente alle norme vigenti, su tutte il GDPR, con particolare riferimento agli artt. 24, 25, 32 e 35, che richiedono tutti di tenere conto dell’ stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche i rischi gravanti sui diritti e le libertà degli interessati.

Tutto questo, senza scomodare la più recente giurisprudenza che è arrivata ad affermare che il concetto di dato personale, fortemente legato all’identificabilità anche indiretta della persona fisica a cui si riferiscono, è correlato anche alla “facilità” e all’impegno necessario per identificarla. Tradotto: se io scrivo Mario Rossi o John Smith, in questo testo e per coloro che lo leggono, sono quattro parole che di dato personale hanno ben poco.

Pensare di essere a posto con la privacy solo perché si è comprato un software per la sua gestione, è come salire su un’auto da F1 e pensare di poter vincere il GP di Montecarlo senza aver mai guidato quel mezzo, né mezzi simili, né essere mai stato in pista, né aver mai visto le strade di Montecarlo aperte al traffico.

Chi lo fa, è un pericolo per sé e per gli altri. Con l’aggravante di non essere pienamente consapevole di cosa significhi effettivamente occuparsi della protezione dei dati personali.

Controllo a distanza con videosorveglianza, GPS o altri sistemi

Privacy e videosorveglianza con i nuovi modelli INL

L’Ispettorato Nazionale del Lavoro ha rilasciato la versione aggiornata dei modelli da utilizzare per presentare le istanze di autorizzazione al telecontrollo dei lavoratori. Da marzo 2017 diventano tre, ognuno specifico per una determinata modalità, in luogo di uno unico

Dal 10 marzo 2017 sul sito dell’INL sono disponibili tre modelli – scaricabili in formato PDF – per presentare le istanze di autorizzazione all’installazione e utilizzo di apparecchiature che consentono il telecontrollo dei lavoratori. Uno specifico per la videosorveglianza, uno specifico per gli impianti GPS a bordo delle auto aziendali e uno specifico per tutti gli altri dispositivi di controllo.

Concentriamoci, in questa sede, sul modello predisposto per la videosorveglianza (qui il link), ossia il primo file dell’elenco (per intenderci, è quello che, una volta aperto, reca l’intestazione “Modulo istanza di autorizzazione all’installazione di impianti audiovisivi”). Più specificamente, andiamo a fare alcune considerazioni sulla sezione delle “dichiarazioni”. Va sottolineato, anzitutto, che apporre la propria firma sul documento, senza che la situazione di riferimento sia conforme a quanto scritto in questa sezione, corrisponde a dichiarare il falso, con tutto quello che ne consegue.

Tutta la sezione è costellata di richiami più o meno indiretti alla normativa sulla privacy, a partire dalla limitazione temporale della conservazione, fissata a 24 ore (salve speciali esigenze), passando per l’informativa da rendere agli interessati (lavoratori e non), fino alla generica indicazione di “rispettare la disciplina, in particolare il provvedimento in materia di videosorveglianza”.

Proprio quest’ultimo punto potrebbe rappresentare un ostacolo non da poco, soprattutto ora che è arrivato il GDPR (Regolamento UE 2016/679), che richiede l’adozione di un approccio orientato alla gestione del rischio e focalizzato sulla responsabilizzazione e la dimostrabilità di ogni decisione assunta.

Cosa significa, dunque, essere conformi alla normativa?

Innanzi tutto, ogni titolare del trattamento (cioè chi vuole installare l’impianto) dovrebbe porsi le domande fondamentali “è proprio necessario fare videosorveglianza?” e “non posso organizzarmi in un altro modo?”. Se la risposta è affermativa, allora non c’ nemmeno bisogno di investine nell’acquisto del sistema.

Se, invece, la risposta è negativa, allora questa risposta e le motivazioni che hanno permesso di darla, cioè tutte le considerazioni e le valutazioni in merito, devono essere adeguatamente riportate in una relazione.

Una volta che abbiamo deciso e capito che ci serve davvero la videosorveglianza, bisognerà procedere con l’organizzarsi adeguatamente e prima che sia installato l’impianto. Tra le varie persone a nostra disposizione, dovremo individuare almeno due responsabili del trattamento, e spiegare loro dettagliatamente cosa significa essere il “responsabile della videosorveglianza” (si va dalla semplice custodia delle chiavi di accesso al sistema, fino alla completa gestione e manutenzione dell’infrastruttura hardware e software e al controllo in diretta dei monitor). Queste istruzioni, oltre a risultare da un atto scritto e ufficiale, dovranno poi essere coerenti con una politica o, almeno, una procedura interna che disciplini specificamente l’argomento.

Tutte queste informazioni saranno la base su cui elaborare la relazione tecnico-descrittiva richiesta al punto 2 della lista degli allegati da presentare con l’istanza.

Riassumendo, questo è ciò che occorre avere (almeno):

  • La valutazione preliminare sulla necessità di dotarsi di un impianto di videosorveglianza;
  • La valutazione dell’impatto sulla privacy che consegue all’installazione dell’impianto;
  • Eventualmente, la motivazione del perché servono tempi di conservazione più lunghi (e qui potrebbe entrare in gioco il Garante);
  • Un adeguato modello organizzativo, con policy e procedure specifiche;
  • Nominare i responsabili per iscritto e istruirli sul loro compito;
  • Informare tutti gli interessati con modalità “estese” e con i cartelli.

In conclusione, vi ricordo che l’istanza è da presentare solo se non è presente alcuna rappresentanza sindacale in azienda, o se con quella presente non si è raggiunto un accordo (cosa che potrebbe richiedere un modus operandi molto simile) e vi rammento che per l’installazione dell’impianto, bisogna seguire anche le eventuali indicazioni che arrivano dalla normativa sulla sicurezza sul lavoro riguardo gli obblighi dei progettisti, degli installatori e, se pertinente, dei committenti e degli appaltatori.

La gestione delle crisi in azienda

La gestione delle crisi in azienda

Le PMI non hanno un piano per fronteggiare le crisi. Questo è quello che emerge dal seminario organizzato da Skillab sulla Business Continuity

È sempre illuminate partecipare ai seminari organizzati su questo genere di temi. Il 13 febbraio ho avuto modo di assistere all’evento organizzato da Skillab (l’ente di formazione di riferimento per l’Unione Industriale di Torino) in collaborazione con Il Geneva Centre for Security Policy (una fondazione internazionale costituita nel 1995, con 51 Stati membri con lo scopo di promuovere la pace, la sicurezza e la cooperazione internazionale).

Un gruppo di relatori di livello e variegato, composto dal Generale Carlo Cabigiosu, dall’ avvocato Pietro Mulatero (AD di FATA Logistics spa), dal dottor Carlo Maria Breziglia (responsabile Information Security e Business Continuity di Intesa San Paolo Group Service) e dal professor Antonio Lioy (docente di Computer System Security del Dipartimento di Automatica e Informatica del Politecnico di Torino).

La Business Continuity è la capacità di una impresa di proseguire la propria attività anche nel caso in cui sia colpita da disastri dovuti a cause naturali o al fattore umano.

La presa di coscienza da parte delle aziende della necessità di riflettere – e di essere preparate – su questo tema è il primo passo verso la pianificazione di strategie che siano in grado di mitigare gli effetti dirompenti di tali eventi e garantire la sopravvivenza dell’organizzazione.

Un piano di Crisis Management è, dunque, lo strumento di azione per la gestione e il superamento di grandi eventi e sulla importante questione del decision-making davanti agli stessi.

Purtroppo, il quadro che emerge dalle statistiche è poco incoraggiante: sono poche le organizzazioni – sia pubbliche che private – che non hanno un piano di Business Continuity (BCP) e ancora meno quelle che lo hanno coerente con la loro realtà e facilmente attuabile. Il dato su cui riflettere è che quasi la totalità delle PMI ne è priva.

Ma da dove sorge questa mancanza? Un ruolo rilevante lo giocano la relativa mancanza di fondi da destinare a un progetto del genere, l’insensibilità delle dirigenze in tal senso, la scarsa attitudine a progettare strategie di lungo periodo.

Questo porta le imprese e il sistema economico a essere fragile in occasione di determinati eventi.

La crisi, di per sé, è da considerarsi come un qualunque evento che possa mettere a repentaglio l’operatività, la produzione, il patrimonio, le risorse economiche, la posizione sul mercato o l’immagine aziendale o la percezione che il pubblico ha dell’ente. Tale evento è spesso di genere naturale, ma da quando i computer e l’automazione hanno assunto un ruolo sempre più rilevante nella vita economica mondiale, gli eventi critici hanno iniziato a diventare anche colpa dell’intervento umano; senza dimenticare le attività criminose e terroristiche che, da sempre, costituiscono un pericolo.

Tutelarsi prevenendo la crisi e sapendo come agire durante il suo svolgimento, quindi, è cruciale e può rappresentare un vantaggio competitivo non indifferente. Basti pensare che dopo gli attentanti di Londra nel 2007, molte compagnie di assicurazione tendono a non coprire alcuni danni (per esempio da mancati ricavi) in assenza di un BCP. C’è da aspettarsi che accadrà così anche in Italia? Per il momento, non credo.

In estrema sintesi, questi sono i punti su cui ritengo (e consiglio caldamente di farlo) sia importante riflettere:

  • Bisogna gestire la crisi in tempo di pace, ossia bisogna fare prevenzione e organizzarsi prima che avvenga il disastro (per esempio una violazione dei dati personali, un incendio, la mancanza di mezzi o l’indisponibilità di persone o strutture e locali);
  • Bisogna pianificare gli interventi e le strategie dell’impresa;
  • È opportuno fare simulazioni degli eventi dannosi, testare i sistemi di prevenzione e protezione e “allenare” tutti i membri dell’organizzazione;
  • L’IoT è percepita come la sfida principale sul fronte della sicurezza informatica, considerando anche il suo impatto sulla privacy”;
  • Bisogna fare attenzione e considerare tutta la filiera e tutti i soggetti interni ed esterni coinvolti nella propria attività (supply chain);
  • Bisogna creare una cultura aziendale;
  • Il rispetto delle leggi e dei regolamenti (GDPR, Dlgs 81/2008, Dlgs 231/01, ISO, linee guida…) e la compliance sono anche un utile strumento per ridurre determinati aspetti del rischio e creare consapevolezza e cultura, soprattutto nel management;

È utile raccogliere informazioni e studiare gli incidenti, i disastri e i “quasi incidenti”, nell’ottica di un continuo monitoraggio e di un continuo miglioramento.