SlideShare a Scribd company logo

News SSL 43 2017

Roberta Culiersi
Roberta Culiersi

Il Notiziario Mamò con le principali novità in materia di Lavoro e Sicurezza sul Lavoro. Per Imprese e Utenti intelligenti.

Healthcare
1 of 14
News 43/SSL/2017 Lunedì, 23 ottobre 2017 I rischi principali dei dati personali archiviati in database. La maggior parte dei dati personali sono custoditi in data base interni alle aziende o affidati a soggetti terzi (cloud). Quali sono i rischi principali che i responsabili del trattamento e il responsabile della protezione dei dati debbono esaminare? Un recente studio di un’azienda specializzata ha messo in evidenza che il 95% delle violazioni di dati personali avvengono presso basi dei dati. Il numero di dati personali coinvolti in questa violazione ha superato abbondantemente il quarto di milione, nell’ultima ricerca effettuata. Le ragioni per cui i database sono presi di mira dagli attaccanti è molto semplice: questi database sono alla base di ogni organizzazione, perché custodiscono dati personali di clienti ed altre informazioni riservate. Purtroppo a questa grande importanza dei dati custoditi nei database non corrisponde una sufficiente professionalità ed un adeguato investimento nella protezione dei dati stessi. Questo è il motivo perché in cui, secondo un altro recente studio, il 97% delle violazioni avrebbe potuto essere prevenuto con relativa facilità, adottando semplici misure di protezione e di controllo. Offriamo di seguito un elenco delle 10 principali minacce che sono state evidenziate in questo studio: privilegi di accesso eccessivi o non utilizzati abuso di privilegi di accesso iniezione di SQL malware debolezza dell’audit trail mancata protezione dei supporti fisici di archiviazione sfruttamento di vulnerabilità o inadeguate configurazioni dei database insufficiente gestione di dati sensibili negazione di servizio insufficiente preparazione ed educazione del personale addetto alla protezione. Privilegi di accesso eccessivi o non utilizzati Quando ad un incaricato del trattamento viene concesso l’utilizzo di un profilo di
accesso che eccede le esigenze minime, connesse alla sua funzione aziendale, si apre la porta a possibili abusi. Ad esempio, un dipendente bancario che sia incaricato di cambiare solo le informazioni di contatto con un cliente, se ha a disposizione un privilegio di accesso eccessivo, potrebbe intervenire anche sulla disponibilità del conto ed effettuare trasferimenti non autorizzati. Inoltre, l’esperienza insegna che spesso, quando un dipendente abbandona l’azienda, l’azienda non provvede all’immediata cancellazione dei suoi privilegi di accesso. Questa situazione è dovuta, per solito, alla mancata effettuazione, almeno a scadenze periodiche di alcuni mesi, della validità e legittimità dei profili di accesso, nonché di verifica critica dei privilegi di accesso stessi. Abuso di privilegio Si tratta di un’altra forma di abuso, che è diretta conseguenza del caso precedente. Supponiamo ad esempio che un applicativo possa permettere di esaminare la cartella clinica di un paziente, attraverso un collegamento Web. L’applicazione Web normalmente limita gli utenti ad esaminare soltanto la storia sanitaria di uno specifico paziente e non possono essere esaminate contemporaneamente le cartelle sanitarie di più pazienti. Tuttavia un hacker, anche non particolarmente esperto, può aggirare questi vincoli collegandosi al database sotto forma di cliente alternativo. È così possibile scaricare e salvare tutte le cartelle sanitarie dei pazienti, per i quali si è ottenuto l’accesso. Iniezione di codici SQL Un attacco con iniezione di codici SQL può consentire ad un soggetto terzo di avere un accesso illimitato all’intero database. Questo attacco può essere perpetrato utilizzando applicazioni Web, in grado di penetrare il data base, non sufficientemente protetto. Con questa violazione, i dati personali critici possono essere esaminati, copiati e perfino modificati. Malware I criminali informatici usano tecniche di attacco che utilizzano modalità multiple, che possono consentire di penetrare all’interno dei database e sottrarre informazioni riservate. Gli utenti legittimi, che non si rendono conto che il malware ha infettato i loro dispositivi di accesso, diventano un canale di collegamento, che facilmente permette di estrarre dati sensibili.
Audit trail insoddisfacenti La registrazione automatica di tutte le transazioni che coinvolgono i database dovrebbe far parte di qualsiasi architettura di sicurezza di un database. Se non si è a disposizione una dettagliata registrazione delle attività di collegamento al database ci si trova in una situazione di rischio estremamente elevata. Le organizzazioni che non dispongono di questi meccanismi di audit dell’accesso al database potrebbero anche trovarsi in difficoltà nel rispettare indicazioni specifiche, che vengono poste dalle aziende pubbliche e delle autorità di governo. Ad esempio, negli Stati Uniti esiste una legge che specificamente impone che questi meccanismi di protezione siano attivi, a pena di severe sanzioni. È ben vero che molti fornitori di database mettono a disposizione dei sistemi di tracciamento degli accessi, ma occorre vedere se questi dispositivi sono sufficientemente efficaci e se hanno, in caso di violazione, un soddisfacente valore probatorio, a fronte di una indagine criminologica. Quando poi gli utenti si collegano al database attraverso delle applicazioni Web potrebbe essere ancora più difficile capire se e come l’accesso sia legittimo, almeno nei confronti di uno specifico utente. Molti meccanismi di audit non sono in grado di individuare chi è l’utente finale, perché tutta l’attività è associata con il nome, cui il profilo di accesso si riferisce. Infine non dimentichiamo che anche un utente, con accesso a livello di amministratore, potrebbe accidentalmente o dolosamente neutralizzare i sistemi di protezione esistenti per nascondere attività fraudolente. Il compito di effettuare attività di audit dovrebbe essere sempre separato da quello degli amministratori del database, per garantire un controllo incrociato soddisfacente. Mancata protezione dei supporti fisici di archiviazione Spesso i supporti di backup non sono sufficientemente protetti da attacchi ed ecco la ragione per cui numerose violazioni di sicurezza sono state collegate al furto di dischi e nastri di backup. A questo fatto si aggiunge anche l’insoddisfacente controllo e monitoraggio delle attività degli amministratori, che hanno accesso a informazioni sensibili. Occorre ricordarsi sempre che le misure appropriate per proteggere le copie di backup di dati sensibili devono essere di alto livello, non solo per garantire la protezione, ma anche per garantire il rispetto di specifiche disposizioni di legge. Sfruttamento di vulnerabilità o inadeguate configurazioni del data base È purtroppo frequente il fatto che ci si trovi davanti a database e che hanno dei conti di accesso di default e dei parametri di configurazione, che non sono stati
personalizzati, per soddisfare esigenze specifiche dell’utente. Gli attaccanti sanno bene come sfruttare queste debolezze per lanciare attacchi contro i dati ivi custoditi. A loro vantaggio gioca anche una possibile pigrizia da parte del responsabile della protezione del data base, che non applica gli interventi correttivi, messi a disposizione, ad esempio, dal fornitore del database. L’esperienza ha dimostrato che, una volta che un intervento correttivo è disponibile, alcune aziende ci mettono dei mesi per attivare queste attività protettive. Insufficiente gestione dei dati sensibili Se l’azienda non sa esattamente dove si trovano i dati sensibili, che devono avere un maggior livello di protezione, nell’ambito del database, diventa difficile adottare misure specifiche di protezione. Al proposito, si ricorda che tutte le disposizioni di legge in materia di dati personali fanno obbligo di adattare il livello di protezione alle criticità e sensibilità del dato in questione. Negazione del servizio La negazione di servizio è una categoria generale di attacco informatico, che impedisce agli utenti di collegarsi alle applicazioni ed ai dati. Queste tecniche di attacco possono essere attuate in vari modi. La tecnica più corrente, almeno con riferimento ai database, è quella di sovraccaricare le risorse del server inviando numerose richieste di accesso al database, che alla fine portano al blocco del server. I motivi legati a questa tipologia di attacco sono spesso collegati a tentativi di estorsione, in cui un attaccante remoto blocca ripetutamente il server, finché non ottiene la somma richiesta. È bene ricordare che questo tipo di attacco rappresenta uno dei rischi maggiori per qualsiasi organizzazione. Insufficiente esperienza e preparazione del personale addetto alla protezione dei dati Purtroppo non sempre i soggetti, cui è affidata la responsabilità di tenere sotto controllo ed aggiornare la sicurezza di database, hanno ricevuto una sufficiente preparazione e hanno partecipato a periodici corsi di aggiornamento, che permettano di tenere la loro formazione sempre allineata con l’evoluzione delle tecniche di attacco. Una recente indagine ha messo in evidenza che il 75% delle aziende interpellate ha sofferto delle perdite dovute al fatto che le politiche di sicurezza non erano state comprese a fondo, mentre addirittura la metà delle piccole aziende interpellate ha confessato di non avere in atto un programma per educare il proprio personale su questi rischi, afferenti alla sicurezza e protezione dei dati.
Conclusioni Alla luce di queste informazioni, sollecitiamo i responsabili del trattamento ed i responsabili della protezione dei dati ad effettuare una verifica dei database affidati alle loro cure per esaminare, grazie ad un’appropriata analisi di rischio informatico, se il livello di protezione assicurato è compatibile con quanto il regolamento generale europeo impone e il buon senso raccomanda. Adalberto Biasiotti Fonte: puntosicuro.it Rischi cancerogeni: le indicazioni del D.Lgs 81/08 e dell’INAIL. Disponibile un applicativo nella sezione del portale Inail dedicata ai servizi on line e alcune FAQ con le risposte dell’istituto. Quali sono gli obblighi del datore di lavoro? Quali sono le indicazini del D.lgs. 81/2008? Il tema dell’epidemiologia dell’ esposizione ad agenti cancerogeni in ambito professionale e delle neoplasie correlate è complesso per diverse ragioni, fra le quali il lungo periodo di latenza tra esposizione ed insorgenza dei sintomi patologici, la multifattorialità nell’eziopatogenesi tumorale che non consente di isolare facilmente il rischio esclusivamente professionale e la difficoltà nel redigere anamnesi accurate. Il d.lgs. 81/2008 individua nell'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale e nelle Unità sanitarie locali i soggetti istituzionali deputati alla gestione dei flussi informativi relativi alla tenuta e l'aggiornamento dei registri indicanti i livelli di esposizione dei soggetti ad agenti cancerogeni, agli elenchi di lavoratori esposti e alle cartelle sanitarie e di rischio. Le modalità di tenuta del registro e di trasmissione dei dati all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, sono definiti dal d.m. 155/2007. In particolare, il datore di lavoro deve:  consegnare copia dei registri di esposizione e delle variazioni intervenute ogni tre anni e comunque ogni qualvolta l'Istituto ne faccia richiesta;  comunicare la cessazione del rapporto di lavoro, con le variazioni sopravvenute dall'ultima comunicazione;  consegnare il registro in caso di cessazione dell'attività dell'impresa;  richiedere copia delle annotazioni individuali in caso di assunzione dei lavoratori che abbiano esercitato attività che comportano l'iscrizione ai registri.
Obiettivo dell'accentramento della documentazione è quello di mantenere traccia delle esposizioni subite dal lavoratore anche nel passaggio tra aziende diverse in modo tale da tutelare il lavoratore dal rischio di perdere la traccia di tutte le esposizione subite. L'importanza di mantenere l'integrità della "storia" dei livelli di esposizione del lavoratore è sostanzialmente legata all'effetto di accumulo delle sostanze tossiche nell'organismo umano. L’Istituto, in questo ambito, ha istituito ed aggiorna costantemente un sistema di registrazione delle esposizioni professionali ad agenti cancerogeni. La costituzione dei registri sopra citati, permette all'istituto di effettuare un'efficace azione di monitoraggio nazionale sui temi dell'esposizione a cancerogeni negli ambienti di lavoro. A seguito dell’entrata in vigore del Decreto interministeriale n. 183 del 25 maggio 2016 recante le regole tecniche per il funzionamento del Sinp, dal 12 ottobre 2017 è previsto che la trasmissione dei registri di esposizione a cancerogeni avvenga esclusivamente per via telematica. A questo scopo l’Istituto ha predisposto, per i titolari di posizione assicurativa, un applicativo disponibile nella sezione del portale Inail dedicata ai servizi on line. Prevenzione : Moduli e modelli specifici di sezione Sistema informativo e acquisizione dei dati Il sistema informativo Sirep rappresenta lo strumento di governo che consente la gestione ed il controllo dei dati di esposizione e di patologia previsti dalle nuove norme prevenzionali emanate in recepimento di Direttive comunitarie in materia di sicurezza e salute nei luoghi di lavoro. La base informativa di riferimento è completa di tutti gli elementi che garantiscono la conoscenza delle informazioni relative alle aziende, agli addetti, alle cartelle sanitarie, agli agenti di rischio ed alle patologie da lavoro, aggiornata rispetto alle variazioni riguardanti le singole aziende, i lavoratori, i risultati delle visite periodiche, gli aggiornamenti inerenti sia le definizioni diagnostiche che anamnestiche, congruente ed integrata in modo che le informazioni "catturate" in ogni parte del sistema siano veicolate verso le altre, senza aggravio di attività di utente e utilizzando relazioni, canali ed interfacce informative predisposte. Le caratteristiche fondamentali del Sirep possono essere così riassunte: 1.il sistema è articolato in un numero di entità e relazioni da consentire la registrazione e la storicizzazione di tutte le informazioni necessarie; 2.il sistema è suddiviso in una serie di sottoinsiemi autonomi che presentano modelli di acquisizione dei dati del tutto simili ai moduli cartacei; 3.è eliminata qualsiasi ridondanza sui dati registrati che non sia funzionale
all'organizzazione in sottoinsiemi; 4.sono utilizzati strumenti di accesso ai dati (SQL) supportati da linguaggi non procedurali ed adatti a qualsiasi utente per poter effettuare richieste informative senza alcuna rigidità di tipo organizzativo e tecnologico; 5.è garantita la sicurezza e la riservatezza delle informazioni trattate. Relativamente alle modalità di trasmissione dei dati da parte del datore di lavoro all’Inail ed ai servizi territoriali di competenza, a seguito dell’entrata in vigore del Decreto interministeriale n. 183 del 25 maggio 2016 recante le regole tecniche per il funzionamento del Sinp, dal 12 ottobre 2017 è previsto che la trasmissione dei registri di esposizione a cancerogeni avvenga esclusivamente per via telematica. A questo scopo l’Istituto ha predisposto un applicativo disponibile nella sezione del portale Inail dedicata ai servizi on line, che sarà immediatamente fruibile dai titolari di posizione assicurativa. L’utilizzo di tale applicativo consente ai datori di lavoro di assolvere l’obbligo di invio dei registri verso Inail e Asl competenti con un'unica procedura. FAQ 1. Chi deve istituire il registro dei lavoratori esposti ad agenti cancerogeni? Il datore di lavoro, ai sensi dell'art. 243 comma 1 del d.lgs. 81/2008 e dell'art. 2 comma 1 del d.m. 155/2007, istituisce, aggiorna e cura la tenuta, per il tramite del medico competente, di un registro dei lavoratori esposti ad agenti cancerogeni conformemente al modello di cui all' allegato 1 del d.m. 155/2007. 2. Quali lavoratori devono essere iscritti nel registro? Tutti i lavoratori sottoposti a sorveglianza sanitaria, come previsto dall'art. 242, comma 1, del d.lgs. 81/2008, sono iscritti nel registro. I lavoratori sottoposti a sorveglianza sanitaria sono tutti quelli per i quali la valutazione di cui all' art. 236, d.lgs. 81/2008 ha evidenziato un rischio per la salute. 3. Quali sono le modalità di istituzione del registro? Il registro deve essere compilato conformemente al modello di cui all'allegato 1 del d.m. 155/2007. Esso è costituito da fogli legati e numerati progressivamente e sulla prima pagina del registro stesso, il datore di lavoro appone la propria sottoscrizione. 4. Quali sono le modalità di invio del registro?
A seguito dell’entrata in vigore del Decreto interministeriale n. 183 del 25 maggio 2016 recante le regole tecniche per il funzionamento del Sinp, dal 12 ottobre 2017 è previsto che la trasmissione dei registri di esposizione a cancerogeni avvenga esclusivamente per via telematica. A questo scopo l’Istituto ha predisposto un applicativo disponibile nella sezione del portale Inail dedicata ai servizi on line, che sarà immediatamente disponibile per i titolari di posizione assicurativa. L’utilizzo di tale applicativo consente ai datori di lavoro di assolvere l’obbligo di invio dei registri verso Inail e Asl competenti con un'unica procedura. Per i soggetti destinatari dell’obbligo non titolari di posizione assicurativa presso l’Istituto, in attesa di poter accedere all’applicativo, è consentito l’invio dei registri in formato elettronico tramite Pec all'indirizzo dmil@postacert.inail.it e all’indirizzo di posta certificata della Asl territorialmente competente sulla base dell’unità produttiva. 5. Quali sono i modelli da utilizzare? Il registro è composto da quattro modelli: • Mod. C 626/1- deve riportare le informazioni generali del datore di lavoro, del tipo di lavorazione effettuata e degli agenti cancerogeni utilizzati nel corso dell'attività lavorativa e rappresenta di fatto il frontespizio del registro; • Mod. C 626/2 - deve riportare i dati relativi ai lavoratori esposti (attività svolta, tipo di agente cancerogeno utilizzato, l'intensità, la frequenza e la durata dell'esposizione); una pagina per ogni lavoratore; • Mod. C 626/3 - deve essere utilizzato per riportare le variazioni intervenute nelle informazioni che caratterizzano l'azienda (modifica Ragione Sociale, Sede territoriale, attività produttiva, ecc.); • Mod. C 626/4 - deve essere utilizzato in caso di richiesta di copia delle annotazioni individuali all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, in caso di assunzione di lavoratori che dichiarino di essere stati esposti presso precedenti datori di lavoro ad agenti cancerogeni. Tale richiesta può essere fatta non prima che sia trascorso un anno dalla data di entrata in vigore del d.m. 155/2007, e va effettuata solo nel caso che il lavoratore dichiari di avere avuto in precedenza una esposizione ad agenti cancerogeni. 6. Dove si possono reperire i modelli del registro dei lavoratori esposti ad agenti cancerogeni? I modelli di tenuta del registro, di cui all'allegato 1 del d.m. 155/2007, sono reperibili e disponibili per il download all’interno di questa sezione.
7. Si possono utilizzare strumenti informatizzati per la compilazione e l'invio dei modelli dell'allegato 1 del D.M. 155/2007? L'art. 10 del d.m. 155/2007 prevede la possibilità dell'impiego di sistemi di elaborazione automatica dei dati per la tenuta informatizzata dei registri; la stampa del registro deve rispondere allo standard fissato dal d.m. 155/2007 includendo i dati e le informazioni riportate nell'allegato 1. Dal 12 ottobre 2017, in ragione delle disposizioni di cui al Decreto interministeriale n. 183 del 25 maggio 2016 recante le regole tecniche per il funzionamento del Sinp, l’invio dei registri all’Inail deve avvenire esclusivamente per via telematica (vedi punto 4). 8. Come si deve comportare chi ha già redatto ed inviato il registro prima dell'entrata in vigore del D.M. 155/2007? L'entrata in vigore del d.m. 155/2007 apre un nuovo capitolo normativo e quindi anche i datori di lavoro che si erano già "notificati" presso l’Inail devono attivare di nuovo la procedura dell'invio del registro come se fosse la prima volta utilizzando i modelli e le procedure previste dalla legge in questione. 9. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per numero progressivo? Nella colonna Numero progressivo si intende indicare l'ordine cronologico di inserimento delle varie righe riportanti i dati relativi alle caratteristiche dell'attività svolta ed a quelle dell'esposizione. 10. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per valore di esposizione? Nella colonna Valore deve essere riportato il valore (corredato dall'unità di misura) del campionamento personale rappresentativo del livello (intensità) dell'esposizione. Nel caso di concentrazione di cancerogeni "molto variabili" nel tempo si consiglia di prevedere un numero di campionamenti tali da poter disporre di una misura media "affidabile", che può essere ritenuta rappresentativa dell'esposizione (media) del lavoratore. 11. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per metodo di esposizione? Per metodo di esposizione si intende il metodo di campionamento e di analisi
adottato nella misurazione dell'esposizione durante la valutazione del rischio di cui all'art. 236 del d.lgs. 81/2008. E' opportuno specificare se la misurazione effettuata è di tipo personale o ambientale (stazionario). 12. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per tempo di esposizione? Nella colonna Tempo si deve indicare (in giorni/anno) quanto tempo in media durante un anno solare (frequenza) il lavoratore è esposto all'agente cancerogeno (per esempio se un lavoratore è esposto per 8 ore al giorno per un intero anno solare, indicare 220 g/a). 13. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per data inizio e data fine? La data inizio è riferita all'inizio dell'esposizione ovvero il primo giorno in cui il lavoratore ha iniziato ad essere esposto ad agenti cancerogeni. La data fine è riferita alla fine dell'esposizione ovvero il giorno in cui il lavoratore cessa definitivamente di essere esposto ad agenti cancerogeni. In tale modo viene determinata la durata dell'esposizione. 14. Quando deve essere aggiornato il registro? In occasioni di modifiche del processo produttivo significative ai fini della sicurezza e salute sul lavoro e, in ogni caso, trascorsi tre anni dall'ultima valutazione effettuata. Eventuali variazioni intervenute nel registro devono essere comunicate all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale e all'organo di vigilanza competente per territorio ogni tre anni e comunque ogni qualvolta i medesimi ne facciano richiesta (art. 243, comma 8 del d.lgs. 81/2008). Le variazioni inerenti i dati individuali dei lavoratori sono comunicate tramite invio della copia, in busta chiusa siglata dal medico competente, della corrispondente pagina del registro (modello C 626/2) contenente le modifiche dei dati espositivi dei lavoratori. Le variazioni inerenti i dati generali sono comunicate utilizzando il modello C 626/3 compilato solo per le parti interessate dalle variazioni. Entro 30 giorni dalla cessazione del rapporto di lavoro, il datore di lavoro deve inviare all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, le variazioni delle annotazioni individuali contenute nel registro e le cartelle sanitarie e di rischio dei lavoratori.
In caso di cessazione dell'attività dell'azienda, il datore di lavoro deve inviare all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, il registro e le cartelle sanitarie e di rischio di tutti i lavoratori. 15. Quali elenchi di CODICI ATECO si possono utilizzare al fine di identificare l'attività svolta? Si possono utilizzare i codici della classificazione Istat delle attività economiche (ATECO) seguendo la compilazione guidata disponibile nell’applicativo Inail e descritta nel manuale utente. L'informazione è richiesta nei modelli 626/1 e 626/3. 16. Quali elenchi di CODICI PROFESSIONE si possono utilizzare al fine di identificare la mansione svolta dal lavoratore? Si possono utilizzare i codici della classificazione Istat delle professioni seguendo la compilazione guidata disponibile nell’applicativo Inail e descritta nel manuale utente. L'informazione è richiesta nel modello 626/2. 17. Quali elenchi di SIGLA/NUMERO si posso utilizzare al fine di identificare l'ASL competente per territorio? Si possono utilizzare gli elenchi ufficiali di identificazione delle Asl seguendo la compilazione guidata disponibile nell’applicativo Inail e descritta nel manuale utente. L'informazione è richiesta nel modello 626/1. 18. Quali elenchi di "Voce tariffa Inail" si possono utilizzare al fine di identificare il codice relativo alla lavorazione unica o prevalente dell'azienda? Si possono utilizzare i codici relativi alla stipula della convenzione assicurativa con l'Inail per la lavorazione maggiormente correlata con l'esposizione dei lavoratori. In presenza di più lavorazioni inserire i rimanenti codici nella sezione successiva "Altre lavorazioni correlate all'esposizione". L'informazione è richiesta nel modello 626/1. 19. E' obbligatorio istituire un registro anche per lavoratori esposti ad agenti mutageni? L'art. 243 del d.lgs. 81/2008 e successive modificazioni definisce l'obbligo di istituzione del registro per i lavoratori esposti ad agenti cancerogeni o mutageni. 20. Il Datore di Lavoro può delegare altre figure alla redazione del registro?
La responsabilità rimane del datore di lavoro che può avvalersi di altre professionalità per gli aspetti tecnici. 21. Nel caso in cui si verifichi la necessità di effettuare delle correzioni/modifiche all'interno dei registri, sono necessarie delle particolari procedure? Modifiche del ciclo produttivo o sostanziali variazioni dell'esposizione devono essere annotate nel registro e comunicate all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, ogni tre anni. Tale comunicazione deve riguardare solo le pagine contenenti le modifiche intervenute. Ogni correzione o rettifica delle informazioni deve mantenere traccia delle informazioni pregresse. Qualora si rendesse necessario stampare un nuovo foglio per le informazioni individuali (modello C 626/2), tale foglio deve essere allegato alla fine del registro incrementando il numero delle pagine totali, indifferentemente dalla posizione in cui si trova il foglio precedente collegato allo stesso lavoratore. E' necessario ripetere i dati identificativi del lavoratore e dell'azienda e continuare la numerazione progressiva delle esposizioni (colonna Num.Prog. del modello 626/2). 22. Quali sono gli agenti cancerogeni e/o mutageni per cui istituire il registro? Gli agenti cancerogeni e/o mutageni per cui istituire il registro sono tutte quelle sostanze e/o preparati classificate in modo da rispondere ai criteri relativi alla classificazione quali categorie cancerogene 1 o 2, stabiliti ai sensi del decreto legislativo 3 febbraio 1997, n. 52 e successive modificazioni (classificazione Unione europea). La legge (art. 245, d.lgs. 81/2008 e s.m.i.) prevede che la Commissione consultiva tossicologica nazionale (CCTN) individui periodicamente le sostanze cancerogene, mutagene e tossiche per la riproduzione che, pur non essendo classificate, rispondono ai criteri di classificazione del decreto legislativo 3 febbraio 1997, n. 52. 23. Chi deve istituire il registro per i lavoratori con contratto di "somministrazione di lavoro" (in precedenza denominati lavoratori interinali)? Il registro degli esposti a cancerogeni deve essere istituito dalla ditta utilizzatrice a cui è demandata la sorveglianza sanitaria dei lavoratori con contratto di " somministrazione di lavoro (art. 23 c. 5 del d.lgs. 276/2003)". Fonte: INAIL
Ministero del Lavoro e delle Politiche sociali, Ministero della Salute, Ministero per la semplificazione e la pubblica amministrazione - Decreto 25 maggio 2016, n. 183 - Regolamento recante regole tecniche per la realizzazione e il funzionamento del SINP, nonché le regole per il trattamento dei dati, ai sensi dell'articolo 8, comma 4, del decreto legislativo 9 aprile 2008, n. 81. Ministero della Salute Decreto 12 Luglio 2007, n. 155 Regolamento attuativo dell'articolo 70, comma 9, del decreto legislativo 19 settembre 1994, n. 626. Registri e cartelle sanitarie dei lavoratori esposti durante il lavoro ad agenti cancerogeni. Fonte: puntosicuro.it D.lgs. 105/2015, quesito Ministero Ambiente, magazzinaggio connesso a trasporto. ROMA – Rischio industriale. Pubblicato dal Ministero dell’Ambiente il quesito sul Dlgs 105/2015 Attuazione della direttiva 2012/18/UE relativa al controllo del pericolo di incidenti rilevanti connessi con sostanze pericolose elaborato dal Coordinamento nazionale il 26 giugno 2017. Quesito n.13/2017. L’argomento affrontato è: Assoggettabilità al D.lgs.105/2015 per le attività di magazzinaggio connesse al trasporto. Info: Ministero Ambiente quesito Dlgs 105/2015 -13/2017 Fonte: quotidianosicurezza.it Omessa sorveglianza sanitaria dei lavoratori, sanzioni, circolare Inl. ROMA – Omessa sorveglianza sanitaria. Pubblicata dall’Ispettorato del Lavoro la circolare n.3 del 12 ottobre 2017 che riporta Indicazioni operative sulle sanzioni da applicare in caso di omessa sorveglianza sanitaria dei lavoratori. Circolare riguardante il personale ispettivo, che riassume gli articoli del Testo unico per la sicurezza sul lavoro ai quali riferirsi per la sanzione. I riferimenti elencati dal documento sono:  art. 18 comma 1 lettera c): valutazione salute e capacità del lavoratore per compiti specifici indipendentemente dai rischi dell’ambiente di lavoro;  art 18 comma 1 lettera g): tutti i casi con obbligo di sorveglianza sanitaria;  art. 18 comma 1 lettera bb): lavoratore sottoposto a sorveglianza e già adibito a mansione nonostante sia in attesa di idoneità dopo visita. “Si ricorda da ultimo che, come precisato con la circolare n. 33/2009 (alla quale si rinvia per ogni ulteriore chiarimento), l’accertamento delle violazioni in materia di
salute e sicurezza sul lavoro deve avvenire “nel rispetto delle competenze in tema di vigilanza” in forza dell’art. 13 del d.lgs. n. 81/2008. Pertanto, qualora l’omessa sorveglianza sanitaria sia riscontrata in settori diversi dall’edilizia, gli ispettori del lavoro devono comunicare la notizia di reato all’Autorità Giudiziaria ai sensi dell’art. 347 del c.p.p.”. (Articolo di Corrado De Paolis) Info: Olympus, circolare Inl 12 ottobre 2017 n.3 Fonte: quotidianosicurezza.it

Recommended

Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Sicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSylvio Verrecchia - IT Security Engineer
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012M.Ela International Srl
 

Recommended

Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Sicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSylvio Verrecchia - IT Security Engineer
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012M.Ela International Srl
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
UN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAUN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAVincenzo Calabrò
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Eld access management
Eld access managementEld access management
Eld access managementRoberto Boccadoro
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
SQL Server Hardening
SQL Server HardeningSQL Server Hardening
SQL Server HardeningDatamaze
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZAVincenzo Calabrò
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaMario Gentili
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Gabriele Formisano
 
Privacy che fare v4 sito
Privacy che fare v4 sitoPrivacy che fare v4 sito
Privacy che fare v4 sitoAdAstraStartupInnova
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Patrick1201
 
Web Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber riskWeb Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber riskseeweb
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaPolaris Informatica srl
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaPolaris informatica
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoI3P
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...Barbieri & Associati Dottori Commercialisti - Bologna
 
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Symantec
 
Notizie SA 03 2018
Notizie SA 03 2018Notizie SA 03 2018
Notizie SA 03 2018Roberta Culiersi
 
Notizie A 03 2018
Notizie A 03 2018Notizie A 03 2018
Notizie A 03 2018Roberta Culiersi
 

More Related Content

Similar to News SSL 43 2017

La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
UN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAUN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAVincenzo Calabrò
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
SQL Server Hardening
SQL Server HardeningSQL Server Hardening
SQL Server HardeningDatamaze
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaMario Gentili
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Gabriele Formisano
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Patrick1201
 
Web Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber riskWeb Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber riskseeweb
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoI3P
 
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Symantec
 

Similar to News SSL 43 2017 (20)

La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
UN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAUN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZA
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
Eld access management
Eld access managementEld access management
Eld access management
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
SQL Server Hardening
SQL Server HardeningSQL Server Hardening
SQL Server Hardening
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZA
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezza
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
 
Privacy che fare v4 sito
Privacy che fare v4 sitoPrivacy che fare v4 sito
Privacy che fare v4 sito
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)
 
Web Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber riskWeb Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber risk
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
 
Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativo
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
 
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
 

More from Roberta Culiersi

More from Roberta Culiersi (20)

Notizie SA 03 2018
Notizie SA 03 2018Notizie SA 03 2018
Notizie SA 03 2018
 
Notizie A 03 2018
Notizie A 03 2018Notizie A 03 2018
Notizie A 03 2018
 
Notizie SSL 03 2018
Notizie SSL 03 2018Notizie SSL 03 2018
Notizie SSL 03 2018
 
Notizie SA 02 2018
Notizie SA 02 2018Notizie SA 02 2018
Notizie SA 02 2018
 
Notizie A 02 2018
Notizie A 02 2018Notizie A 02 2018
Notizie A 02 2018
 
Notizie SSL 02 2018
Notizie SSL 02 2018Notizie SSL 02 2018
Notizie SSL 02 2018
 
NOTIZIE SA 01 2018
NOTIZIE SA 01 2018NOTIZIE SA 01 2018
NOTIZIE SA 01 2018
 
NOTIZIE A 01 2018
NOTIZIE A 01 2018NOTIZIE A 01 2018
NOTIZIE A 01 2018
 
NOTIZIE SSL 01 2018
NOTIZIE SSL 01 2018NOTIZIE SSL 01 2018
NOTIZIE SSL 01 2018
 
NEWS SA 52 2017
NEWS SA 52 2017NEWS SA 52 2017
NEWS SA 52 2017
 
News A 52 2017
News A 52 2017News A 52 2017
News A 52 2017
 
News SSL 52 2017
News SSL 52 2017News SSL 52 2017
News SSL 52 2017
 
NEWS SA 51 2017
NEWS SA 51 2017NEWS SA 51 2017
NEWS SA 51 2017
 
NEWS A 51 2017
NEWS A 51 2017NEWS A 51 2017
NEWS A 51 2017
 
NEWS SSL 51 2017
NEWS SSL 51 2017NEWS SSL 51 2017
NEWS SSL 51 2017
 
NEWS SA 50 2017
NEWS SA 50 2017NEWS SA 50 2017
NEWS SA 50 2017
 
NEWS A 50 2017
NEWS A 50 2017NEWS A 50 2017
NEWS A 50 2017
 
NEWS SSL 50 2017
NEWS SSL 50 2017NEWS SSL 50 2017
NEWS SSL 50 2017
 
News SA 49 2017
News SA 49 2017News SA 49 2017
News SA 49 2017
 
NEWS A 49 2017
NEWS A 49 2017NEWS A 49 2017
NEWS A 49 2017
 

News SSL 43 2017

  • 1. News 43/SSL/2017 Lunedì, 23 ottobre 2017 I rischi principali dei dati personali archiviati in database. La maggior parte dei dati personali sono custoditi in data base interni alle aziende o affidati a soggetti terzi (cloud). Quali sono i rischi principali che i responsabili del trattamento e il responsabile della protezione dei dati debbono esaminare? Un recente studio di un’azienda specializzata ha messo in evidenza che il 95% delle violazioni di dati personali avvengono presso basi dei dati. Il numero di dati personali coinvolti in questa violazione ha superato abbondantemente il quarto di milione, nell’ultima ricerca effettuata. Le ragioni per cui i database sono presi di mira dagli attaccanti è molto semplice: questi database sono alla base di ogni organizzazione, perché custodiscono dati personali di clienti ed altre informazioni riservate. Purtroppo a questa grande importanza dei dati custoditi nei database non corrisponde una sufficiente professionalità ed un adeguato investimento nella protezione dei dati stessi. Questo è il motivo perché in cui, secondo un altro recente studio, il 97% delle violazioni avrebbe potuto essere prevenuto con relativa facilità, adottando semplici misure di protezione e di controllo. Offriamo di seguito un elenco delle 10 principali minacce che sono state evidenziate in questo studio: privilegi di accesso eccessivi o non utilizzati abuso di privilegi di accesso iniezione di SQL malware debolezza dell’audit trail mancata protezione dei supporti fisici di archiviazione sfruttamento di vulnerabilità o inadeguate configurazioni dei database insufficiente gestione di dati sensibili negazione di servizio insufficiente preparazione ed educazione del personale addetto alla protezione. Privilegi di accesso eccessivi o non utilizzati Quando ad un incaricato del trattamento viene concesso l’utilizzo di un profilo di
  • 2. accesso che eccede le esigenze minime, connesse alla sua funzione aziendale, si apre la porta a possibili abusi. Ad esempio, un dipendente bancario che sia incaricato di cambiare solo le informazioni di contatto con un cliente, se ha a disposizione un privilegio di accesso eccessivo, potrebbe intervenire anche sulla disponibilità del conto ed effettuare trasferimenti non autorizzati. Inoltre, l’esperienza insegna che spesso, quando un dipendente abbandona l’azienda, l’azienda non provvede all’immediata cancellazione dei suoi privilegi di accesso. Questa situazione è dovuta, per solito, alla mancata effettuazione, almeno a scadenze periodiche di alcuni mesi, della validità e legittimità dei profili di accesso, nonché di verifica critica dei privilegi di accesso stessi. Abuso di privilegio Si tratta di un’altra forma di abuso, che è diretta conseguenza del caso precedente. Supponiamo ad esempio che un applicativo possa permettere di esaminare la cartella clinica di un paziente, attraverso un collegamento Web. L’applicazione Web normalmente limita gli utenti ad esaminare soltanto la storia sanitaria di uno specifico paziente e non possono essere esaminate contemporaneamente le cartelle sanitarie di più pazienti. Tuttavia un hacker, anche non particolarmente esperto, può aggirare questi vincoli collegandosi al database sotto forma di cliente alternativo. È così possibile scaricare e salvare tutte le cartelle sanitarie dei pazienti, per i quali si è ottenuto l’accesso. Iniezione di codici SQL Un attacco con iniezione di codici SQL può consentire ad un soggetto terzo di avere un accesso illimitato all’intero database. Questo attacco può essere perpetrato utilizzando applicazioni Web, in grado di penetrare il data base, non sufficientemente protetto. Con questa violazione, i dati personali critici possono essere esaminati, copiati e perfino modificati. Malware I criminali informatici usano tecniche di attacco che utilizzano modalità multiple, che possono consentire di penetrare all’interno dei database e sottrarre informazioni riservate. Gli utenti legittimi, che non si rendono conto che il malware ha infettato i loro dispositivi di accesso, diventano un canale di collegamento, che facilmente permette di estrarre dati sensibili.
  • 3. Audit trail insoddisfacenti La registrazione automatica di tutte le transazioni che coinvolgono i database dovrebbe far parte di qualsiasi architettura di sicurezza di un database. Se non si è a disposizione una dettagliata registrazione delle attività di collegamento al database ci si trova in una situazione di rischio estremamente elevata. Le organizzazioni che non dispongono di questi meccanismi di audit dell’accesso al database potrebbero anche trovarsi in difficoltà nel rispettare indicazioni specifiche, che vengono poste dalle aziende pubbliche e delle autorità di governo. Ad esempio, negli Stati Uniti esiste una legge che specificamente impone che questi meccanismi di protezione siano attivi, a pena di severe sanzioni. È ben vero che molti fornitori di database mettono a disposizione dei sistemi di tracciamento degli accessi, ma occorre vedere se questi dispositivi sono sufficientemente efficaci e se hanno, in caso di violazione, un soddisfacente valore probatorio, a fronte di una indagine criminologica. Quando poi gli utenti si collegano al database attraverso delle applicazioni Web potrebbe essere ancora più difficile capire se e come l’accesso sia legittimo, almeno nei confronti di uno specifico utente. Molti meccanismi di audit non sono in grado di individuare chi è l’utente finale, perché tutta l’attività è associata con il nome, cui il profilo di accesso si riferisce. Infine non dimentichiamo che anche un utente, con accesso a livello di amministratore, potrebbe accidentalmente o dolosamente neutralizzare i sistemi di protezione esistenti per nascondere attività fraudolente. Il compito di effettuare attività di audit dovrebbe essere sempre separato da quello degli amministratori del database, per garantire un controllo incrociato soddisfacente. Mancata protezione dei supporti fisici di archiviazione Spesso i supporti di backup non sono sufficientemente protetti da attacchi ed ecco la ragione per cui numerose violazioni di sicurezza sono state collegate al furto di dischi e nastri di backup. A questo fatto si aggiunge anche l’insoddisfacente controllo e monitoraggio delle attività degli amministratori, che hanno accesso a informazioni sensibili. Occorre ricordarsi sempre che le misure appropriate per proteggere le copie di backup di dati sensibili devono essere di alto livello, non solo per garantire la protezione, ma anche per garantire il rispetto di specifiche disposizioni di legge. Sfruttamento di vulnerabilità o inadeguate configurazioni del data base È purtroppo frequente il fatto che ci si trovi davanti a database e che hanno dei conti di accesso di default e dei parametri di configurazione, che non sono stati
  • 4. personalizzati, per soddisfare esigenze specifiche dell’utente. Gli attaccanti sanno bene come sfruttare queste debolezze per lanciare attacchi contro i dati ivi custoditi. A loro vantaggio gioca anche una possibile pigrizia da parte del responsabile della protezione del data base, che non applica gli interventi correttivi, messi a disposizione, ad esempio, dal fornitore del database. L’esperienza ha dimostrato che, una volta che un intervento correttivo è disponibile, alcune aziende ci mettono dei mesi per attivare queste attività protettive. Insufficiente gestione dei dati sensibili Se l’azienda non sa esattamente dove si trovano i dati sensibili, che devono avere un maggior livello di protezione, nell’ambito del database, diventa difficile adottare misure specifiche di protezione. Al proposito, si ricorda che tutte le disposizioni di legge in materia di dati personali fanno obbligo di adattare il livello di protezione alle criticità e sensibilità del dato in questione. Negazione del servizio La negazione di servizio è una categoria generale di attacco informatico, che impedisce agli utenti di collegarsi alle applicazioni ed ai dati. Queste tecniche di attacco possono essere attuate in vari modi. La tecnica più corrente, almeno con riferimento ai database, è quella di sovraccaricare le risorse del server inviando numerose richieste di accesso al database, che alla fine portano al blocco del server. I motivi legati a questa tipologia di attacco sono spesso collegati a tentativi di estorsione, in cui un attaccante remoto blocca ripetutamente il server, finché non ottiene la somma richiesta. È bene ricordare che questo tipo di attacco rappresenta uno dei rischi maggiori per qualsiasi organizzazione. Insufficiente esperienza e preparazione del personale addetto alla protezione dei dati Purtroppo non sempre i soggetti, cui è affidata la responsabilità di tenere sotto controllo ed aggiornare la sicurezza di database, hanno ricevuto una sufficiente preparazione e hanno partecipato a periodici corsi di aggiornamento, che permettano di tenere la loro formazione sempre allineata con l’evoluzione delle tecniche di attacco. Una recente indagine ha messo in evidenza che il 75% delle aziende interpellate ha sofferto delle perdite dovute al fatto che le politiche di sicurezza non erano state comprese a fondo, mentre addirittura la metà delle piccole aziende interpellate ha confessato di non avere in atto un programma per educare il proprio personale su questi rischi, afferenti alla sicurezza e protezione dei dati.
  • 5. Conclusioni Alla luce di queste informazioni, sollecitiamo i responsabili del trattamento ed i responsabili della protezione dei dati ad effettuare una verifica dei database affidati alle loro cure per esaminare, grazie ad un’appropriata analisi di rischio informatico, se il livello di protezione assicurato è compatibile con quanto il regolamento generale europeo impone e il buon senso raccomanda. Adalberto Biasiotti Fonte: puntosicuro.it Rischi cancerogeni: le indicazioni del D.Lgs 81/08 e dell’INAIL. Disponibile un applicativo nella sezione del portale Inail dedicata ai servizi on line e alcune FAQ con le risposte dell’istituto. Quali sono gli obblighi del datore di lavoro? Quali sono le indicazini del D.lgs. 81/2008? Il tema dell’epidemiologia dell’ esposizione ad agenti cancerogeni in ambito professionale e delle neoplasie correlate è complesso per diverse ragioni, fra le quali il lungo periodo di latenza tra esposizione ed insorgenza dei sintomi patologici, la multifattorialità nell’eziopatogenesi tumorale che non consente di isolare facilmente il rischio esclusivamente professionale e la difficoltà nel redigere anamnesi accurate. Il d.lgs. 81/2008 individua nell'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale e nelle Unità sanitarie locali i soggetti istituzionali deputati alla gestione dei flussi informativi relativi alla tenuta e l'aggiornamento dei registri indicanti i livelli di esposizione dei soggetti ad agenti cancerogeni, agli elenchi di lavoratori esposti e alle cartelle sanitarie e di rischio. Le modalità di tenuta del registro e di trasmissione dei dati all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, sono definiti dal d.m. 155/2007. In particolare, il datore di lavoro deve:  consegnare copia dei registri di esposizione e delle variazioni intervenute ogni tre anni e comunque ogni qualvolta l'Istituto ne faccia richiesta;  comunicare la cessazione del rapporto di lavoro, con le variazioni sopravvenute dall'ultima comunicazione;  consegnare il registro in caso di cessazione dell'attività dell'impresa;  richiedere copia delle annotazioni individuali in caso di assunzione dei lavoratori che abbiano esercitato attività che comportano l'iscrizione ai registri.
  • 6. Obiettivo dell'accentramento della documentazione è quello di mantenere traccia delle esposizioni subite dal lavoratore anche nel passaggio tra aziende diverse in modo tale da tutelare il lavoratore dal rischio di perdere la traccia di tutte le esposizione subite. L'importanza di mantenere l'integrità della "storia" dei livelli di esposizione del lavoratore è sostanzialmente legata all'effetto di accumulo delle sostanze tossiche nell'organismo umano. L’Istituto, in questo ambito, ha istituito ed aggiorna costantemente un sistema di registrazione delle esposizioni professionali ad agenti cancerogeni. La costituzione dei registri sopra citati, permette all'istituto di effettuare un'efficace azione di monitoraggio nazionale sui temi dell'esposizione a cancerogeni negli ambienti di lavoro. A seguito dell’entrata in vigore del Decreto interministeriale n. 183 del 25 maggio 2016 recante le regole tecniche per il funzionamento del Sinp, dal 12 ottobre 2017 è previsto che la trasmissione dei registri di esposizione a cancerogeni avvenga esclusivamente per via telematica. A questo scopo l’Istituto ha predisposto, per i titolari di posizione assicurativa, un applicativo disponibile nella sezione del portale Inail dedicata ai servizi on line. Prevenzione : Moduli e modelli specifici di sezione Sistema informativo e acquisizione dei dati Il sistema informativo Sirep rappresenta lo strumento di governo che consente la gestione ed il controllo dei dati di esposizione e di patologia previsti dalle nuove norme prevenzionali emanate in recepimento di Direttive comunitarie in materia di sicurezza e salute nei luoghi di lavoro. La base informativa di riferimento è completa di tutti gli elementi che garantiscono la conoscenza delle informazioni relative alle aziende, agli addetti, alle cartelle sanitarie, agli agenti di rischio ed alle patologie da lavoro, aggiornata rispetto alle variazioni riguardanti le singole aziende, i lavoratori, i risultati delle visite periodiche, gli aggiornamenti inerenti sia le definizioni diagnostiche che anamnestiche, congruente ed integrata in modo che le informazioni "catturate" in ogni parte del sistema siano veicolate verso le altre, senza aggravio di attività di utente e utilizzando relazioni, canali ed interfacce informative predisposte. Le caratteristiche fondamentali del Sirep possono essere così riassunte: 1.il sistema è articolato in un numero di entità e relazioni da consentire la registrazione e la storicizzazione di tutte le informazioni necessarie; 2.il sistema è suddiviso in una serie di sottoinsiemi autonomi che presentano modelli di acquisizione dei dati del tutto simili ai moduli cartacei; 3.è eliminata qualsiasi ridondanza sui dati registrati che non sia funzionale
  • 7. all'organizzazione in sottoinsiemi; 4.sono utilizzati strumenti di accesso ai dati (SQL) supportati da linguaggi non procedurali ed adatti a qualsiasi utente per poter effettuare richieste informative senza alcuna rigidità di tipo organizzativo e tecnologico; 5.è garantita la sicurezza e la riservatezza delle informazioni trattate. Relativamente alle modalità di trasmissione dei dati da parte del datore di lavoro all’Inail ed ai servizi territoriali di competenza, a seguito dell’entrata in vigore del Decreto interministeriale n. 183 del 25 maggio 2016 recante le regole tecniche per il funzionamento del Sinp, dal 12 ottobre 2017 è previsto che la trasmissione dei registri di esposizione a cancerogeni avvenga esclusivamente per via telematica. A questo scopo l’Istituto ha predisposto un applicativo disponibile nella sezione del portale Inail dedicata ai servizi on line, che sarà immediatamente fruibile dai titolari di posizione assicurativa. L’utilizzo di tale applicativo consente ai datori di lavoro di assolvere l’obbligo di invio dei registri verso Inail e Asl competenti con un'unica procedura. FAQ 1. Chi deve istituire il registro dei lavoratori esposti ad agenti cancerogeni? Il datore di lavoro, ai sensi dell'art. 243 comma 1 del d.lgs. 81/2008 e dell'art. 2 comma 1 del d.m. 155/2007, istituisce, aggiorna e cura la tenuta, per il tramite del medico competente, di un registro dei lavoratori esposti ad agenti cancerogeni conformemente al modello di cui all' allegato 1 del d.m. 155/2007. 2. Quali lavoratori devono essere iscritti nel registro? Tutti i lavoratori sottoposti a sorveglianza sanitaria, come previsto dall'art. 242, comma 1, del d.lgs. 81/2008, sono iscritti nel registro. I lavoratori sottoposti a sorveglianza sanitaria sono tutti quelli per i quali la valutazione di cui all' art. 236, d.lgs. 81/2008 ha evidenziato un rischio per la salute. 3. Quali sono le modalità di istituzione del registro? Il registro deve essere compilato conformemente al modello di cui all'allegato 1 del d.m. 155/2007. Esso è costituito da fogli legati e numerati progressivamente e sulla prima pagina del registro stesso, il datore di lavoro appone la propria sottoscrizione. 4. Quali sono le modalità di invio del registro?
  • 8. A seguito dell’entrata in vigore del Decreto interministeriale n. 183 del 25 maggio 2016 recante le regole tecniche per il funzionamento del Sinp, dal 12 ottobre 2017 è previsto che la trasmissione dei registri di esposizione a cancerogeni avvenga esclusivamente per via telematica. A questo scopo l’Istituto ha predisposto un applicativo disponibile nella sezione del portale Inail dedicata ai servizi on line, che sarà immediatamente disponibile per i titolari di posizione assicurativa. L’utilizzo di tale applicativo consente ai datori di lavoro di assolvere l’obbligo di invio dei registri verso Inail e Asl competenti con un'unica procedura. Per i soggetti destinatari dell’obbligo non titolari di posizione assicurativa presso l’Istituto, in attesa di poter accedere all’applicativo, è consentito l’invio dei registri in formato elettronico tramite Pec all'indirizzo dmil@postacert.inail.it e all’indirizzo di posta certificata della Asl territorialmente competente sulla base dell’unità produttiva. 5. Quali sono i modelli da utilizzare? Il registro è composto da quattro modelli: • Mod. C 626/1- deve riportare le informazioni generali del datore di lavoro, del tipo di lavorazione effettuata e degli agenti cancerogeni utilizzati nel corso dell'attività lavorativa e rappresenta di fatto il frontespizio del registro; • Mod. C 626/2 - deve riportare i dati relativi ai lavoratori esposti (attività svolta, tipo di agente cancerogeno utilizzato, l'intensità, la frequenza e la durata dell'esposizione); una pagina per ogni lavoratore; • Mod. C 626/3 - deve essere utilizzato per riportare le variazioni intervenute nelle informazioni che caratterizzano l'azienda (modifica Ragione Sociale, Sede territoriale, attività produttiva, ecc.); • Mod. C 626/4 - deve essere utilizzato in caso di richiesta di copia delle annotazioni individuali all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, in caso di assunzione di lavoratori che dichiarino di essere stati esposti presso precedenti datori di lavoro ad agenti cancerogeni. Tale richiesta può essere fatta non prima che sia trascorso un anno dalla data di entrata in vigore del d.m. 155/2007, e va effettuata solo nel caso che il lavoratore dichiari di avere avuto in precedenza una esposizione ad agenti cancerogeni. 6. Dove si possono reperire i modelli del registro dei lavoratori esposti ad agenti cancerogeni? I modelli di tenuta del registro, di cui all'allegato 1 del d.m. 155/2007, sono reperibili e disponibili per il download all’interno di questa sezione.
  • 9. 7. Si possono utilizzare strumenti informatizzati per la compilazione e l'invio dei modelli dell'allegato 1 del D.M. 155/2007? L'art. 10 del d.m. 155/2007 prevede la possibilità dell'impiego di sistemi di elaborazione automatica dei dati per la tenuta informatizzata dei registri; la stampa del registro deve rispondere allo standard fissato dal d.m. 155/2007 includendo i dati e le informazioni riportate nell'allegato 1. Dal 12 ottobre 2017, in ragione delle disposizioni di cui al Decreto interministeriale n. 183 del 25 maggio 2016 recante le regole tecniche per il funzionamento del Sinp, l’invio dei registri all’Inail deve avvenire esclusivamente per via telematica (vedi punto 4). 8. Come si deve comportare chi ha già redatto ed inviato il registro prima dell'entrata in vigore del D.M. 155/2007? L'entrata in vigore del d.m. 155/2007 apre un nuovo capitolo normativo e quindi anche i datori di lavoro che si erano già "notificati" presso l’Inail devono attivare di nuovo la procedura dell'invio del registro come se fosse la prima volta utilizzando i modelli e le procedure previste dalla legge in questione. 9. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per numero progressivo? Nella colonna Numero progressivo si intende indicare l'ordine cronologico di inserimento delle varie righe riportanti i dati relativi alle caratteristiche dell'attività svolta ed a quelle dell'esposizione. 10. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per valore di esposizione? Nella colonna Valore deve essere riportato il valore (corredato dall'unità di misura) del campionamento personale rappresentativo del livello (intensità) dell'esposizione. Nel caso di concentrazione di cancerogeni "molto variabili" nel tempo si consiglia di prevedere un numero di campionamenti tali da poter disporre di una misura media "affidabile", che può essere ritenuta rappresentativa dell'esposizione (media) del lavoratore. 11. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per metodo di esposizione? Per metodo di esposizione si intende il metodo di campionamento e di analisi
  • 10. adottato nella misurazione dell'esposizione durante la valutazione del rischio di cui all'art. 236 del d.lgs. 81/2008. E' opportuno specificare se la misurazione effettuata è di tipo personale o ambientale (stazionario). 12. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per tempo di esposizione? Nella colonna Tempo si deve indicare (in giorni/anno) quanto tempo in media durante un anno solare (frequenza) il lavoratore è esposto all'agente cancerogeno (per esempio se un lavoratore è esposto per 8 ore al giorno per un intero anno solare, indicare 220 g/a). 13. Nel Modello C 626/2 (dati individuali del lavoratore) cosa si intende per data inizio e data fine? La data inizio è riferita all'inizio dell'esposizione ovvero il primo giorno in cui il lavoratore ha iniziato ad essere esposto ad agenti cancerogeni. La data fine è riferita alla fine dell'esposizione ovvero il giorno in cui il lavoratore cessa definitivamente di essere esposto ad agenti cancerogeni. In tale modo viene determinata la durata dell'esposizione. 14. Quando deve essere aggiornato il registro? In occasioni di modifiche del processo produttivo significative ai fini della sicurezza e salute sul lavoro e, in ogni caso, trascorsi tre anni dall'ultima valutazione effettuata. Eventuali variazioni intervenute nel registro devono essere comunicate all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale e all'organo di vigilanza competente per territorio ogni tre anni e comunque ogni qualvolta i medesimi ne facciano richiesta (art. 243, comma 8 del d.lgs. 81/2008). Le variazioni inerenti i dati individuali dei lavoratori sono comunicate tramite invio della copia, in busta chiusa siglata dal medico competente, della corrispondente pagina del registro (modello C 626/2) contenente le modifiche dei dati espositivi dei lavoratori. Le variazioni inerenti i dati generali sono comunicate utilizzando il modello C 626/3 compilato solo per le parti interessate dalle variazioni. Entro 30 giorni dalla cessazione del rapporto di lavoro, il datore di lavoro deve inviare all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, le variazioni delle annotazioni individuali contenute nel registro e le cartelle sanitarie e di rischio dei lavoratori.
  • 11. In caso di cessazione dell'attività dell'azienda, il datore di lavoro deve inviare all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, il registro e le cartelle sanitarie e di rischio di tutti i lavoratori. 15. Quali elenchi di CODICI ATECO si possono utilizzare al fine di identificare l'attività svolta? Si possono utilizzare i codici della classificazione Istat delle attività economiche (ATECO) seguendo la compilazione guidata disponibile nell’applicativo Inail e descritta nel manuale utente. L'informazione è richiesta nei modelli 626/1 e 626/3. 16. Quali elenchi di CODICI PROFESSIONE si possono utilizzare al fine di identificare la mansione svolta dal lavoratore? Si possono utilizzare i codici della classificazione Istat delle professioni seguendo la compilazione guidata disponibile nell’applicativo Inail e descritta nel manuale utente. L'informazione è richiesta nel modello 626/2. 17. Quali elenchi di SIGLA/NUMERO si posso utilizzare al fine di identificare l'ASL competente per territorio? Si possono utilizzare gli elenchi ufficiali di identificazione delle Asl seguendo la compilazione guidata disponibile nell’applicativo Inail e descritta nel manuale utente. L'informazione è richiesta nel modello 626/1. 18. Quali elenchi di "Voce tariffa Inail" si possono utilizzare al fine di identificare il codice relativo alla lavorazione unica o prevalente dell'azienda? Si possono utilizzare i codici relativi alla stipula della convenzione assicurativa con l'Inail per la lavorazione maggiormente correlata con l'esposizione dei lavoratori. In presenza di più lavorazioni inserire i rimanenti codici nella sezione successiva "Altre lavorazioni correlate all'esposizione". L'informazione è richiesta nel modello 626/1. 19. E' obbligatorio istituire un registro anche per lavoratori esposti ad agenti mutageni? L'art. 243 del d.lgs. 81/2008 e successive modificazioni definisce l'obbligo di istituzione del registro per i lavoratori esposti ad agenti cancerogeni o mutageni. 20. Il Datore di Lavoro può delegare altre figure alla redazione del registro?
  • 12. La responsabilità rimane del datore di lavoro che può avvalersi di altre professionalità per gli aspetti tecnici. 21. Nel caso in cui si verifichi la necessità di effettuare delle correzioni/modifiche all'interno dei registri, sono necessarie delle particolari procedure? Modifiche del ciclo produttivo o sostanziali variazioni dell'esposizione devono essere annotate nel registro e comunicate all'Inail, Dipartimento di medicina, epidemiologia, igiene del lavoro e ambientale, ogni tre anni. Tale comunicazione deve riguardare solo le pagine contenenti le modifiche intervenute. Ogni correzione o rettifica delle informazioni deve mantenere traccia delle informazioni pregresse. Qualora si rendesse necessario stampare un nuovo foglio per le informazioni individuali (modello C 626/2), tale foglio deve essere allegato alla fine del registro incrementando il numero delle pagine totali, indifferentemente dalla posizione in cui si trova il foglio precedente collegato allo stesso lavoratore. E' necessario ripetere i dati identificativi del lavoratore e dell'azienda e continuare la numerazione progressiva delle esposizioni (colonna Num.Prog. del modello 626/2). 22. Quali sono gli agenti cancerogeni e/o mutageni per cui istituire il registro? Gli agenti cancerogeni e/o mutageni per cui istituire il registro sono tutte quelle sostanze e/o preparati classificate in modo da rispondere ai criteri relativi alla classificazione quali categorie cancerogene 1 o 2, stabiliti ai sensi del decreto legislativo 3 febbraio 1997, n. 52 e successive modificazioni (classificazione Unione europea). La legge (art. 245, d.lgs. 81/2008 e s.m.i.) prevede che la Commissione consultiva tossicologica nazionale (CCTN) individui periodicamente le sostanze cancerogene, mutagene e tossiche per la riproduzione che, pur non essendo classificate, rispondono ai criteri di classificazione del decreto legislativo 3 febbraio 1997, n. 52. 23. Chi deve istituire il registro per i lavoratori con contratto di "somministrazione di lavoro" (in precedenza denominati lavoratori interinali)? Il registro degli esposti a cancerogeni deve essere istituito dalla ditta utilizzatrice a cui è demandata la sorveglianza sanitaria dei lavoratori con contratto di " somministrazione di lavoro (art. 23 c. 5 del d.lgs. 276/2003)". Fonte: INAIL
  • 13. Ministero del Lavoro e delle Politiche sociali, Ministero della Salute, Ministero per la semplificazione e la pubblica amministrazione - Decreto 25 maggio 2016, n. 183 - Regolamento recante regole tecniche per la realizzazione e il funzionamento del SINP, nonché le regole per il trattamento dei dati, ai sensi dell'articolo 8, comma 4, del decreto legislativo 9 aprile 2008, n. 81. Ministero della Salute Decreto 12 Luglio 2007, n. 155 Regolamento attuativo dell'articolo 70, comma 9, del decreto legislativo 19 settembre 1994, n. 626. Registri e cartelle sanitarie dei lavoratori esposti durante il lavoro ad agenti cancerogeni. Fonte: puntosicuro.it D.lgs. 105/2015, quesito Ministero Ambiente, magazzinaggio connesso a trasporto. ROMA – Rischio industriale. Pubblicato dal Ministero dell’Ambiente il quesito sul Dlgs 105/2015 Attuazione della direttiva 2012/18/UE relativa al controllo del pericolo di incidenti rilevanti connessi con sostanze pericolose elaborato dal Coordinamento nazionale il 26 giugno 2017. Quesito n.13/2017. L’argomento affrontato è: Assoggettabilità al D.lgs.105/2015 per le attività di magazzinaggio connesse al trasporto. Info: Ministero Ambiente quesito Dlgs 105/2015 -13/2017 Fonte: quotidianosicurezza.it Omessa sorveglianza sanitaria dei lavoratori, sanzioni, circolare Inl. ROMA – Omessa sorveglianza sanitaria. Pubblicata dall’Ispettorato del Lavoro la circolare n.3 del 12 ottobre 2017 che riporta Indicazioni operative sulle sanzioni da applicare in caso di omessa sorveglianza sanitaria dei lavoratori. Circolare riguardante il personale ispettivo, che riassume gli articoli del Testo unico per la sicurezza sul lavoro ai quali riferirsi per la sanzione. I riferimenti elencati dal documento sono:  art. 18 comma 1 lettera c): valutazione salute e capacità del lavoratore per compiti specifici indipendentemente dai rischi dell’ambiente di lavoro;  art 18 comma 1 lettera g): tutti i casi con obbligo di sorveglianza sanitaria;  art. 18 comma 1 lettera bb): lavoratore sottoposto a sorveglianza e già adibito a mansione nonostante sia in attesa di idoneità dopo visita. “Si ricorda da ultimo che, come precisato con la circolare n. 33/2009 (alla quale si rinvia per ogni ulteriore chiarimento), l’accertamento delle violazioni in materia di
  • 14. salute e sicurezza sul lavoro deve avvenire “nel rispetto delle competenze in tema di vigilanza” in forza dell’art. 13 del d.lgs. n. 81/2008. Pertanto, qualora l’omessa sorveglianza sanitaria sia riscontrata in settori diversi dall’edilizia, gli ispettori del lavoro devono comunicare la notizia di reato all’Autorità Giudiziaria ai sensi dell’art. 347 del c.p.p.”. (Articolo di Corrado De Paolis) Info: Olympus, circolare Inl 12 ottobre 2017 n.3 Fonte: quotidianosicurezza.it