Ogni anno, il Ministero della Salute predispone un Piano Nazionale delle Attività di Controllo sui Prodotti Chimici. Si tratta di un insieme di linee guida volte a coordinare il contrasto dell’utilizzo non conforme di sostanze potenzialmente dannose per la salute e l’ambiente. In seguito viene pubblicato anche un report sulle verifiche svolte. Dall’analisi degli ultimi dati disponibili emerge che:

1. i controlli riguardano soprattutto gli utilizzatori, e non i produttori;
2. le PMI rappresentano la maggioranza assoluta delle aziende controllate;
3. le irregolarità più sanzionate sono relative alle Schede dati di sicurezza (SDS).

Gli utilizzatori finali dei prodotti chimici

I dati evidenziano che l’attività di controllo sui prodotti chimici si è concentrata sulle aziende utilizzatrici a valle. Ciò vuol dire che le ditte che impiegano nei loro processi sostanze regolamentate sono state molto più controllate rispetto a quelle che le producono o commercializzano. Sul totale delle aziende prese in esame, ben il 43% erano utilizzatori a valle. Tra i settori sottoposti a controlli, nel 2017 c’è stato anche quello della concia.

Controllo sui prodotti chimici e PMI

Le più sottoposte all’attività di controllo sui prodotti chimici sono le PMI. Delle aziende finite sotto la lente degli enti preposti, il 25% sono classificate come microimprese, il 26% come piccole, il 18% come medie e solo il 13% come non-PMI. Il Veneto è la terza regione per numero di aziende controllate, dopo Lombardia ed Emilia-Romagna, con una percentuale pari all’8,6% del totale a livello nazionale.

Violazioni: in testa le norme sulle SDS

La maggioranza relativa delle violazioni alle norme REACH e CLP riscontrate nel controllo sui prodotti chimici sono relative alle SDS (42%). Seguono quelle in merito a etichettatura e imballaggio (20%). Altre irregolarità frequenti riguardano gli obblighi:

• di restrizione e di registrazione;
• relativi relativi alla valutazione della sicurezza chimica da parte delle imprese;
• di autorizzazione e di conservazione delle informazioni.

Sanzioni amministrative e penali

Nell’8,5% dei casi di illecito, oltre alle contestazioni amministrative è stato avviato un procedimento penale.  In un precedente articolo avevamo già parlato delle sanzioni previste dai regolamenti REACH e CLP sui prodotti chimici. In base alla gravità della norma violata si va da un minimo di 3 mila euro (p.es.: non conformità dell’’etichettatura) a un massimo di 90 mila euro (p.es.:mancato rispetto dei limiti di concentrazione).

Per accertare il rispetto dei regolamenti REACH e CLP e prevenire il rischio di incidenti (e sanzioni), offriamo un servizio specifico di consulenza e supporto alle aziende nell’implementazione e nella gestione del Rischio Chimico. Per ulteriori informazioni, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Photo by Alex Kondratiev on Unsplash

Questa settimana scocca l'ora X per GDPR. Da venerdì 25 maggio, infatti, in tutta l'UE entra in vigore il nuovo regolamento sul trattamento dei dati personali. Ne abbiamo parlato ampiamente in questi ultimi mesi, ma molte aziende (vicentine e non solo) hanno ancora dubbi da chiarire sull'argomento. Per questo riprendiamo la rubrica "GDPR in pratica" con cui prendiamo in esame i problemi concreti delle imprese. Nell'ultimo post avevamo parlato dei più comuni tipi di trattamento. Oggi vi forniamo la lista dei documenti da produrre e un riassunto sulle figure fondamentali previste da GDPR.

Cliccando qui potrete scaricare inoltre una check list con cui verificare se siete pronti a GDPR.

I documenti da produrre

• Informative sul trattamento (clienti, dipendenti, fornitori);
• Consensi al trattamento (dipendenti - clienti, se il trattamento è a fini pubblicitari);
• Nomine per gli incaricati;
• Registro dei trattamenti: non è obbligatorio, ma utile a gestire gli adempimenti. Nonché a dimostrare organizzazione ed efficacia delle procedure di trattamento e protezione;
• Registro per i responsabili esterni;
• Gestione data breach - registro della violazioni;
• Consigliato: regolamento interno di comportamento in relazione all'uso degli strumenti informatici (si possono usare per scopi personali? Per ogni cosa? Si possono installare software? Si possono scaricare dati?);
• Consigliato: Procedure su uso intertet, misure di sicurezza, uso corretto dei dispositivi, di archiviazione cartacea, ecc.

Le figure della privacy

GDPR prevede che il titolare del trattamento (persona fisica o giuridica) individui soggetti che collaborano alla gestione dei dati.

• Il responsabile del trattamento (ART. 28). Ove nominato, è definito come la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento; deve presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto le misure tecniche e organizzative che assicurano la sicurezza del trattamento.
• Se sono stati stipulati contratti con fornitori esterni che trattano dati per conto dell'azienda o se l'impresa usufruisce di servizi esterni (es. IT, gestione dipendenti per la sicurezza e per le buste paga, dichiarazione redditi, ecc.) è opportuno che il titolare del trattamento stipuli un contratto scritto con i c.d. responsabili esterni del trattamento.
• Gli incaricati al trattamento, cioè dipendenti e collaboratori che compiono operazioni di trattamento, operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. Il Regolamento, pur affrontando solo indirettamente la definizione degli “incaricati”, conferma di designare per iscritto gli incaricati ed individuare puntualmente, con apposito mansionario sempre scritto, l'ambito di trattamento consentito per ogni singolo incaricato o per ufficio. Ogni incaricato al trattamento riceve dal titolare le credenziali di autenticazione per l'accesso agli strumenti informatici.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018 e ad indicarvi la modalità per dotarvi dei documenti da produrre. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Entra ufficialmente in vigore sabato 21 aprile il nuovo regolamento europeo 2016/425 sui DPI (Dispositivi di protezione individuale). La nuova norma impone precisi criteri in base ai quali i DPI possono essere immessi sul mercato. Tutti gli operatori economici appartenenti alla catena di fornitura, inoltre, sono tenuti ad adottare misure atte a garantire la conformità dei dispositivi trattati e quindi la salute e sicurezza degli utilizzatori.

Cosa cambia per gli utilizzatori?

In realtà, ben poco. Il nuovo regolamento impone nuovi obblighi e responsabilità ai produttori e agli operatori economici, ma per le aziende tutto resterà sostanzialmente identico. Cambiano leggermente i criteri di classificazione dei DPI, che guidano il datore di lavoro nella scelta di quelli più adeguati (previa valutazione dei rischi). Va sottolineato che gli obblighi imposti dal D.M. 2/5/2001 al datore di lavoro continuano a restare in vigore.

Requisiti dei Dpi

Le caratteristiche che devono avere i DPI per poter essere utilizzati sono indicate D.Lgs. 81/08, altra normativa che continua a restare in vigore. Nello spcifico i DPI devono essere:

• adeguati ai rischi da prevenire e alla loro entità, senza comportare di per sé un rischio maggiore;
• adatti alle condizioni esistenti sul luogo di lavoro;
• rispondenti alle esigenze ergonomiche o di salute del lavoratore;
• adattabili all'utilizzatore secondo le sue necessità;
• in possesso dei requisiti essenziali intrinseci di sicurezza, cioè essere conformi alle norme di cui al D.Lgs. 475/92 (marcatura CE) e sue successive modificazioni.

E quindi, i vecchi DPI?

Il nuovo regolamento 2016/425 va a sostituire la direttiva 89/686/CEE. L’entrata in vigore ufficiale arriva a due anni dall’emanazione. Questo per concedere il tempo ai produttori di adeguarsi ai nuovi criteri. Tuttavia riguarda solo i DPI di nuova immissione sul mercato. Quelli già in commercio e prodotti in conformità alla direttiva precedente rimarranno validi fino al 2023. I lavoratori quindi potranno continuare ad utilizzarli.

Perché un nuovo regolamento?

A differenza della direttiva, un regolamento europeo è automaticamente valido all’interno di tutta l’Unione. Ciò significa che non ci saranno più “frontiere” normative dovute alle differenze di recepimento nei singoli Stati membri. A vantaggio della circolazione di beni e servizi dentro l’UE. In questo senso la nuova norma sui DPI è identica al regolamento europeo GDPR sulla privacy, che entrerà in vigore a maggio e di cui abbiamo già parlato ampiamente su questo blog.

Siamo a disposizione per seguirvi nella redazione della valutazione del rischio nei luoghi di lavoro e nella conseguente individuazione delle caratteristiche previste per i DPI da adottare per i lavoratori. Per qualsiasi informazione, contattaci. Ci trovate ad Arzignano, in provincia di Vicenza.

Valutazione d’impatto sul trattamento dei dati. In inglese “Privacy impact assessment” (PIA). Sono termini con i quali le aziende dovranno familiarizzare in fretta. Hanno a che fare con il nuovo regolamento europeo sulla privacy, GDPR, che entrerà in vigore il prossimo 25 maggio. Vi abbiamo già spiegato che fra le novità introdotte c’è il principio dell’accountability. Oggi vi spieghiamo che rapporto esiste tra GDPR e PIA.

Il principio dell’accountability

“Accountability” è un termine inglese che significa “responsabilità”. Nel mondo anglosassone con questa espressione si indica la responsabilità degli amministratori circa la corretta ed efficace gestione delle risorse. GDPR adotta questo principio introducendo per i titolari la responsabilità di garantire la correttezza delle procedure relative al trattamento dei dati personali, per evitare il rischio di furti o utilizzi indebiti.

Accountability e PIA

L’accountability rappresenta un principio estremamente rigoroso, la cui violazione può comportare pesanti sanzioni. Il nuovo regolamento europeo sulla privacy prevede infatti multe fino al 4% del fatturato di un’azienda. Introdotta dal regolamento europeo sulla privacy 679/2016, la valutazione d’impatto PIA sul trattamento dei dati è lo strumento che permette di ottemperare a tale principio

La valutazione d’impatto sul trattamento dei dati

La valutazione d’impatto PIA sul trattamento dei dati è obbligatoria per quei trattamenti che - per natura dei dati, oggetto, contesto, o finalità - presentano rischi specifici previsti dall’art. 35 di GDPR. Lo stesso articolo precisa le modalità della valutazione che deve analizzare:

• le operazioni connesse alla raccolta e alla gestione dei dati;
• le finalità, i soggetti coinvolti e gli strumenti tecnologici utilizzati;
• i rischi connessi e le contromisure da adottare;
• la conformità normativa del trattamento dei dati nel suo complesso.

I rischi connessi alla tecnologia

Continui scandali (Wannacry e Cambridge Analitica fra gli ultimi) dimostrano quanto l’avvento di nuove tecnologie imponga requisiti sempre più stringenti per tutelare il diritto alla privacy. Il principio dell’accountability, di conseguenza, vale anche per la gestione dei dati con mezzi informatici. Ciò significa che le aziende devono poter dimostrare di aver adottato tutte le misure necessarie.

I vantaggi della valutazione d’impatto PIA

Implementare una valutazione d’impatto PIA sul trattamento dei dati, anche quando non obbligatoria, porta a vantaggi per le aziende:

• permette di identificare e prevenire i rischi ed i conseguenti costi;
• favorisce la definizione di procedure maggiormente efficienti;
• rafforza il livello di affidabilità legato all’immagine dell’azienda.

Siamo a disposizione per fornirvi la consulenza necessaria a implementare una valutazione d’impatto PIA sul trattamento dei dati e in generale ad offrirvi la formazione necessaria ad affrontare il cambiamento in materia di privacy . Per ulteriori informazioni, contattaci. Ci trovi ad Arzignano in provincia di Vicenza.

Schede di sicurezza: cosa sono? Come utilizzarle? Dove trovarle? Quando metterle a disposizione? Di chi è la responsabilità? Si tratta di questioni non trascurabili per le aziende che utilizzano sostanze chimiche. Come vi abbiamo già ricordato, infatti, il prossimo 31 maggio termina il regime transitorio del nuovo regolamento europeo REACH. Le aziende devono quindi mettersi in regola per non incorrere in sanzioni.

Cosa sono le schede di sicurezza (SDS)

Le schede di dati di sicurezza, o SDS (Safety Data Sheet) sono il documento tecnico indispensabile per le sostanze chimiche in Europa. Secondo quanto previsto dal REACH, accompagnano ciascun prodotto lungo tutta la catena di approvvigionamento e contengono le informazioni sulle proprietà fisico-chimiche e di pericolo per l'uomo e l'ambiente necessarie per un utilizzo corretto e sicuro.

La catena delle responsabilità

Il regolamento REACH impone ai produttori/importatori di prodotti chimici di fornire ai propri clienti per ogni sostanza una scheda di sicurezza adeguata ed aggiornata, redatta nella lingua dello Stato in cui viene introdotta. Per il cliente industriale (datore di lavoro o responsabile da egli nominato) conoscere il contenuto delle SDS diventa fondamentale per assolvere ai doveri di legge. Tra i suoi obblighi ci sono infatti:

• conservare in azienda tutte le schede di sicurezza aggiornate per le sostanze chimiche utilizzate;
• informare il personale sull'utilizzo corretto di ogni sostanza utilizzata in azienda;
• ad ogni utilizzo di sostanze chimiche, rendere disponibile al personale le relative SDS;
• redigere istruzioni di lavoro scritte per ogni sostanza, considerando la sua pericolosità ed il contesto aziendale;
• predisporre idonee misure di sicurezza in base ai rischi legati all'uso di ogni sostanza chimica;
• istruire il personale sulla procedura corretta da seguire in caso di emergenza;
• rendere facilmente accessibili le SDS, anche in caso di incidente.

I doveri del personale di ogni azienda utilizzatrice di sostanze chimiche, infine, è quello di seguire le istruzioni d'uso impartite dai superiori e, in caso di dubbio, consultare la SDS o il responsabile della sicurezza.

Una banca dati per le SDS

Tra le schede di sicurezza in circolazione, purtroppo, ce ne sono anche di scarsa qualità. Il Ministero della salute per questo ha predisposto una banca dati di SDS. Questo database di modelli, aggiornato mensilmente, rappresenta un punto di riferimento informativo per aziende e organi di vigilanza. Per comprendere le difficoltà nell'uso delle delle SDS in vista di possibili miglioramenti, Inail, Echa e Federchimica hanno messo online in questi giorni un questionario che costituisce la prima indagine europea in materia.

Pensare al futuro

Il regolamento REACH è un esempio di come l'atteggiamento dell'Unione Europea nei confronti dell'utilizzo di sostanze chimiche sia sempre più normato e vincolato. In  questo contesto, adeguarsi ai regolamenti significa non solo mettersi al riparo dalle sanzioni. Si tratta invece di acquisire una cultura della sicurezza nell'utilizzo delle sostanze chimiche utile ad affrontare i cambiamenti futuri.

Siamo a disposizione per fornire alle aziende le indicazioni necessarie a mettersi in regola con il Reach e verificare l’adempimento di tutte le norme sul rischio chimico. Per ulteriori informazioni, o per richiedere un sopralluogo gratuito, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Come abbiamo già ricordato in un precedente post, una delle principali novità per le aziende nel 2018 riguarda il trattamento dei dati personali. Il prossimo 25 maggio, infatti, entrerà in vigore il nuovo regolamento europeo 2016/679 sulla privacy (Gdpr). La nuova norma comporta diversi cambiamenti che riguardano tutte le aziende. (E può rappresentare anche un’opportunità). La sua violazione, tuttavia, comporta pesanti sanzioni.

Nuove norme sulla privacy

Il nuovo regolamento ha l’obiettivo di garantire a tutti i cittadini dell’Unione pieno controllo sui propri dati personali. Al contempo uniformerà le norme dei Paesi membri in materia di privacy. Tra i suoi effetti, quindi, Gdpr favorirà la circolazione dei dati all’interno dell’Ue, oggi molto limitata a causa delle differenti legislazioni. Pur definendo regole stringenti, quindi, Gdpr diventerà anche un’opportunità strategica per le aziende.

Quali sono le novità introdotte?

Gdpr in Italia andrà a sostituire l’attuale “Codice in materia di protezione dei dati personali” e la Direttiva CE 95/46. Le novità principali riguardano:

• Informativa: risulta più ampia rispetto a quella prevista attualmente dal Codice. Vanno pertanto aggiornate quelle già in uso.
• Diritti degli interessati: il nuovo regolamento ne introduce di nuovi ed estende il campo di applicazione di alcuni già esistenti.
• Nuovi doveri: titolari, responsabili ed incaricati del trattamento dei dati saranno tenuti a tenere appositi registri e cooperare col Garante.
• “Accountability”: i soggetti responsabili devono poter dimostrare di aver preso tutte le misure idonee alla protezione dei dati.

Cosa cambia per le aziende?

Il nuovo regolamento 2016/679 comporta per le aziende che trattano dati personali (praticamente tutte!) diversi cambiamenti a livello organizzativo:

• Analisi dei rischi: le aziende hanno il dovere di aggiornare la valutazione dei rischi legati al trattamento dei dati.
• Notifica al Garante: le violazioni dei database andranno comunicate al Garante e, in certi casi, all’interessato.
• “Data protection officer”: una nuova figura obbligatoria per aziende che trattano dati personali su larga scala.
• Codice etico e certificazioni: sarà sempre più opportuna per le aziende l’adozione di strumenti formali interni ed esterni.

Retroattività e sanzioni

Le sanzioni per il mancato rispetto del regolamento sono particolarmente severe, comprese tra il 2 e il 4% del fatturato globale annuo dell’azienda che commette illecito. Per quanto riguarda la retroattività il Regolamento sancisce che non occorre rinnovare le richieste di consenso per il trattamento dei dati se questo è stato espresso secondo modalità conformi nella disciplina previgente.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.