Pubblicato in: cultura della sicurezza, valutazione dei rischi

Fare a gara a chi ce l’ha più piccolo

libro_grossoL’argomento rientrerebbe a buon titolo nella categoria «pornografia della sicurezza» per il livello di perversione che suscita in molti. Parliamo del Documento di Valutazione dei Rischi e della diffusa tendenza nel ritenere che quando un DVR è troppo “lungo” – cioè, è costituito da molte pagine – ciò sia un problema (gli psicoanalisti ancora si interrogano sul fenomeno).

A dire il vero, è lo stesso art. 28, comma 2, lett. a) del D.Lgs. n. 81/2008 che al secondo periodo afferma:

La scelta dei criteri di redazione del documento è rimessa al datore di lavoro, che vi provvede con criteri di semplicità, brevità e comprensibilità, in modo da garantirne la completezza e l’idoneità quale strumento operativo di pianificazione degli interventi aziendali e di prevenzione;

Dunque, «semplice», «breve», «comprensibile», ma anche «completo» e «idoneo».
E che ci vuole? È per questo che amo le antinomíe, per quella loro capacità di permetterti di girare la frittata come ti pare.

Tuttavia, vale la pena soffermarsi sul fatto che i primi tre termini sui quali si concentra l’attenzione della maggioranza (semplice, breve e comprensibile) sono, in effetti, pleonastici, dato che l’unica cosa che importa è il risultato: il DVR deve essere utile a fini operativi di pianificazione.

È opinione diffusa che una buona valutazione dei rischi sia il punto di partenza per mettere in piedi un buon processo decisionale ed un buon sistema di gestione del rischio.
D’altro canto, un’organizzazione che ha un buon sistema di gestione del rischio, è probabilmente un’organizzazione in grado di far meglio la valutazione dei rischi e utilizzarne meglio gli esiti.
Il loro documento, visto dall’esterno, potrebbe non essere considerato breve, semplice, comprensibile, ma essere perfettamente sensato all’interno di quella organizzazione.
Qual è la causa e qual è l’effetto?

Ora, è vero che dietro molti DVR grandi si nascondono consulenti piccoli, ma non è detto che dietro un buon documento di valutazione dei rischi si nasconda una buona valutazione dei rischi.
E non è nemmeno detto che un brutto DVR (lungo e grosso, il Mandingo dei documenti) sia sintomo di una cattiva valutazione dei rischi (benché questa sia l’assunzione più in voga tra gli addetti).

Potrei citare diversi, rilevanti motivi per cui è impossibile trovare il giusto punto di compromesso tra la brevità e l’esaustività.
Trovo il dibattito intorno alle dimensioni di un DVR poco utile. Ma poco utile assai…

Piuttosto, il dibattito dovrebbe girare intorno alla seguente questione: ma come possiamo fare per trasferire i contenuti di un DVR, lungo o corto che sia, a chi di dovere (datore di lavoro, dirigente, preposti)?
Per davvero, però…

 

 

 

Pubblicato in: dove sta scritto?, valutazione dei rischi

Dove sta scritto?…. Data certa

Non avrei mai voluto scrivere questo «Dove sta scritto?», dato che il tema è davvero tedioso, ma la sua necessità nasce da un’obiezione che mi è stata sollevata da un avvocato.
Tra l’altro un bravo avvocato, ma pur sempre un avvocato, ovvero una persona dotata di conoscenze avvocatesche, in grado di esercitare la propria avvocataggine con competenza in tutte le sedi in cui è richiesta avvocatazione. Appena, però, egli esce dal labirintico e mal tracciato sterrato del diritto per immettersi nel più certo e rettilineo sentiero della scienza e della tecnica, mi si perde. I paradossi dell’orientamento…

Eravamo lì, che si discuteva della consegna di un DVR che avevo redatto per l’azienda cliente e dico: «Ah, e mi raccomando, ricordate di assegnare data certa al DVR. Potete fare come vi pare, ma il mio consiglio è quello di inviare dal vostro indirizzo PEC al mio indirizzo PEC un messaggio contenente in allegato il DVR firmato dal datore di lavoro»

AVV. (in tutta la sua avvocatosità): «Gli allegati di una PEC non sono opponibili ai terzi in quanto dalla ricevuta di consegna non è possibile desumere il contenuto dell’allegato. Solo il corpo della mail è “certo”».

IO: «È una sciocchezza, tecnicamente non sta né in cielo, né in terra».

DOVE STA SCRITTO?

Doverosa premessa: noto in rete che questa leggenda metropolitana è piuttosto diffusa in rete ed è propalata, in particolare, su siti avvocateschi.

Più in fondo trovate metodi alternativi a quelli “canonici” per dare data certa ai DVR, ma ora concentriamoci sulla PEC.

Innanzitutto, che in termini di “certezza della data”, in una PEC non ci sia differenza tra corpo della mail e allegato, sta scritto nel D.P.R. n. 68/2005 «Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata», il quale all’art. 1, comma 1, lett. f) mi precisa cos’è un messaggio di PEC:

un documento informatico composto dal testo del messaggio, dai dati di certificazione e dagli eventuali documenti informatici allegati.

Sappiamo quindi per certo che, per legge, un messaggio di PEC comprende anche gli allegati, ma questo non è sufficiente a rispondere all’obiezione dell’avvocato che possiamo dividere in due sotto-obiezioni:

  1. guardando la ricevuta di consegna non possiamo dire nulla sull’effettivo avvenuto invio dell’allegato;
  2. guardando la ricevuta di consegna non possiamo sapere quale sia il contenuto dell’allegato alla PEC, né dire se esso sia stato successivamente modificato.

Da qui segue lo spiegone del perché quello che dice l’avvocato non sta né in cielo, né in terra e, comunque, potrei sollevare analoghe obiezioni di inaffidabilità su altri modi che la giurisprudenza e la norma definiscono idonei per assegnare data certa ai documenti.

La risposta alle due obiezioni deve essere rintracciata nel disciplinare tecnico che spiega come deve essere un servizio di PEC per essere considerato fatto per benino.

In sostanza ti viene spiegato che il messaggio che vuoi inviare tramite PEC (con tutti i pezzi) arriva al tuo gestore PEC che lo infila in una «busta di trasporto» (si chiama così), chiude la busta e ti invia una mail di accettazione, firmata con una chiave (sigillo). È analogo a quanto avverrebbe nel mondo materiale: scrivi un DVR, lo stampi e lo infili, con una lettera di accompagnamento, in una busta di carta gialla che poi chiudi e sigilli con ceralacca (chi non ha un anello con il proprio stemma nobiliare da usare come stampo?): la lettera di accompagnamento è il corpo della mail, il DVR rappresenta l’allegato alla mail e la busta gialla costituisce la busta di trasporto.

A quel punto, la busta chiusa e sigillata viene inoltrata al gestore PEC del destinatario (in mezzo succedono una serie di cose che non vi riferisco e che però garantiscono che il messaggio non sia stato modificato e sia completo) il quale ti invia una ricevuta di consegna, anch’essa firmata digitalmente, che può essere:

  • completa, caratterizzata dal contenere in allegato i dati di certificazione ed il messaggio originale;
  • breve, caratterizzata dal contenere in allegato i dati di certificazione ed un estratto del messaggio originale.
  • sintetica, caratterizzata dal contenere in allegato i dati di certificazione

La ricevuta completa risponde facilmente alla sotto-obiezione 1, poiché contiene anche l’allegato alla PEC e quindi possiamo sapere che esso è stato inviato e volendo, possiamo anche visualizzarlo. Con la breve, la stessa cosa si può fare mediante il codice hash contenuto nella ricevuta di consegna. Con la sintetica devi chiedere al tuo gestore di mandarti il documento allegato.

La sotto-obiezione 2 viene meno se si conosce  come funziona tecnicamente il sistema. Come scrivevo prima, tutte le varie ricevute sono firmate (sigillate) dai vari gestori. È la firma la garanzia che l’allegato sia quello che avevi inviato e che non sia stato successivamente modificato durante il viaggio. per questo viene usato lo standard di crittografia S/MIME.

Quindi, con certezza, ciò che mandi è quello che arriva (che poi è il fine della PEC).

Se un allegato viene modificato dal destinatario, dopo averlo scaricato, è sempre possibile controllare se esso non coincide con l’originale inviato, poiché i due file devono essere identici, informaticamente parlando.

Veniamo ai metodi alternativi per dare data certa ai DVR:

  1. Ingoiare il DVR e presentarsi al pronto soccorso accusando crampi e dolori addominali. Dopo essersi sottoposti all’operazione chirurgica, allegare al documento estratto dalla panza la radiografia e il certificato medico ai fini dell’attestazione della data;
  2. Rapire una persona, fotografarla con il DVR in mano ed inviare ad un giornale a diffusione nazionale la foto. Il giorno dopo acquistare il giornale ed allegare la prima pagina con la foto in questione al DVR;
  3. Uccidere una persona con il DVR e lasciare il documento lì sul luogo, come arma del delitto. La data di registrazione da parte dell'”ufficio depositi prove” della Polizia assegna data certa al DVR. L’unico problema è che, per consultarlo, dovrete costituirvi;
  4. Fare un figlio e, subito dopo il parto, lanciarlo nello spazio, in un’apposita navetta che viaggia a velocità nota, con una copia del DVR, quanto più possibile vicina alla velocità della luce (è importante che l’astronave vada molto veloce per aumentare i tempi di validità del metodo, così il bambino mi invecchia meno velocemente). Grazie alle leggi della relatività speciale, nota l’età del bambino, sarà possibile calcolare la data del DVR.

Ce ne sarebbero molti altri e sono sicuro che i commentatori non si faranno pregare in tale senso.

Sì, la data certa del DVR è una cagata pazzesca.