1 3 aprile 2018 - MOG 231 - Modelli di Organizzazione e Gestione | MOG 231 – Modelli di Organizzazione e Gestione
Passa al contenuto
Modello di organizzazione e di gestione 231

Archive for aprile 3rd, 2018

3
Apr

COSA CAMBIA CON IL REGOLAMENTO UE 679 (GENERAL DATA PROTECTION REGULATION, GDPR) PER IL TRASFERIMENTO DEI DATI VERSO PAESI TERZI E ORGANISMI INTERNAZIONALI?

COSA CAMBIA CON IL REGOLAMENTO UE 679 (GENERAL DATA PROTECTION REGULATION, GDPR) PER IL TRASFERIMENTO DEI DATI VERSO PAESI TERZI E ORGANISMI INTERNAZIONALI?
In questo articolo diamo risalto al “cosa cambia con il Regolamento UE 679” per il trasferimento dei dati verso Paesi terzi e Organismi internazionali prendendo come fonte di ragionamento quanto pubblicato nel sito del Garante della Privacy, Con il Regolamento UE 679 per il trasferimento dei dati verso Paesi terzi e Organismi internazionali  viene meno il requisito dell'autorizzazione nazionale (si vedano art. 45, paragrafo 1, e art. 46, paragrafo 2). Ciò significa che il trasferimento verso un Paese terzo "adeguato" ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d'impresa approvate attraverso la specifica procedura di cui all'art. 47 del regolamento, potrà avere inizio senza attendere l'autorizzazione nazionale del Garante -  a differenza di quanto attualmente previsto dall'art. 44 del Codice.
Tuttavia, l'autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento. Il regolamento 679/2016 consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le "garanzie adeguate" previste dall'art. 46.
Ciò significa che i titolari o i responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l'adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti.
Tuttavia (si vedano art. 40, paragrafo 3, e art. 42, paragrafo 2), tali titolari dovranno assumere, inoltre, un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati. Il regolamento vieta trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell'esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (si veda art. 48).
Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche di cui all'art. 49.
A tale riguardo, si deve ricordare che il regolamento chiarisce come sia lecito trasferire dati personali verso un Paese terzo non adeguato "per importanti motivi di interesse pubblico", in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell'Ue (si veda art. 49, paragrafo 4) – e dunque non può essere fatto valere l'interesse pubblico dello Stato terzo ricevente. Il regolamento fissa i requisiti per l'approvazione delle norme vincolanti d'impresa e i contenuti obbligatori di tali norme.
L'elenco indicato al riguardo nel paragrafo 2 dell'art. 47 non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori.
Ad ogni modo, l'approvazione delle norme vincolanti d'impresa dovrà avvenire esclusivamente attraverso il meccanismo di coerenza di cui agli artt. 63-65 del regolamento – ossia, è previsto in ogni caso l'intervento del Comitato europeo per la protezione dei dati (si veda art. 65, paragrafo 1, lettera d) ). Per la consultazione del Regolamento 679/16, slide, video, materiali, faq ecc., lo staff di Consulenza Privacy Regolamento UE 679/2016 by MODI S.r.l. è disponibile al numero verde 800300333. MODI S.r.l. ha messo a disposizione per gli interessati anche un sito internet dedicato www.consulenzaprivacyregolamentoue679.it
 
3
Apr

Cosa significa valutare i rischi? La redazione del DVR deve seguire criteri precisi e deve possedere dei requisiti specifici.

Cosa significa valutare i rischi? La redazione del DVR deve seguire criteri precisi e deve possedere dei requisiti specifici. La valutazione dei rischi prevede un’analisi dettagliata del luogo di lavoro che comporti la valutazione di tutti i rischi per la salute e per la sicurezza dei Lavoratori, l’eliminazione e/o la riduzione dei rischi, la programmazione della prevenzione, la predisposizione di misure di emergenza da attuare in caso di primo soccorso, di lotta antincendio, di evacuazione dei lavoratori e di pericolo grave e immediato. La valutazione dei rischi è un obbligo indelegabile del Datore di Lavoro ed è effettuata in collaborazione con il Responsabile del Servizio di Prevenzione e Protezione e con il Medico Competente (nei casi in cui sia obbligatoria la sorveglianza sanitaria), previa consultazione del Rappresentante del Lavoratori per la Sicurezza. La valutazione dei rischi da parte del Datore di Lavoro e la realizzazione dei conseguenti documenti è uno degli elementi di più grande rilevanza del D.Lgs 81/08. Il Documento di Valutazione dei Rischi (DVR) rappresenta la mappatura dei rischi nei luoghi di lavoro presenti in un’azienda. Il DVR, secondo l’art. 18 del D.Lgs. 81/2008, è quel documento che serve per garantire la sicurezza nei luoghi di lavoro e dimostrare agli organi di controllo l’avvenuta valutazione dei rischi per tutelare la salute dei lavoratori. La stesura del DVR deve seguire criteri precisi e deve possedere dei requisiti specifici; in particolare deve contenere una relazione sulla valutazione di tutti i rischi per la sicurezza e la salute durante l’attività lavorativa, nella quale siano specificati i criteri adottati per la valutazione stessa e tutti gli interventi per eliminare, ridurre o controllare i rischi e i pericoli presenti all’interno dei luoghi di lavoro. Nel DVR deve essere esplicita l’indicazione del nominativo del Responsabile del Servizio di Prevenzione e Protezione (RSPP), del Rappresentante dei Lavoratori per la Sicurezza (R.L.S.) o di quello territoriale e del Medico Competente (ove previsto). Queste figure devono essere consultate durante la valutazione dei rischi e per la stesura del DVR dal Datore di Lavoro e devono partecipare alla riunione periodica prevista dall’art. 35 del D. Lgs 81/08 per la discussione dei problemi inerenti la sicurezza aziendale. Il Documento di Valutazione dei Rischi è obbligatorio per tutte le aziende con almeno 1 lavoratore dipendente e deve essere aggiornato qualora vi siano modifiche all’organizzazione aziendale o al processo produttivo tali da poter influire sullo stato di salute e sulla sicurezza dei lavoratori, o a seguito di gravi infortuni oppure se il medico competente ne rileva la necessità. Dopo la rielaborazione del testo, le misure di sicurezza e prevenzione vanno aggiornate di conseguenza. I nostri tecnici qualificati restano a disposizione per chiarimenti e per un sopralluogo gratuito presso l'Azienda. Per un preventivo sulla valutazione dei rischi aziendali chiamateci al numero verde 800300333 raggiungibile gratis anche da mobile o via e-mail a modi@modiq.it.
MODI S.R.L. in qualità di Centro di Formazione AIFOS organizza nelle aule corsi di Mestre, Spinea, Marghera Venezia, corsi per RSPP Datori di Lavoro. A distanza e cioè con i corsi online gli RSPP Datore di Lavoro possono seguire i corsi di aggiornamento obbligatorio da farsi ogni 5 anni. Vasta offerta formativa anche per lavoratori, dirigenti, preposti, addetti al primo soccorso, antincendio, incaricati uso attrezzature di lavoro (gru, carrelli, PLE, ecc.).
  Per consulenze, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.
3
Apr

Garante della Privacy – nuove FAQ Regolamento Europeo 2016/679 GDPR

Nel sito internet https://consulenzaprivacyregolamentoue679.it di proprietà della MODI S.r.l. sono state rese disponibile le FAQ sul Regolamento Europeo GDPR 2016/679  cliccando qui. Riteniamo possa tornare utile condividere anche le nuove FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato che sono state pubblicate  nel sito del Garnate della Privacy in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD):
1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?
Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
 
2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.
 
3. Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala", v. le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).
 
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
 
4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").
In ogni caso, resta comunque  raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.
 
5. È possibile nominare un unico responsabile della protezione dei dati personali nell'ambito di un gruppo imprenditoriale?
Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all'art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di "raggiungibilità", v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
 
6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?
Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
 
Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).
 
I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria. Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all'Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link: http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292
 
7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?
Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).
 
8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?
Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un "dipendente" del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti. Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).
Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.
Per consulenze in ambito privacy, incarico DPO, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.  
3
Apr

Collaudo, no di Inarsind al decreto del CSLLPP

03/04/2018 - “Per l’ennesima volta in tema di Codice degli Appalti assistiamo ad un groviglio normativo che porta a disattendere delle norme vigenti”.   Così INARSIND, Associazione Nazionale di intesa sindacale di Architetti ed Ingegneri liberi professionisti, commenta lo schema di decreto sull’affidamento delle prestazioni di collaudo statico e tecnico-amministrativo, approvato qualche giorno dal Consiglio Superiore dei Lavori Pubblici (CSLLPP).   A norma dell’art. 102 del Codice dei Contratti - ricorda INARSIND - l’affidamento delle prestazioni di collaudo statico e tecnico-amministrativo viene prioritariamente riservato all’interno della P.A. e, solo in subordine, per comprovata mancanza di organico o competenze specifiche, a professionisti esterni.   Collaudo, obbligo di iscrizione all’Albo solo per i liberi professionisti Il decreto approvato dal CSLLPP prevede che per i dipendenti pubblici sia requisito..
Continua a leggere su Edilportale.com

3
Apr

Federarchitetti: ‘gli onorari professionali siano inseriti nei costi della sicurezza’

MODI qualità ambiente sicurezza formazione modelli 231 03/04/2018 - “I costi degli onorari dei professionisti devono essere inseriti nei costi della sicurezza, dando importanza non all’offerta più bassa ma alla qualità dei concorrenti, puntando quindi alla qualità del prodotto finale. Qualità della prestazione professionale e giusto compenso che danno luogo all’aspettativa di guadagno tutelato dalla Corte Europea dei Diritti dell’Uomo cui l’Italia aderisce”. Così il Presidente di Federarchitetti, Nazzareno Iarrusso, ha aperto il 23 marzo scorso a Potenza, la “Nona Giornata Nazionale sulla Sicurezza nei cantieri”, nel corso della quale è stato lanciato un decalogo per sollecitare l’attenzione sulla sicurezza sui luoghi di lavoro: 1. far rientrare gli onorari per CSP e CSE nei costi per la sicurezza, non soggetti a ribasso; 2. affidamenti degli incarichi per CSE e CSP basati su metodi qualitativi dei concorrenti e non sull’offerta.. Continua a leggere su Edilportale.com
3
Apr

Piste ciclabili, al via il bando ‘Comuni in pista’

MODI qualità ambiente sicurezza formazione modelli 231 03/04/2018 – Da oggi i Comuni potranno inviare la propria candidatura al bando “Comuni in pista - #sullabuonastrada” che prevede il totale abbattimento del tasso d’interesse di 50 milioni di euro di mutui per costruire e riqualificare le piste ciclabili comunali. Le domande andranno presentate all’indirizzo PEC icspisteciclabili@legalmail.it dalle ore 10:00 del 3 aprile 2018 alle ore 24:00 del 2 luglio 2018. E’ importante che l’istanza di contributo sia inviata il prima possibile perché le risorse disponibili sono assegnate con una procedura a sportello in base alla quale le istanze complete sono esaminate ed eventualmente ammesse in ordine di presentazione. Piste ciclabili: cosa prevede ‘Comuni in pista’ L’istituto per il Credito Sportivo (ICS), con il Protocollo d’Intesa sottoscritto con ANCI e Federciclismo, ha messo a disposizione degli Enti locali 9 milioni di euro di contributi per.. Continua a leggere su Edilportale.com
3
Apr

Antincendio, definite le priorità per scuole e asili nido

MODI qualità ambiente sicurezza formazione modelli 231 03/04/2018 – Fissate le indicazioni prioritarie per adeguare gli asili nido e le scuole di ogni ordine e grado ai requisiti antincendio. E’ stato, infatti, pubblicato in Gazzetta Ufficiale il DM 21 marzo 2018 “Applicazione della normativa antincendio agli edifici e ai locali adibiti a scuole di qualsiasi tipo, ordine e grado, nonché’ agli edifici e ai locali adibiti ad asili nido”. Adeguamento antincendio: gli obblighi per scuole e asili Il provvedimento definisce l’applicazione della normativa antincendio dopo l’entrata in vigore dell’obbligo di adeguamento. Ricordiamo che il 31 dicembre 2017 è scaduto il termine, più volte prorogato, per adeguarsi ai requisiti previsti dal DM 26 agosto 1992 per le scuole di qualsiasi tipo, ordine e grado e per gli edifici e locali adibiti ad asili nido. In quest’ottica, e ipotizzando un numero considerevole di scuole e asili nido.. Continua a leggere su Edilportale.com