Articoli

Pubblicata la nuova norma UNI ISO 45001 per la gestione della salute e della sicurezza

Recepito con la norma UNI ISO 45001:2018 il nuovo standard è stato pubblicato il 12 marzo 2018 ed è la prima norma ISO certificabile sui sistemi di gestione per la salute e sicurezza sul lavoro. Progettato per aiutare le organizzazioni di tutte le dimensioni e industrie, il nuovo standard internazionale sostituisce l’esistente norma di riferimento rappresentata dalla OHSAS 18001 e si pone l’obiettivo di ridurre gli infortuni sul lavoro e le malattie professionali in tutto il mondo.

L’adozione di un sistema di gestione per la salute e sicurezza sul lavoro ha infatti lo scopo di:

  • aiutare le organizzazioni a prevenire, ridurre il rischio di infortuni e malattie professionali dei lavoratori;
  • fornire un quadro per il miglioramento continuo delle prestazioni in termini di salute e sicurezza sul lavoro;
  • integrare il sistema di gestione della salute e sicurezza sul lavoro nei processi dell’organizzazione.

La nuova norma internazionale specifica i requisiti per un sistema di gestione per la salute e sicurezza sul lavoro (SSL) e fornisce una guida per il suo utilizzo al fine di consentire alle organizzazioni di predisporre luoghi di lavoro sempre più sicuri e salubri, prevenendo lesioni e malattie correlate al lavoro nonché migliorando proattivamente le proprie prestazioni relative alla Salue e Sicurezza sul Lavoro.
La nuova norma internazionale è applicabile a qualsiasi organizzazione, indipendentemente dalle dimensioni, tipo e attività, che desideri istituire e mantenere un sistema di gestione per migliorare la salute e la sicurezza sul lavoro, eliminare i pericoli e minimizzare i rischi per la SSL (incluse carenze del sistema stesso), cogliere le opportunità per la SSL e prendere in carico le non conformità del sistema di gestione per la SSL associate alle proprie attività.
La norma facilita l’organizzazione nel raggiungimento dei risultati attesi del suo sistema di gestione per la SSL, ovvero:

  • miglioramento continuo delle prestazioni relative alla SSL;
  • soddisfacimento dei requisiti legali e di altri requisiti;
  • raggiungimento degli obiettivi per la SSL.

La norma include un’appendice “A”, contenente una guida all’utilizzo del documento, ed un’appendice “NA”, contenente i Riferimenti legislativi nazionali.

L’approccio applicato alla norma ISO 45001 si basa sul noto ciclo PDCA (Plan – Do – Check – Act) ed utilizza la stessa struttura di alto livello HLS, definita nell’Allegato SL (Annex SL) comune a tutti i nuovi standard ISO sui sistemi di gestione (ISO 9001:2015 per la qualità, ISO 14001:2015 per l’ambiente), allo scopo di favorire e promuovere l’integrazione tra i sistemi. Quindi con la nuova ISO 45001 le organizzazioni possono cogliere l’opportunità di implementare il proprio sistema di gestione della sicurezza in abbinamento alla ISO 9001 e ISO 14001 implementando un unico sistema integrato di management.

Le organizzazioni già certificate secondo lo standard OHSAS 18001 potranno mantenere buona parte del loro sistema ed avranno tre anni di tempo per “migrare” adeguando il loro sistema alle prescrizioni della nuova norma ISO 45001. Per far ciò dovranno seguire i seguenti passaggi:

  1. Definire il contesto della propria organizzazione;
  2. Definire lo scopo del sistema, tenendo conto degli obiettivi che il proprio sistema di gestione si pone di raggiungere;
  3. Identificare chiaramente le parti interessate (ovvero quelle persone o organizzazioni che possono influenzare le attività della propria organizzazione);
  4. Individuare i fattori interni ed esterni che potrebbero influire sul business dell’organizzazione;
  5. Effettuare una valutazione dei rischi per il business dell’organizzazione ed impostare degli indicatori di prestazione;
  6. Stabilire come questi rischi possono essere controllati attraverso il proprio sistema di gestione;
  7. Utilizzare tutte queste informazioni per definire e migliorare i propri processi produttivi.

Lo studio è a disposizione per eventuali ulteriori chiarimenti e informazioni.

Buon lavoro

Marco Grossi

Prossima entrata in vigore del nuovo Regolamento Europeo sulla “Privacy”

Uno studio del Censis del 2013 registrava come il 96% degli italiani ritenesse la riservatezza un “diritto inviolabile” del cittadino, e come il 93% degli italiani temesse di vedere attaccata la propria privacy on line. A tale preoccupazione, per il 53% degli intervistati si accompagnava una richiesta di regole di protezione più stringenti. Anche per soddisfare questa esigenza, il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, che entrerà in vigore il 25 maggio 2018. Il Regolamento Europeo “GDPR” (General Data Protection Regulation), si inserisce all’interno di quello che è stato definito il “Pacchetto europeo protezione dati”. Il Regolamento Europeo, già vigente senza bisogno di recepimento da parte degli stati membri, aveva stabilito un periodo di due anni prima della sua piena entrata in vigore per consentire agli stati membri ed alle organizzazioni di adeguarsi alle nuove disposizioni. Il Regolamento Europeo riguarda tutte le aziende dell’UE che trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’UE stessa.

Organizzazione del trattamento
Una delle novità di maggior rilievo è l’introduzione della nuova figura del “Data Protection Officer” (DPO), che va ad affiancarsi alle figure del “titolare”, del “responsabile” e dell’ “incaricato” del trattamento dei dati.
Il DPO dovrà essere individuato all’interno delle aziende pubbliche nonché in quelle ove i trattamenti comportano dei rischi specifici, come ad esempio quelle operanti su larga scala e quelle che trattano i c.d. “dati sensibili”.
Ogni azienda obbligata dovrà rendere noto il proprio DPO che dovrà essere contattabile da tutti gli “interessati” indicando i dati di contatto nell’ “informativa”; dati che dovranno essere trasmessi anche al locale “Garante per la protezione dei dati personali”.

Registro dei trattamenti
Altra novità è l’introduzione dell’obbligo di tenere un “registro delle attività di trattamento” svolte dalle organizzazioni, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”. Quest’ultimo adempimento è necessario in caso di trattamenti automatizzati, compresa la “profilazione”, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

Il Regolamento Europeo ha inoltre introdotto:

  • il “diritto all’Oblio”, ovvero le organizzazioni devono garantire la possibilità per gli interessati di decidere che i propri dati siano cancellati e non sottoposti ad ulteriormente trattamento.
  • il diritto alla “portabilità dei dati”, ovvero l’interessato ha il diritto di ricevere i dati personali che lo riguardano e deve poterli trasmettere a un altro titolare del trattamento senza impedimenti;
  • il principio di “accountability”, per il quale bisogna dimostrare di aver adottato delle politiche privacy e delle misure adeguate in conformità alle prescrizioni del Regolamento;
  • il principio della “privacy by design” per il quale devono essere attuate adeguate misure tecniche e organizzative nella progettazione e nell’esecuzione del trattamento dei dati;
  • il principio di “privacy by default” stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini;
  • la necessità di prevedere delle specifiche procedure di emergenza in caso di “data breach” ovvero nel caso in cui i dati trattati per fornire i servizi subissero gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possano comportare la perdita, la distruzione o la diffusione indebita di dati.

Sanzioni
Il Regolamento Europeo ha aumentato le sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato totale annuo dell’organizzazione, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

Privacy Audit
Fermo restando che devono essere emanati ancora alcuni chiarimenti applicativi, si comunica che Linea Service può fornire un servizio di “Privacy audit”, ovvero un intervento tecnico a cura di personale specializzato nella sicurezza dei dati, allo scopo di fotografare lo stato di fatto della Vostra organizzazione ed implementare le necessarie misure per adeguarsi alle nuove prescrizioni del Regolamento Europeo. Qualora interessati al nostro servizio vi invitiamo a mettervi in contatto con lo studio.

Buon lavoro.

Pubblicata la nuova versione della Norma ISO 9001:2015

E’ stata pubblicata la norma internazionale UNI EN ISO 9001:2015, che ritira e sostituisce la UNI EN ISO 9001:2008, per quanto concerne i requisiti dei sistemi di gestione per la qualità.
Tutti i requisiti sono di carattere generale e previsti per essere applicabili a tutte le organizzazioni, indipendentemente da tipo o dimensione, o dai prodotti forniti e dai servizi erogati.

La norma è già disponibile nella sua traduzione in italiano.