L’adozione delle misure minime di sicurezza è un adempimento che interessa tutti i titolari di trattamenti, anche quelli riguardanti i dati comuni (dati anagrafici), come previsto dall’art. 33 del Testo Unico sulla Privacy (D. Lgs 196/03). Tale adempimento è volto a garantire un livello minimo di sicurezza a qualsiasi trattamento, e teoricamente non richiederebbe la redazione di un documento, tuttavia la stesura di un foglio riepilogativo delle misure adottate e delle modalità con le quali le suddette misure sono state adottate, è fortemente consigliato, soprattutto ai fini di un’attività di controllo che vi potrebbe essere sull’attuazione delle citate misure minime di sicurezza; il documento andrà redatto a cadenza annuale per riportare le eventuali variazioni (la scadenza annuale è il 30 giugno, per quest’anno è invece il 31/12).

Per quanto riguarda i titolari di trattamenti di dati sensibili[1], oltre all’adozione delle misure minime di sicurezza, il Testo Unico prevede, sempre entro il 31 dicembre (dall’anno prossimo il 31 marzo), anche la redazione del Documento Programmatico sulla Sicurezza, un documento facente parte delle misure minime di sicurezza per i dati sensibili, che certifica un livello di sicurezza superiore, in accordo con il maggior grado di riservatezza dei dati.

Nota importante, il DPS va redatto solo ed esclusivamente se i dati sensibili sono trattati con strumenti elettronici. In caso di trattamento di dati sensibili in modalità cartacea si procederà alla redazione del documento al punto 2.

Vediamo ora in dettaglio quali sono queste misure minime e come in concreto vanno redatti i documenti relativi, anche alla luce del disciplinare tecnico (allegato B), considerando prima il caso che i trattamenti siano tenuti con modalità informatiche (art. 34), e poi il caso che i trattamenti siano tenuti con modalità non informatiche (art. 35), per poi passare ad illustrare i criteri di redazione del Documento Programmatico sulla Sicurezza (d’ora in poi DPS).

Si premette inoltre che un D.P.R. del 22 giugno u.s. ha rinviato tutte le scadenze in oggetto al 31/12 p.v., per cui le date riportate nei testi degli articoli sono, solo per quest’anno da sostituire con il 31/12.

1 - Adozione delle Misure Minime di Sicurezza con strumenti elettronici (art.34)

(In corsivo è riportato il testo dell’articolo)

Il documento inizia con una tabella che va riempita indicando i trattamenti tenuti dall’azienda; in questa tabella vanno riportati tutti i trattamenti tenuti dall’azienda, specificando poi di che dati si tratta, se sensibili o comuni, ed il nome dell’incaricato cui il singolo trattamento è demandato; eventuali trattamenti di dati sensibili riportati in questa tabella daranno luogo alla redazione (e solo loro saranno su di esso riportati) del Documento Programmatico sulla Sicurezza (punto 3). A lato della tabella si consiglia di far firmare per accettazione gli incaricati indicati nella tabella stessa, in modo che il documento rappresenti delle vere e proprie lettere d’incarico.

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:

a) autenticazione informatica è si intende l’attribuzione di un codice identificativo personale (username in gergo tecnico) ad ogni incaricato che, in combinazione con una parola segreta (password) consenta solo ed esclusivamente all’incaricato l’accesso al trattamento per il quale è stato designato (o ai trattamenti, se è stato designato a più trattamenti). La legge specifica che la password deve essere conosciuta solo dall’incaricato; stabilisce inoltre che la password deve essere formata da almeno 8 caratteri oppure, nel caso il sistema non preveda 8 caratteri di password, dal numero massimo di caratteri consentiti. La password dovrà essere cambiata dall’incaricato al primo utilizzo (cioè non si deve tenere la password assegnata dall’amministratore di sistema, perché solo l’incaricato la deve conoscere) e successivamente ogni 6 mesi (3 mesi in caso di dati sensibili), e sarà cambiata dal titolare se l’incaricato perde tale qualifica.

b) Adozione di procedure di gestione delle credenziali di autenticazione è si intende la compilazione di un elenco, detenuto dal titolare del trattamento e/o responsabile del trattamento (se nominato), nel quale non solo sono elencati i nominativi di tutti gli incaricati autorizzati, ma anche i rispettivi username. Non saranno riportate in questo elenco invece le password, che, come già detto, saranno a conoscenza solo ed esclusivamente dei singoli incaricati; in questo elenco saranno riportati anche i nominativi autorizzati ai soli fini di manutenzione del sistema informatico.

c) Utilizzazione di un sistema di autorizzazione è se vi sono più incaricati ad accedere ad un trattamento, e tra questi incaricati vi è una differenziazione di autorizzazioni (es, il sig. Mario Rossi è autorizzato a visionare la banca dati e ad apporvi modifiche, il sig. Giuseppe Bianchi solo a visionare), tale differenziazione di autorizzazioni deve essere specificata e riportata nel sistema informatico.

d) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici è si intende che la lista di cui al punto B deve essere tenuta aggiornata, a cadenza annuale (30 giugno di ogni anno).

e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici è si intende che devono essere previste ed adottate tutte quelle misure di sicurezza che sono ragionevolmente adottabili a difesa dell’inviolabilità del sistema informatico, per cui si fa riferimento ad antivirus, firewall, e tutte quelle soluzioni informatiche che sia ragionevole adottare. Per gli antivirus è previsto che siano aggiornati a cadenza almeno semestrale.

f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi è si intende la compilazione della relativa tabella che contenga le modalità di conservazione delle copie di sicurezza della banca dati (es. compact disc contenenti i back up periodici della banca dati vengono conservati in armadietti metallici chiusi a chiave di cui solo il titolare o il responsabile ha la chiave), e previsione nei programmi informatici di gestione della banca dati di una procedura per il ripristino dei dati danneggiati con l’utilizzo delle copie di sicurezza; va specificata anche la frequenza con cui si effettua tale back up.

Solo ed esclusivamente nel caso in cui le misure minime di sicurezza previste all’art. 34 non siano realizzabili per inadeguatezza tecnica degli strumenti informatici, allora il termine previsto per l’adozione delle stesse misure è differito al 31/03/2005 (art. 180). Per inadeguatezza si intende sia hardware che software (ad esempio se è richiesto l’intervento di un programmatore che preveda i livelli di autorizzazione non presenti nel software in dotazione), e la scadenza rimane al 31/03 anche se l’aggiornamento del sistema informatico è già in corso e terminerebbe comunque entro il 31/12 (quindi in tempo utile per l’adozione delle misure minime); per usufruire di tale dilazione di termini, il titolare del trattamento dovrà redigere un documento che provi tale inadeguatezza e che descriva le contromisure che si stanno prendendo: è fondamentale che il documento abbia data certa, motivo per il quale si raccomandano metodi come la raccomandata a se stesso o l’annullo postale del documento stesso.

2 - Adozione delle Misure Minime di Sicurezza senza l’ausilio di strumenti elettronici (art.35)

(In corsivo è riportato il testo dell’articolo)

Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:

a) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative è si intende la compilazione della tabella riportata al punto a) nella quale sono indicati tutti i trattamenti tenuti dall’azienda in modo non informatico, il tipo di dati trattati e gli incaricati ed autorizzati ai singoli trattamenti; anche in questo caso si consiglia di far firmare a lato gli incaricati per avere così la valenza di lettera d’incarico.

b) Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti è gli atti cartacei costituenti le banche dati devono essere custoditi in modo appropriato anche durante il loro uso per il trattamento, cioè, per esempio, i faldoni che servono al momento e sono quindi prelevati dall’archivio, devono essere tenuti in armadi metallici chiusi a chiave, e tali misure e procedure devono essere riportate in un documento apposito; si riporta nella tabella le modalità di conservazione attuate dall’azienda nel caso appena descritto.

c) Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati è tabella identica a quella del punto precedente, ma in questo caso riferito agli archivi; la tabella contiene non solo le misure di sicurezza, ma anche i nominativi degli autorizzati e la descrizione di una procedura di accesso che permetta l’identificazione di tutti gli incaricati che accedono (es. un registro da firmare da parte di chiunque acceda all’archivio).

Un’ultima nota è da aggiungere nel caso, non raro, nel quale nella stessa azienda, si abbia per un unico trattamento sia la gestione informatica dei dati, sia la gestione non informatica (nel caso ad esempio di un archivio cartaceo che serva come copia di riserva di quello informatico, oppure nel caso, estremamente frequente, di un archivio informatico di fatture e della loro controparte obbligatoria cartacea); in questo caso il documento comprovante l’adozione delle misure minime di sicurezza dovrà contemplare tutti gli adempimenti previsti per il trattamento con strumenti elettronici (art. 34) e tutti gli adempimenti previsti per il trattamento senza l’ausilio di strumenti elettronici (art. 35).

3 - Documento Programmatico sulla Sicurezza (art. 19 all. B)

(In corsivo è riportato il testo dell’articolo)

Il titolare di trattamenti di dati sensibili, una volta redatto il documento riguardante l’adozione delle misure minime di sicurezza previste per i trattamenti con strumenti elettronici (art. 34), dovrà redarre anche il DPS, ma solo per i trattamenti contenenti dati sensibili, come specificato nella tabella iniziale del documento sopra citato. La compilazione del documento è prevista sempre entro il 31 dicembre 2004. Anche in questo caso il documento è annuale, ma la scadenza sopra riportata è valida solo per quest’anno, in quanto dal 2005 il termine entro il quale va redatto il DPS è il 31 marzo: riassumendo quindi, il titolare di dati sensibili dovrà redarre due documenti, l’adozione delle misure minime di sicurezza entro il 31 dicembre, ed il DPS entro il 31 dicembre (31 marzo dall’anno prossimo).

La redazione del DPS è spiegata dall’art.19 dell’allegato B del Testo Unico, e prevede punto per punto i contenuti di tale documento, contenuti che ora vedremo dettagliatamente (in corsivo è riportato il testo dell’articolo).

Art. 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1 L’elenco dei trattamenti dei dati personali è il titolare dovrà in questo punto elencare i trattamenti contenenti dati sensibili per i quali è obbligato a redarre il DPS, ad esempio, se ha in corso due trattamenti (anagrafica clienti per fatturazione e anagrafica dipendenti), riporterà in questa sede solo il trattamento contenente dati sensibili. Per chiarezza del documento, il Garante consiglia di aggiungere all’elenco dei trattamenti le seguenti voci:

1. una descrizione sintetica dei trattamenti

2. la struttura di riferimento per ogni trattamento (es, anagrafica dipendenti è ufficio paghe)

3. il responsabile della struttura (il capo ufficio o il quadro di riferimento, non il responsabile dei trattamenti)

4. specificare se altre strutture, oltre quelle individuate al punto 3, concorrono al trattamento (es, se le paghe sono tenute da un ente esterno)

Nota importante: nel caso che ci si avvalga di un ente esterno, ad esempio per la gestione delle paghe, è importante che la ditta faccia un’informativa ai dipendenti, con relativa firma del consenso, nella quale si specifica che i dati saranno comunicati all’ente XXX per la gestione delle paghe.

5. a completamento del punto 4, specificare dove, fisicamente, sono tenuti tali trattamenti, nominando anche gli eventuali enti esterni che concorrono al trattamento.

6. la tipologia di dispositivi di accesso e tipologia di interconnessione, specificare ad esempio se si usano pc o telefonini, e come sono tra loro connessi (internet, rete locale, ecc).

19.2 la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati è si intende tracciare una “mappa” dei trattamenti e delle strutture, dipartimenti, uffici, che li gestiscono; è utile indicare in questa sede:

1. un elenco delle strutture che gestiscono i trattamenti di dati sensibili (es, ufficio paghe, ufficio anagrafico, ecc)

2. il responsabile di ogni struttura (da non confondere con il responsabile del trattamento, qui si intende ad esempio il quadro di riferimento, il capo ufficio, della struttura interessata)

3. i trattamenti operati da ogni struttura

4. una descrizione sintetica di ogni struttura

19.3 analisi dei rischi che incombono sui dati è individuare cioè i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutarne le possibili conseguenze e la gravità, e porli in correlazione con le misure previste. Questo punto è particolarmente importante per il rispetto di un importante principio al quale il DPS si deve uniformare, il principio cioè di proporzionalità, secondo il quale, le misure di sicurezza (al di là di quelle minime ovviamente) sono lecite solo se proporzionali al rischio e alla natura dei dati trattati; mal si giustificherebbe infatti un controllo molto “invasivo” (ad esempio il controllo dell’immagine della retina insieme al timbro vocale) per un trattamento di dati comuni o con un bassissimo rischio. In questa voce è utile quindi ricomprendere:

1. un elenco dei possibili eventi rischiosi divisi per tipologie (es, nella categoria di eventi provocati da persone, i rischi possono essere furto di dati, accessi non autorizzati, nella categoria riguardante i mezzi materiali i rischi possono essere il guasto tecnico, un’azione di virus, ecc).

2. l’analisi della gravità di ogni rischio sopra evidenziato

3. la descrizione delle contromisure prese per ogni rischio sopra evidenziato

19.4 le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità è in sintesi si richiede una descrizione più completa delle contromisure appena individuate (punto 3 del 19.3), ma non solo, una descrizione di tutte le misure di sicurezza attuate, anche se comuni a tutti i trattamenti o aventi carattere più generale. Anche a titolo esemplificativo è utile in questo punto specificare per ogni contromisura attuata:

1. una descrizione sintetica

2. il rischio che intende contrastare (in sostanza perché è stata adottata)

3. il trattamento interessato (come detto sopra, possono essere anche più di uno)

4. la data a partire dalla quale è operativa la contromisura in oggetto, o da quando lo sarà

5. periodicità e modalità dei controlli, oltre una indicazione di chi ne ha la responsabilità

19.5 la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23 è si intende una descrizione delle procedure previste per il salvataggio dei dati e per il loro utilizzo per ripristinare archivi danneggiati; in questa voce è quindi utile menzionare:

1. l’archivio del trattamento interessato (es anagrafe dipendenti)

2. le tipologie di dati sensibili contenuti

3. le procedure per il salvataggio e periodicità (es, salvataggio su CD-ROM effettuato settimanalmente)

4. l’ubicazione fisica delle copie

5. l’incaricato e responsabile della procedura di salvataggio

6. le procedure per il ripristino

19.6 la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali è si intende fare un quadro sintetico degli aggiornamenti e della formazione che si intende effettuare al personale preposto ai trattamenti; è utile specificare:

1. la tipologia di corso di formazione e suoi obiettivi

2. tipologie di incaricati interessate e loro numero

19.7 la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare è si intende descrivere brevemente i trattamenti delegati ad enti esterni, con una specifica del quadro contrattuale che regola la delegazione dei trattamenti; in questa sede è utile specificare:

1. i trattamenti che sono oggetto di delega a terzi

2. descrizione sintetica dei trattamenti oggetto di delega

3. specificazione del soggetto delegato

4. descrizione dei criteri adottati per garantire l’adozione da parte dell’ente terzo delle misure minime di sicurezza; è in questa sede che è utile inserire la dichiarazione di conformità al Testo Unico della Privacy da parte dell’ente delegato (come sopra riportato), oppure citare clausole contrattuali che garantiscono la piena rispondenza ai criteri di sicurezza individuati dal Testo Unico da parte dell’ente terzo. E’ utile ricordare che, a termini di legge, il committente può addirittura impartire istruzioni all’ente delegato su come effettuare il trattamento oggetto della delega; il terzo delegato invece, da parte sua, si dovrebbe impegnare a relazionare il committente periodicamente sull’attuazione delle misure di sicurezza, e dovrebbe riconoscere al committente anche il diritto ad effettuare verifiche.

I documenti illustrati in questa guida, una volta redatti, vanno conservati presso l’azienda e non vanno in alcun modo spediti al Garante. Solo nel caso di aziende con più di 50 dipendenti, si ha l’obbligo di fare menzione della redazione del DPS nella relazione accompagnatoria al bilancio, per aziende invece sotto tale limite, l’obbligo non sussiste, ma resta la facoltà di fare tale menzione.

La bozza di redazione di DPS proposta in questo documento non è vincolante, qualunque altra tipologia di documento che sia comunque idoneo a spiegare dettagliatamente tutte le voci riportate in questa bozza è altrettanto valida. La forma suggerita per effettuare entrambi i documenti e per avere la massima efficacia probatoria da parte di un’autocertificazione, è quella di dichiarazione sostitutiva di atto notorio.

Si informa inoltre i soci che sia la sede centrale, sia tutte le sedi circoscrizionali della Confcommercio della provincia di Firenze sono a disposizione sia per ulteriori informazioni, sia per ritirare i facsimile degli adempimenti appena illustrati.

· Borgo San Lorenzo 055/8457467

· Empoli 0571/72109

· Figline Valdarno 055/951907

· Sesto Fiorentino 055/440454

· Firenze (settore alimentare e Pubblici Esercizi) 055/3228413

· Firenze (settore non alimentare) 055/3228603

---

[1] Si ricorda che per dato sensibile si intende ogni dato dal quale è possibile risalire ad affiliazioni politiche, religiose, sindacali, filosofiche, di appartenenza di razza, e per estensione, anche dati medici, giudiziari e patrimoniali.

DIVIETO DI FUMO
QUADRO NORMATIVO E GUIDA AGLI ADEMPIMENTI

Il 10 gennaio 2005 è entrata in vigore la Legge n° 3 del 16 gennaio 2003, che istituisce il
divieto generale di fumare in “tutti i luoghi chiusi, pubblici o privati, aperti al pubblico o ad
utenti”. Questa informativa vuole illustrare il più compiutamente possibile tutti gli aspetti del
divieto, le modalità con le quali esso va messo in opera e le modalità con le quali va fatto
rispettare, oltre ad indicare chi è autorizzato ad effettuare controlli, emettere sanzioni,
quantificare le sanzioni in oggetto e dare un quadro normativo di riferimento che possa
fugare anche gli ultimi dubbi in materia.
Al termine della presente informativa troverete inoltre due cartelli predisposti che potrete
ritagliare ed apporre nei locali interessati, per poter fin da subito essere in regola con
l’obbligo normativo; le modalità di affissione dei cartelli saranno indicate nella sezione
apposita.
Contenuto del divieto
L’art. 51 della citata Legge n° 3 del 16 gennaio 2003, completa il quadro normativo già
esistente istituendo l’obbligo generale di divieto di fumo in tutti i luoghi che
sostanzialmente non siano esclusivamente privati; in pratica si è arrivati a definire il
divieto di fumo come obbligo generale, comportamento da tenere per definizione, con la
possibilità di fumare come eccezione che può essere esercitata solo ed esclusivamente in
luoghi a tal fine predisposti e che ricadano sotto previsioni specifiche. Analizzando nel
dettaglio il citato art. 51, infatti, (è fatto divieto di fumo in tutti i luoghi chiusi, pubblici o
privati, aperti al pubblico o ad utenti) si evince che, praticamente, ogni luogo di lavoro
ricade sotto tale divieto, basta che sia un luogo chiuso e che sia aperto al pubblico
o ad utenti, non rilevando nemmeno se il luogo è pubblico o privato; particolarmente
importante è stata l’aggiunta della parola utenti a fianco della parola pubblico, è con
questa aggiunta infatti che si ricomprende la quasi totalità dei luoghi di lavoro, estendendo
il divieto non solo al pubblico che viene all’interno della struttura ove il luogo di lavoro si
trova, ma anche ai dipendenti che in essa si trovano a lavorare.
Il clamore suscitato dalla norma che stiamo analizzando, ha portato la maggior parte dei
titolari d’impresa a ritenere erroneamente che tale divieto riguardi in prevalenza i pubblici
esercizi (bar, ristoranti, ecc), ma tale convinzione è nettamente sbagliata: certo, l’obbligo
colpirà quella categoria di esercizi con particolare impatto, ma ogni attività lavorativa ne
è interessata, così come ogni titolare d’impresa è soggetto alle sanzioni previste
dalla normativa se non fa rispettare il divieto.
In sostanza, ciò che il titolare d’impresa deve fare per essere a norma e non essere
suscettibile di sanzioni è:
· Esporre nei locali dell’impresa i cartelli recanti la scritta “VIETATO FUMARE”,
integrata dalle indicazioni della relativa disposizione di legge, delle sanzioni
applicabili ai contravventori e dei soggetti cui spetta viglilare sull’osservanza del
divieto e cui compete accertare le sanzioni (a tale scopo sono stati predisposti i
cartelli che trovate in questo stesso notiziario, che possono essere ritagliati ed
esposti, con l’obbligo di indicare sugli stessi i nominativi dei soggetti preposti alla
vigilanza);
· Vigilare sull’effettiva osservanza del divieto, facendo presente a chiunque non lo
rispetti che in quell’area è vietato fumare;
· Nel caso che il trasgressore non receda dalla sua condotta, avvisare le autorità
competenti (ufficiali ed agenti di polizia giudiziaria, polizia amministrativa locale,
guardie giurate adibite allo specifico servizio);
Sanzioni
Sono previsti due ordini di sanzioni, uno per il trasgressore ed uno per il titolare d’impresa.
Sanzioni per il titolare d’impresa:
· Nel caso di mancata apposizione o di non sufficiente evidenziazione dei cartelli
recanti il divieto di fumare: da un minimo di € 220 ad un massimo di € 2200;
· Nel caso di mancata vigilanza sull’osservanza del divieto (ad es. l’autorità
competente sorprende un cliente o anche un dipendente mentre contravviene al
divieto e nessuna segnalazione è stata fatta): da un minimo di € 220 ad un
massimo di € 2200.
· Nel caso di locali adibiti a fumatori con impianti di ventilazione insufficienti o
inesistenti: le precedenti sanzioni aumentate della metà.
Sanzioni per pubblico o dipendenti
· A prescindere dall’essere stati avvisati o meno dal titolare d’impresa o da
collaboratore da lui designato, chiunque venga colto in violazione del divieto di
fumo è passibile di una sanzione che va da un minimo di € 27.50 ad un massimo di
€ 275.00 (sanzioni raddoppiate se la violazione è commessa in presenza di donna
in stato di gravidanza o di bambini fino a 12 anni).
Istruzioni per l’uso dei cartelli
I cartelli che trovate in quest’informativa sono già di per sé a norma ed idonei, se affissi
con le giuste modalità, a sollevare il titolare d’impresa dal rischio di sanzioni; tali cartelli
devono essere ritagliati ed affissi in modo chiaro e ben visibile in tutti i locali di ingresso,
principali e dove ci sia una notevole concentrazione di pubblico o utenti; è inoltre
necessario scrivere su di essi in modo chiaro (stampatello) i nomi delle persone preposte
alla vigilanza. In locali secondari è invece possibile affiggere cartelli recanti la sola scritta
“VIETATO FUMARE”, ma deve comunque essere affisso almeno un cartello per
stanza.
Eccezioni al divieto
Il divieto di fumare non si applica nei locali privati ad uso privato (abitazione, automobile)
ed in tutti i luoghi di lavoro in locali all’aria aperta; per quanto riguarda i locali chiusi ma
aperti al pubblico o ad utenti, è data la possibilità al titolare d’impresa di predisporre
appositi luoghi nei quali è possibile fumare, ma solo e soltanto previa osservanza di
precise disposizioni tecniche riportate nel Decreto del Presidente del Consiglio dei Ministri
del 23 dicembre 2003; un eventuale locale riservato ai fumatori all’interno del luogo di
lavoro deve quindi necessariamente presentare come caratteristiche tecniche:
· Essere una stanza chiusa delimitata da quattro pareti a tutta altezza;
· Essere dotata di porta a chiusura automatica, porta che stia abitualmente in
posizione di chiusura;
· Non essere un locale di passaggio obbligato;
· Essere dotata di segnaletica luminosa riportante la scritta “AREA PER FUMATORI”:
in caso di guasto all’impianto di ventilazione, tale segnaletica deve essere
automaticamente spenta e sostituita dall’accensione, sempre automatica, di altra
segnaletica luminosa recante la scritta “VIETATO FUMARE PER GUASTO
ALL’IMPIANTO DI VENTILAZIONE”; ovviamente finchè il guasto o il
malfunzionamento dell’impianto non viene eliminato, tale area perde la sua
destinazione ad area per fumatori;
· Essere dotata di idonei impianti meccanici per la ventilazione forzata ed il ricambio
dell’aria; l’aria in immissione può provenire sia dall’esterno, sia da altri locali (non
destinati a fumatori), deve essere opportunamente filtrata e deve avere una portata
minima di 30 litri al secondo per ogni persona all’interno del locale, sulla base di un
indice di affollamento pari a 0.7 persone per metro quadro: all’ingresso del locale,
sulla base di queste specifiche, deve essere indicato il numero massimo di persone
ammissibili nel locale, in base alla portata dell’impianto; l’aria in uscita dal locale
riservato ai fumatori deve essere dispersa all’esterno secondo le vigenti normative
in materia di emissioni in atmosfera esterna, nonché dai regolamenti comunali di
igiene ed edilizi;
· Essere mantenuta in depressione costante non inferiore a 5 Pa. (Pascal) rispetto ai
locali circostanti;
· Avere la progettazione, l’installazione, la manutenzione ed il collaudo dei sistemi di
ventilazione conformi alle disposizioni legislative e regolamentari vigenti in tema di
sicurezza e di risparmio energetico, come pure alle norme tecniche dell’Ente
Italiano di Unificazione (UNI) e del Comitato Elettrotecnico Italiano (CEI). Gli
impianti in questione devono inoltre avere idonee dichiarazioni della messa in opera
degli impianti secondo le regole dell’arte e di conformità dei medesimi alle
normative vigenti, rilasciati da soggetti abilitati. Tali certificati devono essere tenuti a
disposizione delle autorità competenti per controlli o verifiche.
In conclusione, vogliamo porre alcune riflessioni sulla legge in oggetto; come sostenuto da
Confcommercio a livello nazionale e dalle principali federazioni ad essa aderenti, un conto
è l’esigenza, da tutti sentita come giusta ed inderogabile, di tutelare la salute pubblica ed i
diritti dei non fumatori, un conto è invece discriminare un’intera categoria di cittadini, anche
ponendo obblighi pesanti agli imprenditori, prevedendo come imputabile a loro stessi la
vigilanza e la denuncia delle trasgressioni. La Confcommercio accoglie con favore ogni
tentativo di tutela della salute, anche accettando che sia il titolare d’impresa a vigilare
sull’osservanza del divieto (invitando quindi i trasgressori a spegnere la sigaretta), ma non
può accettare che il titolare d’azienda sia obbligato a fare lo “sceriffo” denunciando ogni
trasgressore, né può accettare che, sempre il titolare d’impresa, sia sanzionato in caso di
omessa denuncia: al momento attuale infatti, non sussistono le basi né legislative, né
sociali per imporre un tale odioso obbligo, aggravato inoltre da sanzioni decisamente
eccessive.
Pertanto, anche alla luce delle richieste al Ministro Sirchia e degli eventuali ricorsi al TAR
che verranno elevati in caso di risposta negativa, la Confcommercio invita tutti i titolari
d’impresa al massimo rispetto della normativa in esame, apponendo quindi i cartelli ed
invitando i trasgressori a spegnere le sigarette, fermo restando che ogni eventuale
sviluppo della questione sarà oggetto di immediata comunicazione ulteriore.
In caso di dubbi o richieste di ulteriori delucidazioni, così come per le richieste di ulteriori
cartelli, è possibile chiamare i numeri 055/3228483 e 055/3228603.