D.Lgs. 231/01 e reati informatici

Il 27 febbraio 2008 anche il Senato della Repubblica (dopo la Camera dei Deputati) ha approvato in via definitiva il disegno di legge di "Ratifica ed esecuzione della Convenzione del Consiglio d' Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell' ordinamento interno" (Numeri dei progetti di legge nell'iter parlamentare, XV legislatura, C.2807 / S.2012).
Il testo, che passa ora al Presidente della Repubblica per la firma, estenderà (art. 7) la responsabilità amministrativa degli enti ai seguenti reati informatici:

• falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.);
  
• accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.);
• detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.);
• diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
• intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
• installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.);
• danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.);
• danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.);
• danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.);
• danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.);
• frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.).

Come si legge nella relazione di accompagnamento al testo presentato alla Camera dei Deputati, "l'introduzione dell'articolo 25-septies (24-bis nel testo approvato dal Senato, NdR) del decreto legislativo 8 giugno 2001, n. 231, risponde all'esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi".

Novità sono previste, all'art. 10, anche per il c.d. Codice della privacy, in relazione ai poteri riconosciuti al Ministro dell’Interno o, su sua delega, ai responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei carabinieri e del Corpo della guardia di finanza, ai fini dello svolgimento delle investigazioni preventive, ovvero per finalità di accertamento e repressione di specifici reati.
Nella relazione di accompagnamento si precisa che "con l'introduzione, poi, dei nuovi commi 4-ter, 4-quater e 4-quinquies dell'articolo 132 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, si è inteso prevedere, come già notato, un provvedimento che, conformemente a quanto richiesto dalla Convenzione, permetta il «congelamento» temporaneo e urgente di dati."

D.Lgs. 231/01: riflessioni sui Modelli organizzativi

Non "realizzazione del modello organizzativo ex D.Lgs. 231/01", come spesso si sente dire, ma più correttamente adeguamento del modello di organizzazione, gestione e controllo aziendale ai requisiti ed agli scopi del D.Lgs. 231/01. E del D.Lgs. 626/94, del D.Lgs. 196/03, del D.Lgs. 262/06 e così via…
di Giovanni Battisti.

Ogni azienda funziona grazie ad un "insieme di regole, procedure e prassi", più o meno formalizzato, che ne orienta l’attività verso gli obiettivi fissati dalla proprietà.
Questo "insieme di regole, procedure e prassi" è il modello organizzativo della società; il D.Lgs. 231/01 (Decreto) chiede, affinché si possa eventualmente godere della c.d. esimente, che tale modello sia adeguatamente formalizzato - per permetterne la conoscibilità interna ed esterna all’azienda- e che risponda ad alcuni requisiti specifici (ad es., la costituzione dell’organo interno di vigilanza).
Non si dovrebbe quindi parlare di "realizzazione del Modello organizzativo ex D.Lgs. 231/01", ma di (progetto di) adeguamento del modello di organizzazione, gestione e controllo dell’azienda ai requisiti stabiliti dal Decreto e dalle associazioni di categoria.

Questa precisazione non è puramente formale, e assume particolare rilievo in seguito all’introduzione dell’art. 25 septies nella disciplina del D.Lgs. 231/01: l’ambito della salute e sicurezza sul luogo di lavoro è, infatti, ampiamente normato e le aziende dovrebbero aver già adottato una corposa serie di disposizioni organizzative (deleghe, organigrammi, procedure, programmi di audit, programmi di formazione etc) per adempiere tali disposizioni normative.
E, se non si ha ben chiaro il concetto sopra esposto (e già in passato già sostenuto), si rischia di duplicare "per il Modello 231" quanto già predisposto in attuazione delle norme sulla sicurezza sul lavoro.

Non venga tuttavia la tentazione opposta, e cioè ritenere che sia sufficiente richiamare nel documento che formalizza il Modello per il D.Lgs. 231/01 quanto già prodotto per adempiere la normativa sulla sicurezza sul lavoro.
Infatti, come mi ammonisce l’avv. Da Riva Grechi, l’art. 9 della L. 123/07 non ha solo introdotto i reati di “Reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro” nella disciplina della responsabilità amministrativa degli enti, ma ha anche ampliato la funzione cui devono adempiere le disposizioni adottate dall’azienda in materia di sicurezza: non più "solo" prevenire gli incidenti e gli infortuni sul lavoro, ma anche liberare l’ente dall’eventuale responsabilità amministrativa ex D.Lgs. 231/01 (nella malaugurata ipotesi di incidente sul lavoro).

Nel modello organizzativo dovrà quindi essere curato in modo particolare il raccordo tra "mondo 231" e "mondo 626", ad esempio:

• formalizzando il processo di redazione del Documento Unico di Valutazione dei Rischi (DVR), in modo da consentire all’Organismo di Vigilanza (OdV) un’efficace attività di controllo;
• predisponendo adeguati flussi informativi verso l’OdV, in merito agli infortuni occorsi, o all’attività di controllo effettuata dai delegati del datore di lavoro;
• formalizzando un programma di audit sulla corretta attuazione delle procedure per la prevenzione degli infortuni;
• comunicando il programma di formazione in materia di salute e sicurezza sul lavoro all’OdV;
• …

Al solito, sono ben venuti i vostri commenti.

D.Lgs. 231/01 e reati informatici: novità in vista

Responsabilità amministrativa delle persone giuridiche e reati informatici: novità in vista
di Agatino Grillo. Fonte: ComplianceNet.

Il 20 febbraio 2008 la Camera dei Deputati ha approvato il disegno di legge di ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, convenzione redatta a Budapest il 23 novembre 2001. Il provvedimento passa ora all’esame del Senato per la ratifica definitiva. Tra le novità (di cui parlo in dettaglio in quest'altro articolo su www.agatinogrillo.it ) vi è anche l'estensione della responsabilità amministrativa delle persone giuridiche (le aziende) come prevista dal decreto legislativo 231/01 ai reati informatici: in poche parole le aziende dovranno predisporre preventive ed idonee misure di sicurezza e di controllo per prevenire che al loro interno si commettano reati informatici. Di seguito una breve sintesi delle novità.

Novità per il decreto legislativo 8 giugno 2001, n. 231

L'articolo 6 del nuovo disegno di legge dal titolo "Modifiche al decreto legislativo 8 giugno 2001, n. 231" recita: "Dopo l'articolo 25-sexies del decreto legislativo 8 giugno 2001, n. 231, è inserito il seguente:
Art. 25-septies, Attentato ad impianti di pubblica utilità, delitti informatici e trattamento illecito di dati,

1. In relazione alla commissione dei delitti di cui agli articoli 420, 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter e 635-quater del codice penale, si applica all'ente la sanzione pecuniaria da cento a cinquecento quote.
2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all'ente la sanzione pecuniaria sino a trecento quote.
3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall'articolo 24 per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione pecuniaria sino a quattrocento quote.
4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e).

Reati presi in considerazione

Ecco l'elenco dei "delitti" a cui fa riferimento il nuovo l'articolo 25-sexies:

• 420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di sistemi informatici o telematici di pubblica utilità
• 491-bis: falsità in un documento informatico pubblico o privato
• 615-ter: accesso abusivo ad un sistema informatico o telematico
• 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
• 615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico
• 617-quater: intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
• 617-quinquies: installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche.
• 635-bis: danneggiamento di informazioni, dati e programmi informatici
• 635-ter: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
• 635-quater: danneggiamento di sistemi informatici o telematici
• 640-quinquies: truffa del certificatore di firma elettronica

Formazione RSPP e ASSP: basta con gli equivoci

Fonte: Punto Sicuro. Di Rolando Dubini.

E' necessario, citando direttamente l'accordo governo-regioni del 2006, individuare alcuni punti fermi, perché circolano interpretazioni sbagliate e fuorvianti che creano apprensioni infondate.

Chiunque ha frequentato il modulo A di formazione previsto dall'accordo, anzi in primo luogo dall'articolo 8 bis del d.lgs. n. 626/94, acquisisce un credito permanente, perché tale frequenza, dice testualmente l'accordo "costituisce Credito Formativo permanente". Chi afferma che il credito formativo acquisito frequentando il modulo A possa per qualunque motivo venir meno dice cosa del tutto sbagliata, sbagliata in modo clamoroso e del tutto illegittimo.

Chiunque ha frequentato il modulo B di formazione previsto dall'accordo, anzi in primo luogo dall'articolo 8 bis del d.lgs. n. 626/94, acquisisce un credito formativo particolare, temporalmente condizionato, perche' tale frequenza, dice testualmente l'accordo "costituisce Credito Formativo con fruibilita' quinquennale anche per l’eventuale nomina a RSPP o ASPP in altra azienda dello stesso macrosettore", ma "in ogni caso, dopo i cinque anni scatta l’obbligo dell’aggiornamento".
Chi afferma che il credito formativo acquisito frequentando il modulo B possa, per qualunque motivo che non sia la mancata frequenza al corso di aggiornamento, venir meno dice cosa del tutto sbagliata, sbagliata in modo clamoroso e del tutto illegittima.

Chiunque ha frequentato il modulo C di formazione previsto dall'accordo, anzi in primo luogo dall'articolo 8 bis del d.lgs. n. 626/94, acquisisce un credito permanente, perché tale frequenza, dice testualmente l'accordo "costituisce Credito Formativo permanente". Chi afferma che il credito formativo acquisito frequentando il modulo C possa per qualunque motivo venir meno dice cosa del tutto sbagliata, sbagliata in modo clamoroso e del tutto illegittima.

Per quel che riguarda gli esonerati, in particolare dai moduli A e B ma non solo, con esperienza nel ruolo che costituisce credito formativo, l'accordo prevede testualmente l'"obbligo immediato di frequenza al corso di aggiornamento di cui al punto 3 del presente accordo entro il termine di cui al punto 1.1", il che vuol dire che per svolgere legittimamente l'incarico è necessario sommare al credito formativo derivante dall'esperienza pregressa i corsi pertinenti. Ma il credito formativo derivante dall'esperienza pregressa costituisce CREDITO FORMATIVO PERMANENTE.

Perciò non è vero che il fatto di non aver rispettato il termine per completare la formazione vanifica il credito formativo, è possibile sempre regolare la propria posizione in relazione alla formazione completando il percorso formativo previsto dall'accordo. Che il credito formativo sia permanente lo si deduce dalla logica dell'accordo, che rende la frequenza ai moduli A e C credito permanente, e il credito da modulo B valido 5 anni, dopo di che è necessario l'aggiornamento per mantenere valida la formazione, oppure, in caso di periodo di tempo piu' lungo entro il quale viene frequentato l'aggiornamento, per riattivare la validità della formazione e rientrare in possesso dei requisiti per l'esercizio dei compiti di RSPP e ASPP sarà sufficiente frequentare quanto non ancora frequentato.

Dunque anche il credito formativo derivante dall'esperienza lavorativa pregressa è permanente, in base al principio giuridico di ANALOGIA, il quale prevede quanto segue: Art. 12 preleggi al codice civile (Interpretazione della legge): "... Se una controversia non puo' essere decisa con una precisa disposizione, si ha riguardo alle disposizioni che regolano casi simili o materie analoghe".
D'altra parte in uno stato democratico di diritto come quello italiano sarebbe ben strano, ovvero incostituzionale, che i diritti legittimamente acquisiti venissero vanificati da ragioni non tassativamente previste dalla legge stessa.

Non devono indurre in equivoco le Linee interpretative del 5 ottobre 2006 al punto 2.6 laddove prevedono che per il riconoscimento del credito formativo derivante da esperienza lavorativa pregressa, che si sostanza nell'esonero dai moduli A e B, vi è l'obbligo di aggiornamento che decorre dal 14 febbraio 2007 con obbligo di frequentare il 20% entro il 14 febbraio 2008.

Chi non ha iniziato e concluso (le due cose vanno sempre assieme, non è possibile disgiungererle, iniziare un corso o peggio iscriversi ad un corso non significa possedere il necessario requisito professionale, che si acquisisce SOLAMENTE col completamento del percorso formativo previsto, sia esso un modulo completo oppure frazionato in moduli annuali di 1/5 del corso di aggiornamento) l'aggiornamento perde il requisito per poter continuare a svolgere la funzione di Rspp, o aspp, ma la perde non in maniera definitiva con obbligo di dover ricominciare da capo la formazione, con vanificazione dell'esonero stesso, ma invece la perdita è solamente temporanea.

Il requisito lo si recupera semplicemente frequentando la parte di formazione obbligatoria omessa, che è il quinto di aggiornamento minimo previsto.

Va anche chiarito che l'aggiornamento può essere svolto sia in base al metodo di 1/5 all'anno sia in un'unico blocco di 40-60 o 100 ore per tutti i settori.

E non è vero che la formazione in blocco è meno efficace di quella frazionata, soprattuto per gli esonerati che non avendo frequentato nè A nè B, hanno necessità di una visione d'assieme della materia che li riguarda. Anche perchè sarebbe ben singolare che l'aggiornamento dell'Rspp, ed anche dell'Aspp, si limiti a fare una giornata, una giornata e mezza di aggiornamento all'anno, quando magari il giorno dopo la frequenza al corso viene pubblicata sulla gazzetta ufficiale una nuova legge, o un decreto di recepimento di una impoortante direttiva prevenzionistica europea.

L'aggiornamento di rspp e aspp deve essere permanente, e in massima parte autogestito da lui medesimo. Non passa solo attraverso questi corsi di cui all'art. 8 bis del d.lgs. n. 626/94, che al più sono un antipasto.

Su PuntoSicuro sono disponibili anche i riferimenti normativi (estratti).

Software Assurance: An Overview of Current Industry Best Practices

di Agatino Grillo. Fonte: agatinogrillo.it.

SAFECode, il Software Assurance Forum for Excellence in Code, ha pubblicato il 13 febbraio 2008 un white paper (pdf, 1.7 M, 20 pp) dedicato alle best practice per la software assurance. Il white paper è in lingua inglese. Di seguito la mia traduzione dell’executive summary e l'indice.

Executive Summary
Il software rappresenta la risorsa informativa più importante a cui si affidano i governi, i fornitori di infrastrutture critiche ed il mondo delle aziende per le proprie operazioni giornaliere e i processi di business. Queste organizzazioni utilizzano in misura sempre maggiore software commerciale di tipo "pronto all’uso" (COTS: Commercial Off-The-Shelf) per informatizzare i propri processi. Contemporaneamente però i cyber attacchi stanno diventando sempre più insidiosi e sofisticati. I sistemi informativi operano in un ambiente sempre più rischioso ed in continua evoluzione che occorre ben comprendere per essere capaci di gestire in modo efficace. Per tali motivi gli utenti sono sempre più preoccupati della integrità, sicurezza ed affidabilità del software commerciale. Per meglio risolvere tali preoccupazioni e soddisfare i requisiti degli utenti, i vendor hanno intrapreso sforzi significativi per ridurre le vulnerabilità, migliorare la resistenza agli attacchi e proteggere l’integrità dei propri prodotti. Questi sforzi sono spesso globalmente definiti come "software assurance". La software assurance è importante specialmente per le aziende ed organizzazioni critiche per la sicurezza e l’economia nazionale che hanno bisogno di un software commerciale quanto più sicuro possibile; ciò si può garantire solo se nel processo di sviluppo del software sono usate best practice. Questo white paper fornisce una vista d’insieme di come le organizzazioni membri di SAFECode affrontano la software assurance e dimostra come l’uso delle best practice aiuti a migliorare il controllo e rafforzare l’integrità delle applicazioni commerciali.

Indice

• The Challenge of Software Assurance and Security
• Industry Best Practices for Software Assurance and Security
• Framework for Software Development
• Software Security Best Practices
• Related Roles of Integrators and End Users
• SAFECode’s Goals
• Conclusion
• Questions for Vendors about Product Assurance and Security
• About SAFECode

Cocktail e rischio legale d'impresa

Attenzione: questo evento non è più attivo!

L'Osservatorio dei Rischi Legali d'Impresa (in collaborazione con l'Associazione Italiana Giuristi di Impresa, lo studio legale Dewey & LeBoeuf e lo studio legale Galgano) segnala che, lunedì 25 febbraio alle ore 17 a Milano, presenterà il proprio programma di attività per il 2008.

Tra gli interventi, segnaliamo:

• La nuova legge sulle “Class Action”. Il possibile impatto sulle imprese ed i vantaggi per i consumatori e i risparmiatori. Prof. avv. Pier Filippo Giuggioli
• Considerazioni sull’evoluzione del ruolo del giurista d’ impresa. Avv. Enzo Pulitanò
• L’ esperienza di una grande banca nella gestione del rischio legale d’ impresa. avv. Pietro Arosio

Al termine degli interventi sarà offerto un cocktail ai presenti.
La partecipazione è gratuita, confermando la presenza. E' possibile scaricare il programma dal sito dell'Osservatorio.

Privacy: le regole per il condominio

Il decalogo del Garante per la Privacy per la corretta gestione dei dati personali nei condomini.
di Matteo Colombo.

Con un provvedimento generale datato 18 maggio 2006, il Garante per la protezione dei dati personali ha prescritto ai condomìni, anche per i trattamenti effettuati dall'assemblea e dall'amministratore, le misure necessarie per una corretta gestione dei dati personali. Il provvedimento tiene conto anche delle osservazioni di associazioni di categoria e di singoli condomini che hanno partecipato con numerosi contributi alla consultazione pubblica aperta l'8 febbraio scorso.

1) Dati trattabili. Il condominio, in quanto titolare del trattamento, può trattare solo informazioni personali pertinenti e necessarie per la gestione e l'amministrazione delle parti comuni. Le informazioni possono riguardare sia tutto il condominio (dati relativi a consumi collettivi), sia i singoli partecipanti (dati anagrafici, indirizzi, quote millesimali). I numeri di telefono possono essere trattati solo con il consenso degli interessati, a meno che compaiano già in elenchi telefonici pubblici. È, ad esempio, vietato che in fogli cartacei o elettronici condominiali siano riportate, vicino a nomi di condomini o inquilini, annotazioni quali: single, capellone, calvo, cugino dell'ex-portiere, "non verrà all'assemblea", "va in vacanza a giugno", "risponde sempre la segreteria"…

2) Inadempimenti e morosità. Per verificare l'esattezza degli importi dovuti, ciascun condomino può essere informato, in sede di rendiconto annuale o su richiesta, delle somme dovute dagli altri e di eventuali inadempimenti.
É invece vietata la diffusione di dati personali mediante l'affissione di avvisi di mora o di sollecitazioni di pagamento in spazi condominiali aperti al pubblico, in cui è consentita solo l'affissione di avvisi generali (quali convocazioni di assemblea o comunicazioni urgenti).

3) Numeri telefonici. I numeri di telefono fisso e di telefono cellulare e l'indirizzo e-mail possono essere utilizzati da amministratore o portiere solo se già indicati in elenchi pubblici oppure se l'interessato è stato consenziente. In ogni caso occorre sempre tener presente il principio di proporzionalità circa l'uso di tali numeri, con particolare riferimento a frequenze e ad orari, tenuto presente che il loro utilizzo può essere opportuno in casi di necessità ed urgenza (soprattutto per evitare danni incombenti) mentre occorre massimo discernimento per le attività ordinarie.

4) Dati personali sensibili o giudiziari. I dati sanitari possono essere trattati solo se indispensabili ai fini dell'amministrazione del condominio (come in caso di danni a persone anche diverse dai condomini, o per particolari deliberazioni, come nel caso dell'abbattimento delle cosiddette "barriere architettoniche").

5) Comunicazione. Soltanto in presenza di consenso dell'interessato ovvero dei presupposti previsti dall'art. 24 del Codice per la protezione dei dati personali può procedersi a comunicazioni nel rispetto delle finalità e della dignità dell'interessato. Fuori dei casi predetti non possono essere comunicati a terzi dati personali riferiti ai partecipanti.
Né il condominio, né l'amministratore, né il portiere, né il singolo condomino od inquilino che (per ragione del ruolo, per la vicinanza, per la condivisione delle parti comuni o per semplice casualità) viene a conoscenza di un dato personale può farlo conoscere a altro partecipante del condominio o a terzo.

6) Conservazione dei verbali. Per salvaguardare la privacy occorre che la conservazione dei verbali assembleari e di prospetti contabili avvenga al riparo di intrusioni di terzi.

7) Partecipazione all’assemblea. Tecnici o consulenti possono partecipare all'assemblea per il solo tempo correlato agli specifici punti dell'ordine del giorno attinente alla loro richiesta consulenza. Soltanto con l'assenso di tutti i partecipanti è possibile la videoregistrazione dell'assemblea condominiale.

8) Avvisi e spazi comuni. Gli spazi condominiali sono utilizzabili per avvisi a carattere generale ma non per la trattazione di affari che comportano il trattamento dei dati personali o comunque riferibili a singoli condomini. Sono vietati pertanto avvisi quali: "per le quote per la riparazione della colonna pluviale di Rossi passare in portineria", oppure "si prega la signora Bianchi di non far giocare i figli a pallone nel garage".

9) Dati di gestione. I dati riferibili all'intera gestione condominiale possono essere sempre conosciuti direttamente dall'amministratore o da altro rappresentante dei condomini (anche per le utenze: acqua, luce, gas…) e possono a questi essere richiesti da ciascun partecipante del condominio.

10) Ricorsi e/o reclami. Ciascun condomino o altro partecipante può presentare istanza, ai sensi dell'art. 7 del Codice per la protezione dei dati personali, all'amministratore per accedere ai propri dati e nel caso di mancato riscontro può ricorrere al Garante o al magistrato competente. Per ogni trattamento dei dati non conforme alla normativa o ai provvedimenti del Garante è possibile rivolgere allo stesso Garante reclamo, nelle modalità e forme previste, oppure una segnalazione, indicando comunque ogni elemento conosciuto.

Privacy: gli adempimenti per le aziende entro il 31 marzo

di Panfilo Marcelli. Fonte: ComplianceNet.

Il decreto legislativo 30 giugno 2003, n. 196, meglio noto come "Codice in materia di protezione dei dati personali" prevede una serie di adempimenti che ogni azienda deve rispettare entro il 31 marzo di ogni anno. Ecco una rapida sintesi di tutte le scadenze.

Documento Programmatico sulla Sicurezza
Annualmente, e non oltre il 31 marzo di ogni anno, l'azienda deve aggiornare il proprio "Documento Programmatico sulla Sicurezza" (DPS) che deve contenere, al minimo (regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza", del D. Lgs. n.196)

• l'elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
• l'analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (...);
• la previsione di interventi formativi degli incaricati del trattamento (...);
• la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare.

Tali elementi "obbligatori" del DPS devono ovviamente contenere informazioni "aggiornate" alla data di redazione del Documento Programmatico per cui occorre pianificare con cura le attività da svolgere e le funzioni aziendali (ad esempio: l'ufficio Risorse Umane per i piani formativi e l'ufficio Sicurezza per le misure di sicurezza) da coinvolgere.

Nota al Consiglio d'Amministrazione sul DPS
Ogni anno occorre riportare (allegato B, punto 26) nella relazione accompagnatoria del bilancio d'esercizio dell'avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza.

Notificazione dei trattamenti
Solo nei casi previsti dal Codice (art. 37 del Codice) occorre notificare al Garante per la protezione dei dati personali i trattamenti di dati che si intende effettuare. Tale notifica (ripeto: necessaria solo nei casi individuati dalla legge) va fatta PRIMA dell'inizio dei trattamenti stessi. È buona prassi indicare nel DPS se vi sono stati nuove notifiche di tali trattamenti rispetto all’anno precedente.

Acquisizione dei DPS dei "responsabili" esterni
Nel caso l'azienda abbia nominato "responsabili" del trattamento esterni (ad esempio: società terze a cui sono affidati in outsourcing alcuni trattamenti di dati) è necessario richiedere a tali "responsabili" copia (anche in formato ridotto) del loro Documento Programmatico (da allegare o citare nel proprio aggiornamento).

Piani di formazione
È necessario ogni anno predisporre un piano di formazione in ambito privacy per tutti coloro che trattano (in maniera informatizzata o cartacea) dati personali. La formazione in ambito privacy è un obbligo di legge: occorre "rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali" (punto 19.6 dell'allegato B)

Durc: violare la sicurezza non blocca l’attività d’impresa

Fonte: Edilportale.com

Le irregolarità in materia di tutela delle condizioni di lavoro, indicate dal DM 24 ottobre 2007 come cause ostative al rilascio del Durc, escludono dai benefici normativi e contributivi ma non bloccano l’attività d’impresa.
È questa, in estrema sintesi, l’interpretazione della circolare 5/2008 del Ministero del Lavoro sul DM 24 ottobre 2007 relativo al Documento Unico di Regolarità Contributiva (Durc).

L'intero articolo è disponibile su EdilPortale.

31 marzo 2008: Modelli obbligatori per le STAR

Dal prossimo 31 marzo la quotazione nel segmento STAR richiederà l'adozione obbligatoria dei Modelli organizzativi e un'attestazione periodica dell'OdV a Borsa Italiana sull'adeguatezza e ossrvanza del Modello.

di Maurizio Arena (avvocato). L'intero articolo (senza le omissioni qui sotto evidenziate) può essere letto sul sito www.reatisocietari.it.

*****
Il Segmento STAR (Segmento Titoli con Alti Requisiti), è il segmento del mercato azionario dedicato alle società di medie dimensioni con capitalizzazione non superiore a 1000 milioni di Euro che, su base volontaria, si impegnano a rispettare requisiti più stringenti in termini di trasparenza informativa, liquidità e governo societario.
[...]

A decorrere dal 26 marzo 2007, il Regolamento dei Mercati di Borsa Italiana, ha inserito, tra i requisiti di governo societario per ottenere la qualifica di STAR, l’adozione su base obbligatoria del modello di organizzazione, gestione e controllo previsto dall’articolo 6 del d. lg. n. 231/2001.
Si tratta, come è noto, dell’insieme di misure e procedure etiche, organizzative, gestionali e di controllo – ivi compresa l’istituzione di un apposito Organismo di vigilanza – per la prevenzione del rischio di commissione di illeciti nello svolgimento dell’attività d’impresa.

[...]

In generale, l’adozione del Modello non è obbligatoria ai sensi del decreto; tuttavia nello specifico settore e proprio per valorizzare i requisiti stringenti del segmento STAR, il Regolamento dei Mercati di Borsa Italiana (approvato dalla Consob) ne sancisce l’obbligatorietà.

Le società STAR sono tenute ad adottare tale modello entro il 31 marzo 2008 (art 2.2.3 bis).

Va aggiunto che, sempre ai sensi dell’art 2.2.3, l’emittente deve comunicare tempestivamente a Borsa Italiana la temporanea impossibilità di rispettare, tra gli altri, l’obbligo in questione e le relative motivazioni.

Dal canto suo, Borsa Italiana può richiedere alla società tutte le informazioni rilevanti ai fini dell’obbligo de quo e può escludere dalla qualifica di Star le azioni per le quali, nel semestre precedente, non sia stato rispettato, tra gli altri, l’obbligo in discorso, tenendo conto dell’importanza dell’omissione.

Le disposizioni menzionate si applicano, nella sostanza, anche alle società di diritto estero; è fatta salva la facoltà di Borsa Italiana di stabilire, per singoli emittenti, tenuto conto degli ordinamenti cui sono assoggettati, modalità e termini diversi e/o ulteriori.

Le Istruzioni al Regolamento precisano (art IA.2.13.1) che per ottenere la qualifica Star l’emittente deve presentare a Borsa Italiana una richiesta firmata dal legale rappresentante alla quale deve essere allegata una dichiarazione, dal medesimo sottoscritta, attestante l’avvenuta adozione del modello di organizzazione, gestione e controllo, con la descrizione della composizione dell’organismo di vigilanza o indicazione dell’organo equivalente.

Quindi l’attestazione riguarda, precisamente:

• l’avvenuta adozione del Modello 231, vale a dire l’esistenza di un documento che risponda alle finalità di cui agli artt 6 e 7 del d.lg. 231;
• la descrizione della composizione dell’ODV: vale a dire se monocratico o collegiale e, in entrambi in casi, a quali soggetti sia stata affidata l’importante funzione di controllo.
  

Di conseguenza, nulla deve attestarsi circa:

• l’adeguatezza del Modello adottato;
• la regolamentazione dell’ODV, con particolare riguardo ai suoi poteri, ai suoi compiti e alle tutele stabilite in suo favore.
  

L’emittente deve comunicare senza ritardo a Borsa Italiana ogni variazione delle informazioni che hanno costituito oggetto della documentazione da allegare alla richiesta.

Ad avviso di chi scrive, andranno pertanto comunicate le modifiche essenziali del Modello (tipicamente: aggiornamento a nuove fattispecie di reato) e della composizione dell’OdV.

Infine (art IA.2.13.2) entro il 10 settembre di ogni anno, l’emittente deve inviare a Borsa Italiana un’attestazione sull’adeguatezza e osservanza del modello organizzativo da parte dell’ organismo di Vigilanza o dell’organo dirigente preposto a tale funzione.

Tale ultimo adempimento appare davvero delicato in quanto si chiede all’OdV (o all’organo dirigente che ne svolga le funzioni nelle piccole imprese ex art 6 comma 4 d.lg. 231) di attestare l’”adeguatezza” e l’”osservanza” del Modello organizzativo.

Si può forse comprendere un’attestazione dell’adeguatezza in astratto (idoneità) del Modello – tra l’altro non prevista al momento della richiesta di quotazione del segmento STAR – ma appare francamente eccessivo ipotizzare l’asseverazione dell’osservanza (effettiva attuazione) – se non in negativo, in quanto non risultano violazioni – del Modello stesso.

Struttura del D. Lgs. 8 giugno 2001 n. 231 (e s.m.i.)

Decreto Legislativo 8 giugno 2001, n. 231 "Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300"
(Gazzetta Ufficiale n. 140 del 19 giugno 2001)


Capo I - Responsabilità amministrativa dell'ente
Sezione I - Principi generali e criteri di attribuzione della responsabilità amministrativa
Art. 1. Soggetti
Art. 2. Principio di legalità
Art. 3. Successione di leggi
Art. 4. Reati commessi all'estero
Art. 5. Responsabilità dell'ente
Art. 6. Soggetti in posizione apicale e modelli di organizzazione dell'ente
Art. 7. Soggetti sottoposti all'altrui direzione e modelli di organizzazione dell'ente
Art. 8. Autonomia delle responsabilità dell'ente

Sezione II - Sanzioni in generale
Art. 9. Sanzioni amministrative
Art. 10. Sanzione amministrativa pecuniaria
Art. 11. Criteri di commisurazione della sanzione pecuniaria
Art. 12. Casi di riduzione della sanzione pecuniaria
Art. 13. Sanzioni interdittive
Art. 14. Criteri di scelta delle sanzioni interdittive
Art. 15. Commissario giudiziale
Art. 16. Sanzioni interdittive applicate in via definitiva
Art. 17. Riparazione delle conseguenze del reato
Art. 18. Pubblicazione della sentenza di condanna
Art. 19. Confisca
Art. 20. Reiterazione
Art. 21. Pluralità di illeciti
Art. 22. Prescrizione
Art. 23. Inosservanza delle sanzioni interdittive

Sezione III - Responsabilità amministrativa per reati previsti dal codice penale
Art. 24. Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico
Art. 24 bis. Delitti informatici e trattamento illecito di dati
Art. 24 ter. Delitti di criminalità organizzata (nota 1)
Art. 25. Concussione e corruzione
Art. 25 bis. Falsità in monete, in carte di pubblico credito in valori di bollo e in strumenti o segni di riconoscimento (commento 1)
Art. 25 bis.1. Delitti contro l'industria e il commercio (commento 1)
Art. 25 ter. Reati societari
Art. 25 quater. Delitti con finalita' di terrorismo o di eversione dell'ordine democratico
Art. 25 quater 1. Pratiche di mutilazione degli organi genitali femminili
Art. 25 quinquies. Delitti contro la personalita' individuale
Art. 25 sexies. Abusi di mercato
Art. 25 septies. Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro.
Art. 25 octies. Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita
Art. 25 novies. Delitti in materia di violazione del diritto d'autore (commento 1)
Art. 25 novies. Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (commento 1)
Art. 26. Delitti tentati

Capo II - Responsabilità patrimoniale e vicende modificative dell'ente
Sezione I - Responsabilità patrimoniale dell'ente
Art. 27. Responsabilità patrimoniale dell'ente

Sezione II - Vicende modificative dell'ente
Art. 28. Trasformazione dell'ente
Art. 29. Fusione dell'ente
Art. 30. Scissione dell'ente
Art. 31. Determinazione delle sanzioni nel caso di fusione o scissione
Art. 32. Rilevanza della fusione o della scissione ai fini della reiterazione
Art. 33. Cessione di azienda



Capo III - Procedimento di accertamento e di applicazione delle sanzioni amministrative
Sezione I - Disposizioni generali
Art. 34. Disposizioni processuali applicabili
Art. 35. Estensione della disciplina relativa all'imputato

Sezione II - Soggetti, giurisdizione e competenza
Art. 36. Attribuzioni del giudice penale
Art. 37. Casi di improcedibilità
Art. 38. Riunione e separazione dei procedimenti
Art. 39. Rappresentanza dell'ente
Art. 40. Difensore di ufficio
Art. 41. Contumacia dell'ente
Art. 42. Vicende modificative dell'ente nel corso del processo
Art. 43. Notificazioni all'ente

Sezione III - Prove
Art. 44. Incompatibilità con l'ufficio di testimone

Sezione IV - Misure cautelari
Art. 45. Applicazione delle misure cautelari
Art. 46. Criteri di scelta delle misure
Art. 47. Giudice competente e procedimento di applicazione
Art. 48. Adempimenti esecutivi
Art. 49. Sospensione delle misure cautelari
Art. 50. Revoca e sostituzione delle misure cautelari
Art. 51. Durata massima delle misure cautelari
Art. 52. Impugnazione dei provvedimenti che applicano le misure cautelari
Art. 53. Sequestro preventivo
Art. 54. Sequestro conservativo

Sezione V - Indagini preliminari e udienza preliminare
Art. 55. Annotazione dell'illecito amministrativo
Art. 56. Termine per l'accertamento dell'illecito amministrativo nelle indagini preliminari
Art. 57. Informazione di garanzia
Art. 58. Archiviazione
Art. 59. Contestazione dell'illecito amministrativo
Art. 60. Decadenza dalla contestazione
Art. 61. Provvedimenti emessi nell'udienza preliminare

Sezione VI - Procedimenti speciali
Art. 62. Giudizio abbreviato
Art. 63. Applicazione della sanzione su richiesta
Art. 64. Procedimento per decreto

Sezione VII - Giudizio
Art. 65. Termine per provvedere alla riparazione delle conseguenze del reato
Art. 66. Sentenza di esclusione della responsabilità dell'ente
Art. 67. Sentenza di non doversi procedere
Art. 68. Provvedimenti sulle misure cautelari
Art. 69. Sentenza di condanna
Art. 70. Sentenza in caso di vicende modificative dell'ente

Sezione VIII - Impugnazioni
Art. 71. Impugnazioni delle sentenze relative alla responsabilità
amministrativa dell'ente
Art. 72. Estensione delle impugnazioni
Art. 73. Revisione delle sentenze

Sezione IX - Esecuzione
Art. 74. Giudice dell'esecuzione
Art. 75. Esecuzione delle sanzioni pecuniarie (soppresso dal 01/07/02)
Art. 76. Pubblicazione della sentenza applicativa della condanna
Art. 77. Esecuzione delle sanzioni interdittive
Art. 78. Conversione delle sanzioni interdittive
Art. 79. Nomina del commissario giudiziale e confisca del profitto
Art. 80. Anagrafe nazionale delle sanzioni amministrative (soppresso dal 30/03/03)
Art. 81. Certificati dell'anagrafe (soppresso dal 30/03/03)
Art. 82. Questioni concernenti le iscrizioni e i certificati (soppresso dal 30/03/03)


Capo IV - Disposizioni di attuazione e di coordinamento
Art. 83. Concorso di sanzioni
Art. 84. Comunicazioni alle autorità di controllo o di vigilanza
Art. 85. Disposizioni regolamentari

Forum "Corporate Governance"

Attenzione: questo evento non è più attivo!

Business International ci segnala il convegno "Forum Corporate Governance", che si terrà a Milano il prossimo 19 marzo 2008.

Il convegno prende spunto dalle ultime vicende economico finanziarie (mutui subprime, junk bonds, scandali societari) per analizzare l’efficacia dei modelli di Corporate Governance, e sul loro presunto valore come antidoto contro le anomalie dei mercati finanziari, i comportamenti scorretti di manager ed amministratori e le inefficienze dei sistemi di controllo interno.

L'efficacia del modelli organizzativi di Governance, il richiamo ai temi dell’etica e della trasparenza, l’esigenza di collegare governance e performance d’impresa saranno alcuni dei temi dibattuti nel corso del convegno, che annovera tra i relatori il Prof. Guido Rossi, il dott. Stefano Preda, il Prof. Marco Onado e tanti altri ancora.

Ulteriori informazioni sono disponibili sul sito di Business International, dove sono riportate anche le interessanti riduzioni previste sulla quota d'iscrizione.

Testo Unico sulla sicurezza sul lavoro: il Governo deciso ad approvare la prima parte

Fonte: Punto Sicuro

Nonostante l’assenza di un accordo con le parti sociali su poteri e compiti di RLS e organismi paritetici, il Governo prende l’impegno ad approvare la prima parte del Testo unico entro la fine di febbraio.


Il Governo è pronto ad approvare la prima parte del Testo unico sulla sicurezza sul lavoro (vedi i precedenti articoli sul Testo unico sulla sicurezza sul lavoro 1, 2, 3) entro la fine di febbraio. Data ultima, tenendo conto che lo schema di decreto dovrà essere approvato dalle commissioni parlamentari e della Conferenza Stato-Regioni.

Secondo il ministro per la Solidarietà sociale Ferrero «al completamento della nuova legge sulla sicurezza sul lavoro manca un ultimo atto, cioè un decreto legislativo del governo, che deve poi essere approvato dalle competenti commissioni parlamentari”. Un atto, afferma Ferrero, che «in presenza di un largo accordo politico può essere fatto anche a Camere formalmente sciolte».

L’impegno arriva però dopo la rottura delle trattative con le parti sociali: infatti, al tavolo di chiusura del confronto sul Titolo I° del Testo Unico in materia di salute e sicurezza sul lavoro sindacati e datori di lavoro non sono riusciti a portare una posizione condivisa su bilateralità e rappresentanza.

L'intero articolo è disponibile su Punto Sicuro.

I controlli dell’OdV: una provocazione

di Giovanni Battisti.

Recentemente ho avuto un’interessante discussione sulle modalità di esecuzione dell’attività di controllo dell’Organismo di Vigilanza (OdV).

La mia idea in materia è classica: l’OdV deve verificare la corretta esecuzione dei controlli previsti dal “Modello di organizzazione, gestione e controllo” (Modello) e dalle procedure organizzative adottate ex D.Lgs. 231/01 (Decreto) utilizzando le tecniche proprie dell’attività di audit, determinazione di un campione di pratiche / movimento statisticamente significativo e riscontro documentale dei controlli effettuati, piuttosto che test dei controlli tramite una simulazione passo passo, piuttosto che interviste con i responsabili del processo e delle attività sensibili. Un mix di strumenti (quelli citati sono solo i principali) che l’OdV deve correttamente dosare a seconda del processo, e della sua rischiosità rilevata.
Il mio interlocutore sostiene che, assai più semplicemente, è sufficiente che l’OdV si faccia sottoscrivere una dichiarazione scritta, dal responsabile di processo, sul rispetto dei controlli previsti dal Modello aziendale e sulla loro corretta esecuzione.

Mi sono sforzato di identificare gli elementi a sostegno di questa tesi.

Come noto, il D.Lgs. 231/01 distingue [1] –ai fini dell’imputazione della responsabilità all’ente– tra reati commessi dai soggetti apicali [2] e reati commessi persone sottoposte alla direzione o alla vigilanza dei soggetti apicali.
Semplificando:

• nel primo caso, l’ente non è responsabile se ha adottato un adeguato Modello e se un apposito organismo interno ha vigilato sul suo funzionamento;
• nel secondo caso, l’ente non è responsabile se la commissione del reato non “è stata resa possibile dall'inosservanza degli obblighi di direzione o vigilanza” o se “l'ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi”.

Ergo, credo sia questo il processo logico del mio interlocutore, l’OdV non deve vigilare sulla corretta attuazione del Modello da parte delle persone sottoposte alla direzione o alla vigilanza dei soggetti apicali; saranno i soggetti apicali a dover attestare la corretta attuazione del Modello all’OdV. Mi sembra inevitabile pensare che, per dare effettività a questi controlli gerarchici, si debba scendere un po’ lungo la scala gerarchica, arrivando almeno ai responsabili di area o di funzione (qualsiasi posizione gerarchicamente sovraordinata a questi sarebbe, infatti, troppo lontana “dall’azione”).

Come detto non mi sento di condividere questa posizione, per quanto interessante.
Presuppone, infatti, l’estensione del concetto di soggetti apicali a tutti i dirigenti e responsabili di processo, il che non mi pare in linea con il testo del Decreto che specificamente identifica i soggetti apicali nelle “persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonchè da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso”.
Mi sembra inoltre più finalizzata a liberare l’OdV da una responsabilità nei confronti del Consiglio di amministrazione (“Cosa potevamo fare? I dirigenti ci hanno mentito. Ecco qua la prova!”) più che a garantire la vigilanza sul funzionamento del modello, come richiesto dal Decreto.

Sarebbe interessante sentire anche la vostra opinione: potete inviarla via e-mail o lasciare un commento qui sotto.


-----
[1] D.Lgs. 231/01, art. 5.
[2] Per soggetti apicali si intendono le “persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonchè da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso” (D.Lgs. 231/01, art. 5, co.1, let. a)

Privacy e fidelity card

Lo scorso 5 febbraio 2008 è stata pubblicata la newsletter n. 300 del Garante per la protezione dei dati personali.

Tra gli argomenti affrontati, il Garante è entrato nuovamente nel merito dell'utilizzo dei dati personali nei programmi di fidelizzazione: pertinenza dei dati raccolti, chiarezza dei moduli per la clientela, completezza delle informazioni fornite e dell'informativa ai clienti, raccolta del consenso al trattamento dei dati a fini di marketing, questi sono i principali punti affrontati.

In generale, il Garante per la protezione dei dati personali richiama alla corretta applicazione della normativa privacy e in particolare del provvedimento generale sulle "fidelity card" adottato nel febbraio del 2005.

"COBIT e ITIL, due framework compatibili"

(Notizia tratta da www.agatinogrillo.it)

Sul sito di AIEA è liberamente disponibile il white paper "COBIT e ITIL, due framework compatibili" (pdf, 2.4 M, 103 pp).

"Il documento, risultato della collaborazione attiva tra AIEA, itSMF Italia e SDA Bocconi, è un'utile guida per comprendere come utilizzare congiuntamente e proficuamente due tra i più importanti ed affermati framework per il governo e la gestione dell'IT. In particolare identifica chiaramente le aree di sinergia e, per esse, illustra quali parti dei modelli utilizzare in modo integrato e con quale approccio. Utili esempi pratici, sviluppati per specifiche aree di processo, completano lo sviluppo teorico degli argomenti. Il documento è anche un'utile guida per chi desidera una panoramica dei principali framework per la gestione dell'IT, oltre a COBIT e ITIL, e fornisce per questi ultimi una guida introduttiva per chi si avvicinasse ad essi per la prima volta. Hanno contribuito per AIEA: Orillo Narduzzo, Andrea Pederiva, Stefano Niccolini."

Struttura del D. Lgs. 19 settembre 1994 n. 626 (e s.m.i.)

D.Lgs. 19 settembre 1994 n. 626 e successive modifiche ed integrazioni
(aggiornato con le modifiche ed integrazioni apportate dal D.Lgs. 19 novembre 2007, n. 257)

TITOLO I

Capo I Disposizioni generali
art. 1 Campo di applicazione
art. 2 Definizioni
art. 3 Misure generali di tutela
art. 4 Obblighi del datore di lavoro, del dirigente e del preposto
art. 5 Obblighi dei lavoratori
art. 6 Obblighi dei progettisti, dei fabbricanti, dei fornitori e degli installatori
art. 7 Contratto di appalto o contratto d'opera

Capo II Servizio di prevenzione e protezione
art. 8 Servizio di prevenzione e protezione
art. 8 bis Capacità e requisiti professionali degli addetti e dei responsabili dei servizi di prevenzione e protezione interni o esterni
art. 9 Compiti del servizio di prevenzione e protezione
art. 10 Svolgimento diretto da parte del datore di lavoro dei compiti di prevenzione e protezione dai rischi
art. 11 Riunione periodica di prevenzione e protezione dai rischi

Capo III Prevenzione incendi, evacuazione dei lavoratori, pronto soccorso
art. 12 Disposizioni generali
art. 13 Prevenzione incendi
art. 14 Diritti dei lavoratori in caso di pericolo grave ed immediato
art. 15 Pronto soccorso

Capo IV Sorveglianza sanitaria
art. 16 Contenuto della sorveglianza sanitaria
art. 17 Il medico competente

Capo V Consultazione e partecipazione dei lavoratori
art. 18 Rappresentante per la sicurezza
art. 19 Attribuzioni del rappresentante per la sicurezza
art. 20 Organismi paritetici

Capo VI Informazione e formazione dei lavoratori
art. 21 Informazione dei lavoratori
art. 22 Formazione dei lavoratori

Capo VII Disposizioni concernenti la pubblica amministrazione
art. 23 Vigilanza
art. 24 Informazione, consulenza, assistenza
art. 25 Coordinamento
art. 26 Commissione consultiva permanente per la prevenzione degli infortuni e l'igiene del lavoro
art. 27 Comitati regionali di coordinamento
art. 28 Adeguamenti al progresso tecnico

Capo VIII Statistiche degli infortuni e delle malattie professionali
art. 29 Statistiche degli infortuni e delle malattie professionali

TITOLO II Luoghi di lavoro

art. 30 Definizioni
art. 31 Requisiti di sicurezza e di salute
art. 32 Obblighi del datore di lavoro
art. 33 Adeguamenti di norme

TITOLO III Uso delle attrezzature di lavoro
(D.Lgs. 359/99, D.Lgs. 235/03)

art. 34 Definizioni
art. 35 Obblighi del datore di lavoro
art. 36 Disposizioni concernenti le attrezzature di lavoro
art. 37 Informazione
art. 38 Formazione ed addestramento
art. 39 Obblighi dei lavoratori

TITOLO IV Uso dei dispositivi di protezione individuale

art. 40 Definizioni
art. 41 Obbligo di uso
art. 42 Requisiti dei Dpi
art. 43 Obblighi del datore di lavoro
art. 44 Obblighi dei lavoratori
art. 45 Criteri per l'individuazione e l'uso
art. 46 Norma transitoria

TITOLO V Movimentazione manuale dei carichi

art. 47 Campo di applicazione
art. 48 Obblighi dei datori di lavoro
art. 49 Informazione e formazione

TITOLO V bis Protezione da agenti fisici (rumore)
(D.Lgs. 195/06)

Capo I Disposizioni generali
art. 49 bis Campo di applicazione
art. 49 ter Definizioni
art. 49 quater Valori limiti di esposizioni e valori di azione

Capo II Obblighi del datore di lavoro
art. 49 quinquies Valutazione del rischio
art. 49 sexies Misure di prevenzione e protezione
art. 49 septies Uso dei dispositivi di protezione individuale
art. 49 octies Misure per la limitazione dell'esposizione
art. 49 nonies Informazione e formazione dei lavoratori
art. 49 decies Sorveglianza Sanitaria
art. 49 undecies Deroghe
art. 49 duodecies Linee Guida

TITOLO V ter Protezione da agenti fisici (campi elettromagnetici)
(D.Lgs. 257/07)

Capo I Disposizioni generali
art. 49 terdecies Campo di applicazione
art. 49 quaterdecies Definizioni
art. 49 quindecies Valori limiti di esposizioni e valori di azione

Capo II Obblighi del datore di lavoro
art. 49 sexiesdecies Identificazione dell'esposizione e valutazione dei rischi
art. 49 septiesdecies Misure di prevenzione e protezione
art. 49 octiesdecies Informazione e formazione dei lavoratori
art. 49 noviesdecies Sorveglianza Sanitaria
art. 49 vicies Cartelle di Rischio

TITOLO VI Uso di attrezzature munite di videoterminali con modifiche ed integrazioni
(L. 422/2000)

art. 50 Campo di applicazione
art. 51 Definizioni
art. 52 Obblighi del datore di lavoro
art. 53 Organizzazione del lavoro
art. 54 Svolgimento quotidiano del lavoro
art. 55 Sorveglianza sanitaria
art. 56 Informazione e formazione
art. 57 Consultazione e partecipazione
art. 58 Adeguamento alle norme
art. 59 Caratteristiche tecniche

TITOLO VII Protezione da agenti cancerogeni e mutageni
(D.Lgs. 66/2000)

Capo I Disposizioni generali
art. 60 Campo di applicazione
art. 61 Definizioni

Capo II Obblighi del datore di lavoro
art. 62 Sostituzione e riduzione
art. 63 Valutazione del rischio
art. 64 Misure tecniche, organizzative, procedurali
art. 65 Misure igieniche
art. 66 Informazione e formazione
art. 67 Esposizione non prevedibile
art. 68 Operazioni lavorative particolari

Capo III Sorveglianza sanitaria
art. 69 Accertamenti sanitari e norme preventive e protettive specifiche
art. 70 Registro di esposizione e cartelle sanitarie
art. 71 Registrazione dei tumori
art. 72 Adeguamenti normativi

TITOLO VII bis Protezione da agenti chimici
(D.Lgs. 25/02)

Art. 60-bis Campo di applicazione
Art. 60 ter Definizioni
Art. 60 quater Valutazione dei rischi
Art. 60 quinquies Misure e principi generali per la prevenzione dei rischi
Art. 60 sexies Misure specifiche di protezione e di prevenzione
Art. 60 septies Disposizioni in caso di incidenti o di emergenze
Art. 60 octies Informazione e formazione per i lavoratori
Art. 60 novies Divieti
Art. 60 decies Sorveglianza sanitaria
Art. 60 undecies Cartelle sanitarie e di rischio
Art. 60 duodecies Consultazione e partecipazione dei lavoratori
Art. 60 terdecies Adeguamenti normativi

TITOLO VIII Protezione da agenti biologici

Capo I Disposizioni generali
art. 73 Campo di applicazione
art. 74 Definizioni
art. 75 Classificazione degli agenti biologici
art. 76 Comunicazione
art. 77 Autorizzazione

Capo II Obblighi dei datori di lavoro
art. 78 Valutazione del rischio
art. 79 Misure tecniche, organizzative, procedurali
art. 80 Misure igieniche
art. 81 Misure specifiche per le strutture sanitarie e veterinarie
art. 82 Misure specifiche per i laboratori e gli stabulari
art. 83 Misure specifiche per i processi industriali
art. 84 Misure di emergenza
art. 85 Informazioni e formazione

Capo III Sorveglianza sanitaria
art. 86 Prevenzione e controllo
art. 87 Registri degli esposti e degli eventi accidentali
art. 88 Registro dei casi di malattia e di decesso

TITOLO VIII bis Protezione da atmosfere esplosive
(D.Lgs. 233/03)

art. 88-bis Campo di applicazione
art. 88 ter Definizioni
art. 88 quater Prevenzione e Protezione contro le esplosioni
art. 88 quinquies Valutazione dei rischi di esplosione
art. 88 sexies Obblighi generali
art. 88 septies Coordinamento
art. 88 octies Aree in cui possono formarsi atmosfere esplosive
art. 88 novies Documento sulla protezione contro le esplosioni
art. 88 decies Termini per l'adeguamento
art. 88 undecies Verifiche

TITOLO IX Sanzioni

art. 89 Contravvenzioni commesse dai datori di lavoro e dai dirigenti
art. 90 Contravvenzioni commesse dai preposti
art. 91 Contravvenzioni commesse dai commercianti e dagli installatori
art. 92 Contravvenzioni commesse dal medico competente
art. 93 Contravvenzioni commesse dai lavoratori
art. 94 Violazioni amministrative

TITOLO X Disposizioni transitorie e finali

art. 95 Norma transitoria
art. 96
art. 96 bis
art. 97 Obblighi d'informazione
art. 98 Norma finale


Allegato I - Casi in cui è consentito lo svolgimento diretto da parte dei datore di lavoro dei compiti di prevenzione e protezione dai rischi
Allegato II - Prescrizioni di sicurezza e di salute per i luoghi di lavoro
Allegato III - Schema indicativo per l'inventario dei rischi ai fini dell'impiego delle attrezzature di protezione individuale
Allegato IV - Elenco indicativo e non esauriente delle attrezzature di protezione individuale
Allegato V - Elenco indicativo delle attività e dei settori di attività per i quali può rendersi necessario mettere a disposizione attrezzature di protezione individuale
Allegato VI - Elementi di riferimento
Allegato VI bis - (D.Lgs. 257/07)
Allegato VII - Prescrizioni minime
Allegato VIII - Elenco di sostanza, preparati e processi (D.Lgs. 25/02 n. 25)
Allegato VIII bis - Valori limite di esposizione professionale (D.Lgs. 25/02)
Allegato VIII ter - Valori limite di esposizione professionale (D.Lgs. 25/02)
Allegato VIII quater - Valori limite biologici obbligatori e procedure di sorveglianza sanitaria (D.Lgs. 25/02)
Allegato VIII quinquies - Divieti (D.Lgs. 25/02)
Allegato VIII sexties - (D.Lgs. 25/02)
Allegato IX - Elenco esemplificativo di attività lavorative che possono comportare la presenza di agenti biologici
Allegato X - Segnale di rischio biologico
Allegato XI - Elenco degli agenti biologici classificati
Allegato XII - Specifiche sulle misure di contenimento e sul livello di contenimento
Allegato XIII - specifiche per processi industriali
Allegato XIV - Elenco delle attrezzature da sottoporre a verifica (D.Lgs. 359/1999)
Allegato XV - Prescrizioni supplementari applicabili alle attrezzature di lavoro specifiche (D.Lgs. 359/1999)
Allegato XV bis -Ripartizione delle aree in cui possono formarsi atmosfere esplosive (D.Lgs. 233/03)
Allegato XV ter - Prescrizioni minime per il miglioramento della protezione della e della salute dei lavoratori che possono essere esposti al rischio di atmosfere esplosive (D.Lgs. 233/03)
Allegato XV quater - Segnale per le aree in cui possono formarsi atmosfere esplosive (D.Lgs. 233/03)

Privacy: Sicurezza dei dati di traffico telefonico e telematico

Privacy, tabulati sotto chiave: il Garante con un Provvedimento generale detta ai gestori le regole per la tenuta dei dati di traffico telefonico e Internet.

di Matteo Colombo - notizia tratta dal sito del Garante Privacy.


Con un provvedimento generale il Garante per la protezione dei dati personali, dando attuazione a quanto previsto dal c.d. Codice Privacy, ha fissato le regole di base per la messa in sicurezza dei dati del traffico telefonico e di Internet, conservati dai gestori per finalità di accertamento e repressione dei reati e per le altre finalità ammesse dalla normativa.

Il Garante ha infatti imposto ai gestori di servizi telefonici e telematici l'adozione di misure tecniche e organizzative per garantire un elevato livello di protezione, comune a tutto il settore dei servizi di comunicazione elettronica.
I dati di traffico telefonico e Internet (numero chiamato; data, ora e durata della chiamata; localizzazione del chiamante nel caso del cellulare; dati inerenti gli sms o mms; indirizzi e-mail contattati; data, ora e durata degli accessi alla rete), pur non riguardando il contenuto, sono infatti particolarmente delicati e consentono di ricostruire tutte le relazioni di una persona e le sue abitudini.

É bene ricordare che in Italia, dopo la recente proroga del cosiddetto "pacchetto Pisanu", il periodo di conservazione di questi dati a fini di giustizia toccherà gli 8 anni per il traffico telefonico e quasi 4 per quello telematico.

Le prescrizioni impartite riguardano in particolare i seguenti ambiti:

1. Accesso ai dati;
2. Accesso ai locali;
3. Sistemi di autorizzazione
4. Tracciamento dell'attività del personale incaricato;
5. Conservazione separata dei dati;
6. Cancellazione dei dati;
7. Controlli interni;
8. Sistemi di cifratura.

I gestori telefonici e i fornitori di servizi di comunicazione elettronica dovranno applicare tali misure entro il 31 ottobre 2008. L'applicazione di alcune di esse viene disposta dal Garante anche alla conservazione dei dati per finalità non di giustizia, ma di fatturazione, commercializzazione di servizi, statistica etc., al fine di favorire un quadro più ampio di sicurezza di dati e sistemi.

Restano esclusi dall'ambito di applicazione di queste regole - sia perché non assimilabili a veri e propri gestori di servizi TLC e di comunicazione elettronica sia per evitare ingiustificate conservazioni di dati - i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete ("content provider"), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.

Sul sito del Garante è possibile visionare l’intero Provvedimento di prossima pubblicazione sulla Gazzetta Ufficiale.