Glossario Sicurezza, HACCP e Privacy

Il Documento di Valutazione dei Rischi (DVR) è previsto dagli artt. 17, 28 e 29 del D.Lgs 81/08 ed è obbligatorio per qualunque azienda con almeno un lavoratore (incluso socio lavoratore, apprendista, tirocinante). Contiene l'analisi dei pericoli, la valutazione dei rischi, le misure di prevenzione adottate, il programma di miglioramento, l'organigramma della sicurezza e le procedure operative.

Va aggiornato ad ogni modifica significativa del processo produttivo, in caso di infortunio grave, su prescrizione dell'organo di vigilanza o quando i risultati della sorveglianza sanitaria lo richiedano. La mancata redazione comporta arresto da 3 a 6 mesi o ammenda da 2.500 a 6.400 euro per il datore di lavoro.

Il Responsabile del Servizio Prevenzione e Protezione (RSPP) può essere interno (dipendente formato) o esterno (consulente). Il datore di lavoro stesso può ricoprire il ruolo nelle aziende fino a determinate dimensioni (Allegato II D.Lgs 81/08), previa formazione specifica.

Le competenze richieste sono definite dall'Accordo Stato-Regioni: modulo A (28 ore base), B (specifico per macrosettore ATECO, 24-68 ore) e C (24 ore solo per RSPP). Aggiornamento quinquennale obbligatorio (40 ore in 5 anni).

Il Rappresentante dei Lavoratori per la Sicurezza (RLS) viene eletto direttamente dai lavoratori nelle aziende fino a 15 dipendenti, oppure nell'ambito delle RSU nelle aziende più grandi. Deve essere consultato preventivamente sulla valutazione dei rischi, sulla designazione del RSPP/ASPP e degli addetti emergenze, sull'organizzazione della formazione.

Ha diritto a 32 ore di formazione iniziale e aggiornamento annuale (4 ore in aziende fino a 50 lavoratori, 8 ore oltre). Le aziende che non hanno RLS interno devono ricorrere all'RLST (territoriale).

L'Addetto al Servizio Prevenzione e Protezione (ASPP) è una figura facoltativa ma necessaria in realtà complesse. Richiede formazione di base (Modulo A 28h) + Modulo B specifico per il macrosettore ATECO (24-68 ore). Non è obbligato a frequentare il Modulo C che è riservato al solo RSPP.

Il Medico Competente (MC) è obbligatorio quando dalla valutazione dei rischi emergano rischi specifici per la salute (rumore, vibrazioni, movimentazione manuale carichi, videoterminali oltre 20 ore settimanali, agenti chimici, biologici, cancerogeni, lavoro notturno).

Effettua visite mediche preventive, periodiche, su richiesta del lavoratore, al rientro da assenze superiori a 60 giorni e al cambio mansione. Collabora alla valutazione dei rischi, redige il protocollo sanitario e la relazione annuale per il datore di lavoro.

I Dispositivi di Protezione Individuale (DPI) sono classificati in tre categorie in base alla gravità del rischio: I (rischi minori, es. guanti da giardinaggio), II (rischi intermedi, es. caschi da cantiere), III (rischi gravi/mortali, es. imbragature anticaduta, autorespiratori). Per la categoria III è obbligatorio un addestramento specifico.

Il datore di lavoro deve fornire i DPI gratuitamente, verificarne l'efficienza, sostituirli quando deteriorati e formare/addestrare i lavoratori al corretto utilizzo.

Il Piano Operativo di Sicurezza (POS) integra il PSC (Piano di Sicurezza e Coordinamento) ed è obbligatorio per tutte le imprese che operano in un cantiere edile o di ingegneria civile soggetto al Titolo IV del D.Lgs 81/08. Contiene anagrafica impresa, organigramma, mansioni, valutazione dei rischi specifici delle lavorazioni, misure preventive e protettive, DPI utilizzati, formazione del personale.

Il Documento Unico di Valutazione dei Rischi da Interferenze (DUVRI) è obbligatorio per appalti, contratti d'opera o di somministrazione superiori a 5 giorni-uomo o che presentano rischi specifici (cancerogeni, biologici, atmosfere esplosive, ecc.). Non è richiesto per servizi di natura intellettuale, mere forniture di materiali o lavori in cantiere già regolati da PSC.

Il Decreto Legislativo 9 aprile 2008 n. 81 (Testo Unico Sicurezza Lavoro o "TUSL") attua la direttiva quadro europea 89/391/CEE. Si compone di 13 Titoli che disciplinano: principi generali (Titolo I), luoghi di lavoro, attrezzature, DPI, segnaletica, movimentazione manuale carichi, videoterminali, agenti fisici, sostanze pericolose, agenti biologici, atmosfere esplosive, cantieri temporanei.

Si applica a tutti i settori privati e pubblici, a tutti i lavoratori e lavoratrici, subordinati e autonomi, con le particolarità previste per ciascuna categoria. Le sanzioni sono sia amministrative sia penali (arresto fino a 8 mesi per il datore di lavoro per omessa valutazione dei rischi).

Le direttive ATEX (2014/34/UE per le attrezzature e 1999/92/CE recepita dal Titolo XI D.Lgs 81/08 per la protezione dei lavoratori) si applicano a tutti gli ambienti dove possono formarsi miscele esplosive di gas, vapori, nebbie o polveri: distributori di carburante, panifici, mulini, verniciatura, settore chimico, depositi di solventi.

Il datore di lavoro deve classificare le aree in zone (0/1/2 per gas, 20/21/22 per polveri), redigere il Documento sulla Protezione contro le Esplosioni (DPE), utilizzare solo attrezzature certificate ATEX e formare il personale.

Il DPR 22 ottobre 2001 n. 462 obbliga il datore di lavoro a far verificare gli impianti elettrici di messa a terra ogni 2 anni (ambienti a maggior rischio: cantieri, locali medici, luoghi con pericolo esplosione) oppure ogni 5 anni negli altri casi. La verifica deve essere eseguita da ASL/ARPA o da Organismi Abilitati dal Ministero dello Sviluppo Economico.

La prima verifica (omologazione) va richiesta entro 30 giorni dalla messa in esercizio. La mancata denuncia o verifica espone a sanzioni penali a carico del datore di lavoro.

L'Hazard Analysis and Critical Control Points (HACCP) è stato reso obbligatorio nell'UE dal Reg. CE 852/2004 e si fonda sui 7 principi del Codex Alimentarius: analisi dei pericoli, identificazione dei CCP, definizione dei limiti critici, monitoraggio, azioni correttive, verifica, documentazione.

Ogni impresa alimentare deve dotarsi di un Manuale di Autocontrollo che descriva flussi, pericoli, CCP, monitoraggi, registri e formazione del personale. Le ispezioni ASL/NAS verificano l'applicazione concreta del piano, non solo la presenza del documento.

I Critical Control Points (CCP) vengono identificati tramite il decision tree del Codex Alimentarius. Tipici CCP nella ristorazione sono: cottura (temperatura al cuore ≥ 75°C), abbattimento (da +65°C a +10°C in max 2 ore), conservazione a freddo (≤ +4°C per fresco, ≤ -18°C per surgelato).

Per ogni CCP devono essere definiti: limiti critici misurabili, procedure di monitoraggio, azioni correttive in caso di scostamento, registri di monitoraggio e verifica.

L'Operatore del Settore Alimentare (OSA) è definito dal Reg. CE 178/2002 ed è il titolare/legale rappresentante dell'impresa alimentare. È responsabile della sicurezza degli alimenti prodotti, manipolati, distribuiti o somministrati e ha l'obbligo di implementare e mantenere procedure basate sui principi HACCP.

Il Regolamento (CE) n. 852/2004 del Parlamento Europeo è il pilastro del cosiddetto "pacchetto igiene". Si applica a tutte le fasi della produzione, trasformazione e distribuzione degli alimenti, esclusa la produzione primaria per uso domestico. Stabilisce requisiti strutturali per i locali, igiene del personale, formazione, gestione rifiuti, approvvigionamento idrico e disinfestazione.

Istituito nel 1963, il Codex Alimentarius è gestito dalla Commissione FAO/OMS e raccoglie norme di prodotto, codici di buone pratiche igieniche, limiti massimi di contaminanti e residui, linee guida per l'etichettatura. I principi HACCP del Codex (CAC/RCP 1-1969 Rev. 4-2003) sono recepiti dall'UE nel Reg. CE 852/2004.

La shelf life si traduce sull'etichetta nelle diciture "da consumarsi entro" (TMC, prodotti deperibili, obbligo di rispetto rigoroso) o "da consumarsi preferibilmente entro" (TMC, prodotti meno deperibili, indicativo). L'OSA è responsabile di validare la shelf life dichiarata tramite challenge test, analisi microbiologiche periodiche, valutazione delle condizioni di conservazione lungo la filiera.

Il Reg. UE 2016/679 è in vigore dal 25 maggio 2018 e ha sostituito le precedenti normative nazionali. In Italia è integrato dal D.Lgs 196/2003 (Codice Privacy) come modificato dal D.Lgs 101/2018. Principi cardine: liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione conservazione, integrità e riservatezza, responsabilizzazione (accountability).

Le sanzioni amministrative arrivano fino a 20 milioni di euro o al 4% del fatturato annuo mondiale. Si applica anche a titolari extra-UE che trattano dati di interessati nell'UE.

Il Data Protection Officer (DPO o RPD) è obbligatorio quando l'attività principale richiede monitoraggio sistematico su larga scala degli interessati (es. ospedali, banche, telco) o trattamento di categorie particolari di dati su larga scala, oppure per tutte le autorità ed enti pubblici. Può essere interno o esterno, ma deve essere indipendente e libero da conflitti di interesse.

I suoi recapiti vanno comunicati al Garante Privacy e pubblicati (es. nella privacy policy aziendale).

La Data Protection Impact Assessment (DPIA o Valutazione d'Impatto) è prevista dall'art. 35 GDPR. È obbligatoria, ad esempio, in caso di valutazione sistematica automatizzata (profilazione), trattamento su larga scala di categorie particolari di dati, monitoraggio sistematico di aree pubbliche. Deve contenere: descrizione del trattamento, valutazione di necessità e proporzionalità, identificazione dei rischi, misure di mitigazione.

La figura dell'"Autorizzato al trattamento" sostituisce nel lessico italiano post-GDPR quella del vecchio "incaricato" del D.Lgs 196/2003. Tipicamente sono i dipendenti dell'azienda. Devono essere designati per iscritto e formati su istruzioni operative, finalità, base giuridica, obbligo di riservatezza, gestione data breach, esercizio dei diritti degli interessati.

In caso di data breach, il titolare deve notificare la violazione al Garante Privacy entro 72 ore dalla scoperta, salvo che non sia improbabile che presenti rischi per i diritti e le libertà delle persone fisiche. Se il rischio è elevato, va comunicato anche agli interessati con linguaggio chiaro.

È obbligatorio tenere un registro interno di tutte le violazioni (anche quelle non notificate al Garante), con descrizione, conseguenze, misure adottate.

La Segnalazione Certificata di Inizio Attività (SCIA) è disciplinata dall'art. 19 della L. 241/1990. Per le attività alimentari sostituisce la vecchia autorizzazione sanitaria e viene presentata al SUAP del Comune competente. Deve essere corredata dalla notifica sanitaria ai sensi del Reg. CE 852/2004 e dalle dichiarazioni di conformità di locali, impianti e attrezzature.

I Servizi di Igiene degli Alimenti e Nutrizione (SIAN) e i Servizi Veterinari delle ASL effettuano le ispezioni di routine su locali alimentari, autocontrollo HACCP, tracciabilità. I NAS (Nuclei Antisofisticazioni e Sanità) intervengono su segnalazione, indagini, controlli straordinari, e possono procedere a sequestri e denunce penali.

Lo SPRESAL (Servizio Prevenzione e Sicurezza degli Ambienti di Lavoro) delle ASL è invece l'organo di vigilanza sulla sicurezza sul lavoro (D.Lgs 81/08).