Il Regolamento (Ue) 2016/679, noto anche come RGPD (Regolamento Generale sulla Protezione dei Dati) o GDPR (General Data Protection Regulation), troverà piena attuazione esattamente fra un anno da oggi, il 25 maggio 2018, ovvero al termine del periodo di transizione.

A seguito dell’interessante seminario svoltosi venerdì 19 maggio 2017 presso l’Ordine degli Ingegneri di Bologna sulle possibili forme di certificazione in ambito Privacy, è utile fare qualche riflessione sull’attuazione di questa nuova normativa nelle organizzazioni del nostro Paese.

Attualmente esistono alcuni documenti ufficiali che permettono di comprendere meglio come declinare i requisiti del GDPR nella propria organizzazione, tra i quali:

• Linee Guida all’applicazione del RGPD del Garante Privacy italiano
• Linee guida sui responsabili della protezione dei dati (RPD) WP-243 (compreso l’allegato con le FAQ)
• Linee guida per la valutazione di impatto -WP248 .

Al momento, però, le indicazioni fornite non sono in grado di fugare tutti i dubbi sull’applicazione del GDPR, anzi!

Il GDPR dà spazio a integrazioni dei requisiti in esso riportati per regolamentare situazioni specifiche per tipo di dati trattati e particolari legislazioni nazionali, sarà compito del Garante Italiano definire eventuali disposizioni integrative che avranno valore di Legge.

Esaminando i concetti principali del GDPR, quali responsabilizzazione (accountability) del titolare e del responsabile del trattamento, privacy by design, privacy by default, valutazione di impatto, valutazione dei rischi e “misure di sicurezza adeguate”, è facile individuare molti punti di debolezza di numerose organizzazioni italiane che, per mentalità, non sono abituate ad affrontare il problema della protezione dei dati personali con metodo e come una reale priorità. Per molti vertici aziendali la privacy è “solo una scocciatura” e il nuovo Regolamento un “ennesimo obbligo cui toccherà adeguarsi”, ma non tanto prima della scadenza. Come se bastasse fare quattro documenti per risolvere il problema per sempre (o per lo meno fino al prossimo cambiamento normativo)!.

Purtroppo questo “approccio” per essere conformi al GDPR deve cambiare, perché è una norma di stampo anglosassone (tipo “common law”, a dispetto della Brexit) che richiede una forte responsabilizzazione di coloro che ricopriranno il ruolo di titolari (rappresentanti legali per le società) e responsabili del trattamento.

L’affidamento all’esterno di dati personali, anche solo per adempimenti legislativi, come la preparazione delle buste paga demandate allo Studio di Consulenza del Lavoro, devono richiedere un’attenta analisi del contratto con il soggetto esterno e verifica che esso soddisfi tutti i requisiti in termini di misure di sicurezza per la protezione dei dati.

Certamente per le PMI che trattano solo dati personali di dipendenti e collaboratori, oltre a nominativi di referenti di clienti e fornitori, l’adeguamento al GDP non sarà di particolare impatto, ma basta demandare all’esterno ad un servizio via web come la gestione del personale oppure avere un sito internet di e-commerce che raccoglie dati di utenti per rendere la gestione un pochino più complessa.

Viceversa le organizzazioni che trattano dati particolari (i.e. sensibili), soprattutto se poco strutturate e se gestiscono tali dati insieme a fornitori di servizi mediante internet, dovranno cambiare il loro atteggiamento sulla privacy e valutare attentamente i rischi che corrono. Soprattutto non credano che basti far scrivere un DPS o “riesumare” quello precedentemente redatto prima che il Governo lo abolisse: la carta (o i documenti digitali) non bastano, occorre la consapevolezza e la sostanza di applicazione di regole comportamentali, misure di sicurezza fisica e logica (sistemi informatici) ritenute adeguate (da chi?) e instaurare con fornitori e partner rapporti contrattuali che prendano in considerazione anche il trattamento dei dati personali e la loro tutela.

Recenti eventi come i ransomware del tipo Wannacry potrebbero far piangere veramente i titolari di trattamenti di dati sanitari, il cui valore per gli hacker potrebbe essere ben superiore dei 300 dollari in Bitcoin. Il ricatto potrebbe essere non del tipo “se rivuoi i tuoi dati paga”, ma “se non vuoi che divulghi su internet i tuoi dati paga il riscatto”!. Ci sono stati già casi analoghi legati a ricatti a proprietari di diritti di serie TV americane molto più innocui.

Relativamente al ruolo del DPO, l’obbligo di nomina imposto dal Regolamento ricade in modo certo solo su Enti Pubblici, mentre le Organizzazioni che controllano in modo regolare e sistematico dati personali di interessati su larga scala e quelle che trattano dati particolari (traducibili con i dati sensibili del vecchio Codice Privacy, D.Lgs 196/2003) su larga scala o trattano dati relativi a condanne penali e reati non sono facilmente determinabili. Cosa significa “su larga scala”? Le indicazioni fornite hanno permesso di stabilire che un medico di base della Sanità Italiana non tratta dati sanitari su larga scala, ma come considerare strutture superiori come Farmacie, Ambulatori medici Privati, Cliniche Private? Gli Studi Legali devono nominare un DPO?

Sicuramente le competenze del DPO dovrebbero comprendere competenze legali (conoscenza di normative e leggi applicabili alla materia ed ai dati trattati dall’organizzazione titolare del trattamento), competenze informatiche (non necessariamente particolarmente approfondite, per esse può rivolgersi a tecnici specializzati come sistemisti ed esperti di sicurezza informatica) e gestionali-organizzative.

Relativamente alle forme di certificazione sulla privacy che, beninteso, non esimono i titolari ed i responsabili del trattamento da essere passibili delle sanzioni previste dal Regolamento e dal Garante Privacy Italiano in caso di infrazioni, occorre distinguere fra diversi tipi di certificazione:

• Certificazione di prodotto o servizio, accreditata secondo ISO 17065, come ad es. lo schema ISDP 10003:2015 – Criteri e regole di controllo per la Certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. EU 679/2016.
• Certificazione delle figure Professionali della Data Protection (DPO, “Auditor Privacy”, “Privacy Officer” e “Consulente Privacy”).
• Certificazione delle Aziende del Data Protection Management System in conformità al Codice di Condotta DPMS 44001:2016^© ed al Reg. (UE) 679/2016.
• Certificazione del sistema di gestione della sicurezza delle informazioni secondo la ISO 27001:2013.

Premesso che la certificazione accreditata secondo il Regolamento UE 679/2016, così come esposta dall’articolo 43 dello stesso RGPD, trova attualmente riscontri solo in standard e certificazioni afferenti allo schema di accreditamento ISO 17065 (certificazioni di prodotto o servizio), emergono le seguenti considerazioni:

• Non si è ancora affermato un sistema di gestione della privacy riconosciuto che, sulla base della struttura HLS delle norme sui sistemi di gestione (ISO 9001, ISO 27001, ecc.), consenta di gestire la protezione dei dati con un approccio sistemico, basato sui processi e concetti come il risk based thinking e l’attuazione di azioni finalizzate ad affrontare i potenziali rischi sul trattamento di dati personali.
• Il ruolo del Data Processor Officer (DPO o RPD), come è definito dal Regolamento, non corrisponde ad una figura professionale specifica avente determinati requisiti di competenza (istruzione scolastica e post scolastica, conoscenze normative e tecniche, esperienza nell’ambito privacy, partecipazione a corsi di formazione, superamento di esami o abilitazioni). Il DPO è piuttosto “un ruolo” che potrebbe richiedere competenze differenti a seconda della realtà in cui opera e della criticità della protezione dei dati personali nell’organizzazione stessa.
• Tutti gli schemi e gli standard sopra indicati permettono di ridurre il rischio che il titolare del trattamento e gli eventuali responsabili incorrano in infrazioni nel trattamento di dati personali e, quindi, rischino infrazioni anche pesanti e/o gravi danni di immagine.

Per concludere, secondo il risk based thinking, quali rischi corrono le aziende che non sono adeguate al GDPR?

La probabilità di essere sanzionati a seguito di ispezioni del Nucleo Privacy della GdF è estremamente bassa, un po’ più alta per organizzazioni che trattano dati particolarmente critici (la valutazione è fatta in base al numero delle ispezioni avvenute negli ultimi anni).

La probabilità di incorrere in sanzioni o in risarcimento danni a causa di istanze di interessati che si sentono danneggiati nella loro privacy oppure in caso di incidenti di dominio pubblico è un po’ più alta.

L’impatto delle conseguenze nel caso si verifichino suddetti eventi negativi dipende dal tipo di organizzazione e dai dati trattati, può essere significativo o devastante a seconda dei casi.

Leggi anche l’articolo Impatti del Regolamento Privacy sullo sviluppo software.

In questi mesi si sente parlare molto delle agevolazioni fiscali per le imprese relative al Piano Industry 4.0, promosso già dal Governo Renzi in autunno 2016. Cerchiamo, in questo articolo, di capire meglio quali sono le reali opportunità per le imprese ed i vincoli che la Legge pone per usufruire degli incentivi, anche per capire in quali situazioni conviene realmente investire in questa direzione, al fine di non trovarsi brutte sorprese ad investimenti effettuati.

Il focus del Piano Industria 4.0 è il settore manifatturiero, esso punta alla digitalizzazione delle imprese produttrici, anche se non sono completamente escluse le aziende di servizi. Il fine del Governo è quello di incrementare gli investimenti nelle imprese, che al momento latitano e vedono il nostro Paese indietro rispetto al resto d’Europa. La carenza di investimenti è molto probabilmente la principale causa della crescita bassa (in termini di “zero virgola”…) dell’Industria del nostro Paese, soprattutto se paragonata agli altri Paesi industrializzati dell’Europa.

Perché Industria 4.0? La prima rivoluzione industriale è avvenuta alla fine del 18° secolo con l’introduzione di potenza vapore per il funzionamento degli stabilimenti produttivi, la seconda rivoluzione industriale si colloca all’inizio del 20° secolo con l’introduzione dell’elettricità, dei prodotti chimici e del petrolio; la terza rivoluzione industriale è iniziata all’inizio degli anni ’70 con l’utilizzo dell’elettronica e dell’IT per automatizzare ulteriormente la produzione (robot industriali e computer). Ora, invece, nella quarta rivoluzione industriale, il concetto fondamentale è la connessione con un sistema di raccolta e gestione dei dati, collegamento a internet, IoT o Internet delle Cose (utilizzo di macchine intelligenti, interconnesse e collegate ad internet) ed altro ancora.

L’elemento caratterizzante del piano di incentivazione, dunque, è la connessione, fra diversi dispositivi (macchina-elaboratore, macchina-macchina, macchina-internet, macchina-dispositivo mobile, ecc.).

Le tecnologie coinvolte nel piano Industry 4.0 sono le seguenti:

1. Advanced Manufacturing Solutions (Robot collaborativi interconnessi e rapidamente programmabili).
2. Additive manufacturing (Stampanti in 3D connesse a software di sviluppo digitali).
3. Augmented Reality (Realtà aumentata a supporto dei processi produttivi).
4. Simulation (Simulazione tra macchine interconnesse per ottimizzare i processi).
5. Horizontal/Vertical Integration (Integrazione informazioni lungo la catena del valore dal fornitore al consumatore).
6. Industrial Internet (Comunicazione multidirezionale tra processi produttivi e prodotti)
7. Cloud (Gestione di elevate quantità di dati su sistemi aperti).
8. Cyber- security (Sicurezza durante le operazioni in rete e su sistemi aperti).
9. Big Data and Analytics (Analisi di un’ampia base dati per ottimizzare prodotti e processi produttivi).

Evidentemente l’elenco è disomogeneo, ma in ogni caso indica alle imprese quali sono le tecnologie abilitanti per usufruire delle agevolazioni.

Fra le voci più significative vi è l’integrazione orizzontale e verticale.

L’integrazione verticale va dall’acquisizione di dati a livello produttivo, attraverso sensori, all’elaborazione dati tramite software gestionali: è l’integrazione che parte dal MES (Manufacturing Execution System) al sistema di Controllo di Gestione.

Sono diverse le soluzioni di integrazione orizzontale, ad esempio possono passare attraverso la connessione con il fornitore per migliorare la supply chain comprendendo soluzioni per la collaborazione, il planning, l’order management, il tracking per la logistica, il data analytics e molto altro ancora.

Nel piano Industria 4.0 le principali incognite per le imprese possono essere così riepilogate:

• il rapporto costi/benefici dell’intervento;
• la mancanza di competenze digitali interne;
• la portata degli investimenti, che comunque rappresentano un costo che, ricordiamolo, viene finanziato solo se l’impresa è in utile;
• la carenza di standard digitali;
• l’incertezza sulla sicurezza dei dati (ad esempio nel caso della connessione attraverso Internet of Things e il Cloud Computing).

Su quest’ultimo punto il Piano Industria 4.0 ha pensato di introdurre il capitolo della Sicurezza delle Informazioni, anche relativamente ai dati gestiti in ambito IoT.

Per capire meglio il significato e la portata di tali incognite occorre precisare che – per chi ancora non lo sapesse – le agevolazioni sono costituite dall’iper-ammortamento (250% del valore del bene) e dal super-ammortamento (140% del valore del bene), che si applicano, nel primo caso, ai beni materiali acquistati, nel secondo anche ai beni immateriali.

L’elenco dei beni materiali e immateriali a cui è applicabile il super e iper ammortamento è stato ufficialmente pubblicato dal Ministero dello Sviluppo Economico (MISE) ed è scaricabile in allegato al presente articolo insieme alle linee guida del MISE stesso per l’applicazione delle agevolazioni.

Occorre precisare che per rientrare nel Piano Industria 4.0 ed usufruire degli incentivi occorre acquisire almeno un bene materiale rientrante nell’elenco, ovvero acquisire strumentazione atta a trasformare un’apparecchiatura/macchina preesistente in un “bene Industria 4.0” (caso del revamping di macchinari). In altre parole per poter usufruire del super ammortamento per l’acquisto di un bene immateriale, ad esempio un software, rientrante nelle categorie previste dalla Legge, occorre che il soggetto beneficiario del finanziamento acquisti anche un bene materiale; non è richiesto il collegamento fra bene materiale e beni immateriali acquistati per usufruire dell’agevolazione! Ad esempio, al limite un’impresa potrebbe acquistare un sistema di sensori per acquisire dati da una macchina produttiva (ad esempio temperature da un forno) ed applicare il super ammortamento all’acquisto di un sistema MES o big data analytics che non trattano i dati rilevati dalla macchina 4.0.

Tra i vincoli per poter usufruire dell’agevolazione vi è che l’investimento deve avvenire entro il 31/12/2017, con almeno un ordine ed un anticipo del 20% pagato entro il 31/12/2017 e con consegna del bene entro 30/06/2018. La perizia giurata di un ingegnere iscritto all’Albo o di un perito industriale  è necessaria per investimenti superiori a 500.000 € per il singolo bene, negli altri casi è sufficiente una autodichiarazione del Legale Rappresentante dell’impresa.

È evidente che il fattore tempo gioca un ruolo fondamentale nella decisione ed effettuazione di investimenti che, soprattutto nel caso di PMI, normalmente richiedono una valutazione abbastanza lunga ed incerta. Visto poi che la Legge non è di chiarissima interpretazione (si attende in questo mese una Circolare interpretativa dell’Agenzia delle Entrate su molti aspetti ambigui), alcune imprese rischiano di effettuare investimenti che poi non risulteranno ammissibili, magari trascinati dalle indicazioni di venditori di macchine e apparecchiature. Al proposito va ricordato che l’autodichiarazione del Legale Rappresentante ha risvolti penali in caso di non ammissibilità del bene; dunque esiste la concreta possibilità che molte aziende richiedano comunque la perizia giurata di un ingegnere abilitato per garantire il vertice aziendale contro brutte sorprese (costo non iper-ammortizzabile e dichiarazione mendace). Buona prassi sarebbe rivolgersi, prima di effettuare l’investimento, ad un consulente che possa indirizzare l’azienda ed il management non competente nelle tecnologie da acquisire e verso investimenti che, non solo siano ammissibili agli incentivi Industria 4.0, ma che risultino realmente utili per l’azienda nel medio-lungo periodo.

Fra i principali fattori inibitori nell’adottare le tecnologie incluse nel piano Industria 4.0 vi è sicuramente la scarsa cultura digitale delle PMI italiane e una mancanza di leadership digitale del management della PMI stessa.

Tra i processi che potrebbero trarre maggior vantaggio dall’implementazione di misure Industry 4.0 spiccano sicuramente le tematiche di pianificazione, schedulazione e controllo avanzamento della produzione e lo sviluppo  del prodotto/industrializzazione.

Il Piano Industria 4.0 è un percorso di trasformazione, non solo tecnologico, ma anche organizzativo e gestionale. Il fine dell’impresa deve essere l’incremento del valore per il cliente, anche attraverso il miglioramento dell’efficienza aziendale, la fornitura di soluzioni innovative, la proposta di servizi innovativi e migliorativi rispetto allo standard.

Per iniziare un progetto di Industria 4.0  è importante effettuare una valutazione iniziale finalizzata all’obiettivo Industry 4.0 per capire di cosa l’azienda realmente bisogno, quali sono gli elementi di possibile miglioramento e le opportunità da poter cogliere, ma anche dei rischi connessi agli investimenti.

Si ribadisce che i benefici per beni materiali e immateriali devono essere connessi attraverso il soggetto beneficiario, non direttamente fra gli asset fisici e immateriali, ma chiaramente un piano Industry 4.0 coerente dovrà prendere in considerazione l’interconnessione fra gli uni e gli altri, solo così facendo si otterrà il massimo nel miglioramento dell’efficienza dei processi aziendali.

Si ricorda che il software deve essere incluso nell’allegato B per poter rientrare nell’incentivo, mentre per i software c.d. “embedded” prevale il riferimento al bene iper-ammortizzabile nel quale è contenuto. Tale bene deve appartenere ai beni dell’allegato A alla Legge.

Infine non è ancora chiaro quali costi accessori (consulenza finalizzata all’utilizzo del bene) siano iper e super ammortizzabili, al proposito si attende la Circolare di chiarimento dell’Agenzia delle Entrate.

[Download non trovato]

[Download non trovato]

[Download non trovato]

Il CREDIT RISK MANAGEMENT SYSTEMS CRMS FP 07:2015 (CRMS) è il primo schema (proprietario) che tratta la gestione del rischio di credito commerciale. Nasce dalle crescenti esigenze delle organizzazioni di mantenere il controllo sui crediti verso clienti, che se mal gestiti sono spesso una delle principali cause di fallimento delle imprese.

Il SGRC è coerente con i principi dell’HLS elaborato dall’ISO per gli standard sui Sistemi di Gestione (es. ISO 9001:2015, ISO 14001, ISO 27001, ecc.).

La finalità è quella di indirizzare le aziende nell’implementazione di procedure per la gestione del credito che permettano di determinare il livello di rischiosità del cliente, implementando azioni atte a contenere tale rischio mediante la definizione di un livello massimo di esposizione o altre forme di mitigazione, come la definizione di modalità e termini di pagamento coerenti, garanzie e clausole contrattuali appropriate e così via.

Il SGRC permette così l’espansione delle vendite senza compromettere l’equilibrio economico e, soprattutto,  finanziario dell’azienda.

Il Sistema recepisce l’approccio PDCA e la struttura di tutte le nuove norme sui sistemi di gestione (Contesto dell’organizzazione, Leadership, Pianificazione per il Sistema di gestione del credito, ecc.) pertanto si presta perfettamente ad essere integrata in atri Sistemi di Gestione (ISO 9001, ISO 14001, ISO 27001,…).

Tutti i requisiti sono ovviamente declinati nell’ottica della gestione del credito, ad es. l’Organizzazione deve identificare le parti interessate pertinenti al Sistema di Gestione per il Credito e i requisiti di tali parti interessate attinenti la gestione del credito, tenendo conto anche di eventuali

requisiti cogenti, ecc. Anche l’analisi del contesto esterno ed interno all’organizzazione è volta ad identificare i principali fattori che influenzano l’aspetto economico-finanziario, quali termini di pagamento imposti dal mercato o cogenti, tassi di interesse, accesso al credito presso Istituti di Credito o Società finanziarie, dinamiche dei costi del processo produttivo o di erogazione dei servizi, ecc.

Naturalmente l’attività di pianificazione delle attività finalizzate ad affrontare rischi ed opportunità nella gestione del credito commerciale costituisce uno dei capisaldi dello standard.

Il SGRC si basa sulla politica nella gestione del credito stabilita dalla direzione, che deve definire obiettivi ed indicatori per monitorare il raggiungimento degli obiettivi di gestione del credito.

A supporto della Direzione per la realizzazione del SGRC occorre nominare un Credit Manager che, indipendentemente da altri compiti e responsabilità, svolgerà determinate attività e assumerà precise responsabilità sull’argomento.

Le risorse e le relative competenze del personale devono essere commisurate alle esigenze di gestione del credito. Anche comunicazione, informazioni documentate e infrastrutture devono essere pianificati in base alle necessità di gestire il credito ed i relativi rischi connessi.

Per quanto riguarda le Attività Operative, l’organizzazione deve applicare un processo formale e documentato per l’analisi del rischio di perdita del credito. Tale processo include l’utilizzo di un modello di scoring attraverso il quale attribuire classi di rischio a ciascun cliente e determinare, di conseguenza, il grado di affidabilità del cliente in termini di solvibilità.

Il modello di credit scoring elabora una serie di informazioni utilizzando semplici ponderazioni e calcoli basati sull’esperienza aziendale oppure elaborati metodi statistici, pervenendo ad un punteggio sintetico di rating.

Il modello di scoring dovrebbe prendere in considerazione svariate informazioni, quali:

• Puntualità e ritardi nei pagamenti pregressi;
• Livello di esposizione nei confronti dell’organizzazione;
• Dati societari (bilanci, ecc.)
• Informazioni commerciali sul rischio di credito del cliente ottenute da società specializzate;
• Elementi pregiudiziali e protesti;
• Storicità e potenzialità del rapporto commerciale;

Il modello di scoring non deve necessariamente essere un modello “validato” dalla teoria sull’argomento o soddisfare determinati canoni o standard, ma deve, soprattutto, rispondere alle esigenze dell’organizzazione per una efficiente gestione degli incassi e mitigazione del rischio di credito. Come vedremo nel seguito, la validazione del modello è interna, al fine di soddisfare i requisiti propri dell’organizzazione.

Se, infatti, Banche e società specializzate in rating finanziario hanno algoritmi elaborati di un certo tipo, per una PMI le esigenze potrebbero essere diverse, per esempio il medesimo ritardo nei pagamenti per organizzazioni diverse potrebbe avere un peso diverso nell’algoritmo di scoring.

A valle della classificazione dei clienti in una determinata classe di rischio, o comunque nell’attribuzione di un rating per ogni cliente, in base a criteri stabiliti, devono essere intraprese azioni per trattare il rischio di credito in ogni situazione. Si può variare, secondo le esigenze e le opportunità di ogni singola azienda, dalla riduzione o limitazione del fido, alla modifica delle modalità di pagamento o addirittura alla cessazione delle forniture fino al rientro del debito.

Il modello di scoring e le attività di mitigazione del rischio di credito conseguenti devono essere validate per dimostrare la loro capacità di ridurre il rischio di insolvenza. Questo può essere dimostrato migliorando gli indicatori stabiliti per monitorare il rischio di credito (es. percentuale di insoluto rispetto al fatturato, media dei ritardi di pagamento dei clienti, esposizione finanziaria, ecc.).

Le linee di credito dovranno essere stabilite, approvate e periodicamente riesaminate da funzioni della struttura organizzativa aziendale appositamente incaricate.

Oltre a quanto appena esposta dovranno essere definiti e gestiti i processi di comunicazione con i clienti, fatturazione, controllo operativo del portafoglio clienti, gestione del contenzioso e recupero crediti, controllo dei processi/prodotti/servizi affidati all’esterno, mediazione o azione legale, gestione perdite su crediti, continuità operativa.

La valutazione delle prestazioni è analoga a quanto previsto per la norma ISO 9001:2015:

• Occorre stabilire ed attuare attività di monitoraggio e misurazione dei processi finalizzata a valutare l’efficacia del sistema di gestione del credito;
• Vanno pianificati e condotti audit interni per verificare se il CRMS è conforme ai requisiti ed attuato efficacemente;
• Deve essere periodicamente effettuato un Riesame di Direzione, finalizzato a valutare il raggiungimento degli obiettivi, nonché l’efficacia del CRMS;
• Deve essere implementato un processo di miglioramento basato sul trattamento delle non conformità e sulla pianificazione ed attuazione delle conseguenti azioni correttive ritenute necessarie.

In conclusione lo schema è ben strutturato e costituisce un ulteriore anello di congiunzione fra sistemi qualità ISO 9001 e controllo di gestione, al fine di gestire l’azienda in maniera coordinata ed efficace, oltre che efficiente, da diversi punti di vista.

Tra i vantaggi nell’implementare il CRMS – ed eventualmente di certificarlo con un Organismo di Certificazione – vi sono la garanzia di ridurre in modo pianificato, e oserei dire scientifico, il rischio di perdite da crediti insoluti e il miglioramento della reputazione aziendale nei confronti degli Istituti di Credito che, al di là di altri parametri, riconosceranno nell’organizzazione che attua un CRMS certificato, un soggetto sicuramente più affidabile nell’erogazione di credito, proprio perché tiene maggiormente sotto controllo i propri crediti.

In caso di catastrofi e calamità naturali quali terremoti, alluvioni, inondazioni, incendi, eruzioni vulcaniche, uragani oppure atti terroristici, uno dei danni collaterali dopo la perdita di vite umane e i danni materiali ad edifici ed infrastrutture, occorre considerare il blocco dei sistemi informativi che può rallentare notevolmente la ripresa delle normali attività.

Le metodologie da impiegare per prevenire e mitigar i danni che possono compromettere la ripresa delle attività dopo un evento catastrofico riguardano la tematica della business continuity (continuità operativa).

Nell’intervento presentato lo scorso 17/11 al Convegno EVENTI SISMICI: PREVENZIONE, PROTEZIONE, SICUREZZA, EMERGENZA, le cui slide sonono scaricabili in questa pagina, si sono presentate tutte le attività da porre in essere per controllare tali situazioni indesiderate, in particolare sono stati trattati i seguenti argomenti:

• business continuitymanagement
• normative ISO 22301, ISO 2001/27002 e ISO 27031 per la gestione della business continuity, con particolare riferimento ai sistemi informatici
• gestione dei rischi per la continuità operativa
• disaster recovery
• obiettivi ed indicatori di business continuity
• business continuity plan (piano di continuità operativa).

La sicurezza dei dati in caso di terremoto

In questi ultimi tempi si è parlato spesso di Big Data e dell’utilità dell’analisi degli stessi per ottenere informazioni utili alla gestione di varie organizzazioni, anche al fine di prendere decisioni strategiche.

La Business Intelligence (BI) è un insieme di modelli, metodi e strumenti che permette la raccolta, l’aggregazione, l’analisi e la presentazione di informazioni, il tutto per generare conoscenza volta al miglioramento di attività e servizi. I Big Data in sé non generano valore, se non vengono analizzati con strumenti di Business Intelligence, appunto.

Viceversa la BI non serve solo ad analizzare i Big Data, ma anche per analizzare ed interpretare i dati – di entità inferiore – che sono contenuti nei sistemi informativi aziendali, a volte differenti fra loro, e che non sono integrati o comunque interconnessi, al fine di ottenere informazioni omogenee e realmente utili.

La Business Intelligence si suddivide in due aree:

• Datawarehouse, il cui scopo è di raccogliere, integrare, aggregare e presentare i dati;
• Data Mining, il cui scopo è di analizzare, interpretare e scoprire eventuali informazioni interessanti.

Datawarehouse

È  un sistema per gestire e raccogliere in modo permanente e aggiornabile i dati provenienti da fonti diverse. Rappresenta il livello intermedio fra i sistemi OLTP (On Line Transaction Processing), che elaborano dati dettagliati e aggiornati da brevi transazioni ripetitive, e i sistemi OLAP (On Line Analytical Processing), che fungono da supporti alle decisioni compiendo complesse elaborazioni su notevoli quantità di dati storici con varie possibilità di aggregazione. L’OLAP crea, inoltre, una rappresentazione tridimensionale chiamata “Data Cube”, che facilita la visualizzazione dei risultati.

Data Mining

È un sistema che si pone come gradino intermedio fra Datawarehouse e generazione della conoscenza. Permette di scoprire una serie di informazioni intrinseche e non banali contenute in basi di dati anche di notevoli dimensioni. Queste informazioni possono poi essere utilizzate a scopi gestionali o decisionali. Le attività principali del sistema riguardano l’individuazione di dipendenze fra eventi e di classi nella popolazione con una loro descrizione. Esiste anche la possibilità di riconoscere eccezioni, per esempio frodi o false richieste. Esistono svariate applicazioni della disciplina, per esempio nei mercati finanziari, nella valutazione di rischi e frodi, nella determinazione di meccanismi d’acquisto, nelle analisi di mercato via web e nel marketing, per esempio nel clustering.

Applicazioni della Business Intelligence

Le applicazioni e le opportunità della BI spaziano in diversi settori, sia a livello aziendale, sia nella Pubblica Amministrazione, senza dimenticare applicazioni sportive (es. analisi di dati statistici su partite di calcio, analisi dei dati della telemetria in Formula 1, ecc.).

La disciplina della BI comprende anche algoritmi specifici per l’analisi dei dati come l’algoritmo “A priori” e gli algoritmi di clustering “K-means” e “Simple Lincage Hierarchical Clustering”. Inoltre la teoria prevede – prima di procedere all’analisi dei dati – una integrazione degli stessi ed una “pulizia preliminare” (data cleaning), per evitare che dati errati o poco significativi alterino i risultati delle analisi.

Queste basi scientifiche sono in forte espansione grazie alle sempre maggiori potenze di calcolo degli elaboratori e dei software di analisi, oltre alla sempre maggiore disponibilità di dati che vengono raccolti dai sistemi informatici più svariati. La forza di Google è anche data dalla capacità che ha avuto l’azienda di Mountain View di analizzare in modo efficace i dati della navigazione e della ricerca sui siti web, inventando, di fatto, i web analytics.

BI e PMI

Le future possibilità di utilizzare questi sistemi per effettuare previsioni e le loro enormi potenzialità rendono facile pronosticare un loro ampio e sempre più efficace uso nel controllo di gestione, nella gestione della qualità e nell’analisi di scenari futuri presso imprese di ogni tipo e dimensione.

Ma oggi le PMI italiane possono trovare giovamento dalla business intelligence?

Il problema da un lato è culturale: nelle medio-piccole e piccole imprese italiane manca spesso la conoscenza della teoria (drill-down, roll-up, data mart, datawarehouse… sono tutti termini sconosciuti ai più) e degli strumenti di analisi dati. A ciò si può sopperire con la formazione del personale e con la consulenza di esperti in grado di aiutare l’azienda a capire quali informazioni si vogliono conoscere e come raccogliere gli indicatori necessari per supportare la Direzione nella gestione aziendale.

Per quanto riguarda gli strumenti, oggi non ci sono soltanto applicazioni di livello Enterprise, ovviamente molto costose, per analizzare i dati disponibili, ma esistono applicativi free o open source come Microsoft Power BI o Qlik View che permettono di integrare dati provenienti da diverse fonti (database SQL di software gestionali, fogli Excel, Database Access, ecc.)  e di generare report e dashboard interattive con grafici e tabelle di dati molto utili per capire come sta andando l’azienda. Naturalmente bisogna saperli usare e conoscere come sono archiviati i dati nei Server (e spesso nei Client) dell’organizzazione.

Dall’altro lato molte PMI italiane non hanno certo i Big Data nei loro sistemi, ma forse neanche quei pochi dati organizzati da poterli analizzare. Questa carenza deriva dalla scarsa diffusione di sistemi informativi integrati nella PMI: quante (troppe) volte in azienda vi è un gestionale con il quale viene gestita la contabilità, gli ordini cliente e gli ordini di acquisto, poi ci sono fogli Excel per la programmazione della produzione, i controlli qualità vengono registrati su carta o su altri sistemi non integrati, le offerte non finiscono tutte nel gestionale, la rintracciabilità è gestita con moduli manuali e così via? Alla fine di tutto il sistema qualità richiede alcuni indicatori per il cui calcolo vengono impiegati tempo e risorse eccessive. Ne consegue che molti pensano che la qualità sia una perdita di tempo…

Oggi mediante i nuovi incentivi del Governo – con il super e iper-ammortamento per investimenti in Industria 4.0 – molte PMI hanno l’opportunità di investire anche in strumenti di Business Intelligence che almeno renderanno più efficiente lo svolgimento di alcune attività inerenti il sistema qualità ISO 9001 ed il controllo di gestione, ma che se ben sfruttati possono essere integrati in altri sistemi (ad es. CRM) e potranno fornire molte informazioni agli imprenditori per rendere sempre più competitiva la propria azienda.

Ormai la Brexit, ovvero l’uscita della Gran Bretagna dalla UE, è ormai fatto certo, anche se i tempi non saranno immediati. Analizziamo, dunque, quali potranno essere gli effetti di questo avvenimento, oserei dire storico, sull’industria italiana che intrattiene rapporti commerciali diretti o indiretti con l’industria britannica.

In particolare, numerose imprese italiane hanno acquisito, soprattutto negli ultimi anni, alcuni clienti del Regno Unito, magari grazie ai prezzi particolarmente competitivi, grazie al cambio favorevole per la Sterlina nei confronti dell’Euro.

Ora, però, la Gran Bretagna sta per uscire dall’Unione Europea e si paventano nuovi ostacoli al commercio fra Europa dell’Unione e Regno Unito. Al momento non ci è dato sapere quali e quanti nuovi problemi sorgeranno negli scambi commerciali con la Gran Bretagna, in quanto le regole sono da riscrivere e ciò porterà via un po’ di tempo.

Di certo c’è il consistente calo della quotazione della Sterlina Britannica nei confronti dell’Euro e ciò se da un lato favorisce il turismo e in generale i viaggi ed i soggiorni di lavoro verso la Gran Bretagna, dall’altro rende meno competitivi i prodotti italiani nei confronti dell’industria britannica. L’effetto si potrà avere non solo per clienti diretti inglesi, ma anche per la fornitura di prodotti a clienti che, a loro volta, forniscono imprese britanniche.

Perdere un 10% nel prezzo percepito dal cliente per un prodotto o per una commessa non è cosa di poco conto! Il cliente potrebbe rivalutare fornitori britannici a discapito dell’attuale fornitore italiano.

Per questo, al fine di non perdere il cliente, occorre che le imprese italiane che riforniscono – direttamente o indirettamente – clienti inglesi cerchino di mantenere la propria competitività non abbassando i prezzi per sopperire alla diminuzione di valore della Sterlina, ma puntando su qualità del prodotto e del servizio, oltre che sull’organizzazione interna, cercando di rendere i propri processi più efficienti. Questo potrebbe essere ottenuto introducendo innovazioni nel processo produttivo, nella progettazione (ove presente) e nei processi di supporto, attraverso il miglioramento delle competenze del personale ed il ricorso a sistemi informativi più moderni e performanti, e perché no, ricorrendo anche ad innovazioni tecnologiche che rientrano nella sfera della cosiddetta “Industry 4.0”.

Ottenere la certificazione ISO 9001 per chi non la possiede oppure migrare il sistema qualità alla ISO 9001:20015 sfruttando le opportunità di miglioramento fornite dalla nuova norma, o magari – per chi opera nel settore automotive – cercare di ottenere la certificazione ISO/TS 16949: queste sono alcune strade da percorrere per cercare di essere più competitivi ed apparire “più forti” nei confronti del cliente britannico che ha fatto della qualità il suo modus operandi ormai da decenni. E se per caso volesse venirci a visitare per fare un audit fornitore (si veda anche l’articolo “Il cliente straniero viene a fare un audit: che fare?”) potremmo mostrare le capacità, l’organizzazione e l’affidabilità della nostra azienda.

Molte piccole e medie imprese italiane negli ultimi anni sono riuscite ad uscire dalla crisi e – in molti casi – anche ad incrementare sensibilmente i ricavi di vendita, attraverso la vendita di prodotti a clienti esteri, soprattutto in area UE. L’acquisizione di un nuovo cliente estero (oggi divenuta sempre meno difficoltosa attraverso siti internet anche in lingua inglese e un’adeguata indicizzazione nei motori di ricerca) e soprattutto la crescita degli ordinativi dopo le prime campionature passa spesso attraverso una visita del cliente estero presso lo stabilimento del fornitore italiano.

La prassi di molte imprese estere, tedesche ed inglesi soprattutto, specialmente se operanti nel settore automotive e se multinazionali, prevede che questa visita al fornitore italiano sia un vero e proprio audit sul sistema qualità e sul processo produttivo interessato alla realizzazione dei prodotti del cliente estero.

Questi audit sono preceduti da comunicazioni formali, quali piani di audit e accordi commerciali o CSR (Customer Specific Requirments) che costituiscono veri e propri Quality Agreement. Tali documenti sono quasi sempre molto impegnativi per le PMI italiane, anche se certificate ISO 9001 (ma non ISO/TS 16949 per il settore automotive).

Il primo audit ha l’obiettivo di valutare lo stato della qualità e dei processi produttivi del fornitore rispetto ai propri standard e di registrarne gli scostamenti al fine di far crescere il fornitore.

A fronte di queste richieste il management dell’impresa italiana talvolta si chiede “Perché non basta la certificazione di qualità?” oppure crede che vengano solo per discutere di aspetti commerciali.

Sicuramente un audit sul sistema qualità, ovviamente in inglese, da parte di un cliente spaventa un po’. Dapprima ci si preoccupa della lingua: un conto è scambiare qualche mail in inglese sulla fornitura di prodotti o su specifiche tecniche note, un conto è rispondere a domande precise e circostanziate poste da un auditor qualificato, talvolta neanche facente parte della struttura di riferimento principale del cliente con cui si ha rapporti, in lingua inglese e rispondere in modo sensato nella stessa lingua su aspetti che probabilmente non vengono gestiti come vorrebbe il cliente. La visita annuale dell’Organismo di Certificazione è un’altra cosa!

Alcuni clienti esteri strutturati, poi, effettuano l’audit con due o tre persone: un esperto di sistemi qualità, un referente degli acquisti per parlare di aspetti commerciali, un membro dell’ufficio tecnico e/o della produzione per discutere di problematiche tecniche… come fare per “marcare a uomo” tanti soggetti pericolosi? Un problema è, come detto, la conoscenza della lingua inglese, un altro è quello della conoscenza anche del “qualitese” da parte di più persone all’interno dell’azienda.

La Direzione di alcune aziende pensa di assoldare un traduttore per essere al riparo da rischi di interpretazione linguistica, altri pensano di mettere in piedi del “cinema” per stupire il cliente con effetti speciali e fargli credere di essere perfetti, soprattutto dal punto di vista della qualità, anche con l’ausilio di registrazioni “finte”. Premesso che assoldare un ottimo attore come George Clooney che conosca anche un po’ di italiano non servirebbe a nulla e costerebbe un pochino troppo, vediamo quali sono i comportamenti da evitare e l’approccio corretto per affrontare questi audit stranieri.

Per prima cosa è opportuno adottare la massima trasparenza nei confronti del cliente, soprattutto se la situazione esistente è parecchio lontana dai requisiti riportati nel Quality Agreement o CSR. Non si può pensare di inventarsi una FMEA o un controllo statistico di processo (SPC) o una MSA (Measurement System Analysis) in un paio di settimane se non si ha l’abitudine all’impiego di tali strumenti. Il rappresentante del cliente sarà sicuramente sufficientemente scafato per accorgersi della messinscena.

Se una determinata prassi non è adottata meglio dichiararlo apertamente e dimostrarsi disponibili ad adeguarsi alle richieste del cliente (dopo aver valutato quanto è importante il cliente e quanto costa adeguarsi).

È bene però evitare troppe promesse che non si potrà mantenere o affermare troppe volte “lo stiamo facendo”: il cliente tornerà per vedere se avete completato quello che stavate facendo!

In questi audit c’è maggiore enfasi sulle Responsabilità della Direzione secondo la ISO 9001 rispetto a quello che normalmente avviene negli audit di certificazione. Lo scostamento di molte imprese fra gli obiettivi e gli indicatori del riesame della direzione e le strategie e gli obiettivi reali della Direzione stessa emergono immediatamente ad un esame attento. I piani di miglioramento simili ad una letterina a Babbo Natale (“Prometto che sarò più bravo”) sono inadeguati: l’auditor del cliente chiederà quali sono gli obiettivi, quali gli indicatori per misurarli, come si pensa di perseguirli, con quali azioni, con quali risorse (persone, mezzi, strumenti, risorse finanziarie), responsabilità, tempi e modalità di monitoraggio dell’avanzamento delle attività pianificate.

In produzione l’identificazione e la rintracciabilità dei prodotti è considerata molto importante, non basta dire che “tutti sanno che prodotto o componente è questo”, occorre identificarlo in modo opportuno.

I controlli in produzione e finali devono essere fatti in tempo reale, l’auditor del cliente estero non concepisce il fatto che le registrazioni si mettono a posto prima che arrivi l’Organismo di Certificazione.

Anche se nessun auditor dirà che il sistema informatico è inadeguato dalle sue richieste si capirà se i fabbisogni informativi sono soddisfatti in modo adeguato dai programmi software utilizzati, soprattutto in ambito produzione, controlli qualità ed analisi dei dati.

Teoricamente l’auditor del cliente dovrebbe esaminare solo la produzione degli articoli realizzati per esso, ma se sono state effettuate solo alcune campionature potrà spaziare su tutta la produzione per capire come siete organizzati, anche se su altri prodotti i relativi clienti non hanno richieste particolari di assicurazione qualità.

Non serve a nulla tradurre in inglese il Manuale Qualità o qualche procedura se il cliente non lo richiede esplicitamente: tali documenti devono rispecchiare l’operatività interna ed essere compresi da tutto il personale dell’azienda che deve conoscere e poter accedere sul posto di lavoro a procedure e, soprattutto, alle istruzioni operative/di lavoro.

Il fatto che le procedure sono in italiano e il cliente non conosce la nostra lingua potrebbe essere un vantaggio perché non può chiederci ragione di regole che eventualmente non sono osservate, però qualcuno dovrebbe essere in grado di spiegargliele.

A fronte di evidenti non conformità, non solo rispetto agli standard del cliente (capitolato, CSR o Quality Agreement), ma anche rispetto alle proprie procedure del sistema qualità, è meglio non cercare di arrampicarsi sugli specchi (“Abbiamo cambiato la procedura da poco”, “l’operatore è nuovo e non era ancora stato addestrato”, “per noi è un aspetto poco importante”, “Il cliente non ce lo ha mai chiesto”, “stiamo modificando il softwae”,….): di tutto ciò che accade di diverso dalle regole stabilite (norme, procedure, specifiche del cliente) i responsabili – a diversi livelli – sarete solamente voi, per non aver saputo prevenire il problema, per non aver addestrato le persone, per non aver completato le azioni pianificate nei tempi previsti, per non aver monitorato i processi e così via.

Alla fine dell’audit, o comunque nei giorni successivi, il cliente manderà un report con i risultati dell’audit, comprendente eventuali non conformità ed osservazioni o elementi di miglioramento che vorrebbero fossero adeguati. Dopo il rapporto il cliente normalmente chiede un piano di miglioramento o documento analogo nel quale si dovrà indicare le correzioni, le azioni correttive e le azioni preventive che si intende attuare per risolvere le anomalie riscontrate, comprendenti tempi e responsabilità per l’attuazione. Il consiglio è di non proporre piani ed azioni correttive che non sarete in grado di attuare efficacemente nei tempi previsti, perché alle scadenze temporali che indicherete il cliente vi chiederà l’avanzamento del piano e le evidenze dell’attuazione delle azioni correttive (documenti, foto, ecc.). Meglio non barare se ci tenete al cliente perché torneranno a visitarvi e se non troveranno attuato quanto promesso le brutte figure sono garantire e la fiducia del cliente sarà minata.

Infine teniamo presente gli effetti della Brexit: se il cliente è inglese o è un fornitore di un cliente britannico forse con la perdita di potere di acquisto della Sterlina i nostri prodotti saranno meno economici per cui la competitività va mantenuta attraverso la qualità.

Lo scorso 4 maggio è stato pubblicato sulla gazzetta ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” e dopo 20 giorni dalla sua pubblicazione è divenuto legge europea, pertanto a partire dal 25 maggio 2016 decorrono i due anni di transitorio per l’applicazione del nuovo Regolamento.

Nella pagina Documenti di questo sito è possibile scaricare il testo ufficiale (ora anche per gli utenti non registrati).

Il Garante per la Protezione dei dati personali ha pubblicato un’apposita guida (http://194.242.234.211/documents/10160/5184810/Guida+al+nuovo+Regolamento+europeo+in+materia+di+protezione+dati ).

Rispetto al precedente articolo pubblicato su questo sito il 27/04/2016, basato sulla traduzione della proposta di Regolamento approvata dal Parlamento Europeo a dicembre 2015, di cui il presente articolo costituisce un aggiornamento, si rilevano alcune differenze nella traduzione del testo originale inglese in lingua italiana, rispetto all’attuale Codice privacy D.Lgs 196/2003:

• Viene mantenuto il “Titolare del trattamento” (Data Controller);
• Viene mantenuto il “Responsabile del Trattamento” (Data processor);
• Viene abolito l’Incaricato del trattamento.

Il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi – come il diritto all’oblio e alla portabilità dei dati – e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole. Il Regolamento UE 679/2016, però, non sarà l’unica fonte legislativa per regolamentare la protezione dei dati personali, infatti le Autorità dei singoli Stati Membri – e quindi il Garante della Privacy per l’Italia – potranno integrare i contenuti del Regolamento dettagliando meglio alcuni aspetti che al momento appaiono poco chiari, introdurre linee guida generali e di settore, regolamentare aspetti particolari, ecc.

A tal proposito occorre ricordare che, con l’uscita del Regolamento 679 non vengono aboliti i provvedimenti del nostro Garante su Videosorveglianza, Amministratori di Sistema, fidelity card, biometria, tracciamento flussi bancari, ecc. Tali provvedimenti probabilmente verranno modificati e/o integrati dal Garante Privacy per aggiornarli ed eventualmente adeguarli alle prescrizioni del Regolamento Europeo 679.

Il Garante Privacy italiano potrà inoltre integrare il Regolamento UE 679 per disciplinare il trattamento di dati personali effettuato per adempiere obblighi di legge italiana e in particolari ambiti, ad esempio quello dei dati sanitari, oppure per definire in modo più dettagliato gli obblighi per le PMI (ovvero per le organizzazioni che occupano meno di 250 dipendenti, per le quali il regolamento 679 ha stabilito delle semplificazioni).

Ma quali sono le principali novità per le imprese nella gestione della privacy a fronte del Regolamento UE?

L’aspetto più significativo è sicuramente il cambio di approccio rispetto al Codice Privacy attualmente in vigore in Italia, ed in particolare all’Allegato B, ovvero al Disciplinare Tecnico delle Misure Minime di Sicurezza. Il nuovo Regolamento Europeo sulla privacy, infatti, non definisce requisiti specificati in termini precisi, come avviene per l’attuale normativa italiana sulla privacy, ma sposta la responsabilità di definire le misure di sicurezza idonee a garantire la privacy dei dati personali trattati sul titolare o responsabile del trattamento, dopo un’attenta analisi dei rischi.

Dunque non ci sono più misure minime, ma solo misure di sicurezza adeguate, progettate dal titolare o responsabile del trattamento dopo aver effettuato l’analisi dei rischi che incombono sui dati personali che si intende trattare. Sottolineiamo quest’ultimo aspetto: le misure di prevenzione vanno poste in atto prima di iniziare il trattamento.

Poiché a livello nazionale la legislazione italiana ed il Garante per la Protezione dei Dati Personali hanno seguito il percorso europeo, a partire dalla Direttiva Europea 46/95, a livello di principi sulla privacy non ci sono differenze significative tra normativa italiana e Regolamento Europeo. Infatti, alcune regole già imposte dal Codice Privacy e dalle successive disposizioni del Garante restano valide, anche se con contorni un po’ meno definiti da criteri oggettivi. In sostanza:

• Viene regolamentato solo il trattamento di dati personali di persone fisiche (non giuridiche) per scopi diversi dall’uso personale.
• Resta una distinzione fra trattamento di dati personali comuni e trattamento di dati c.d. sensibili, anche se la definizione del D.lgs 196/2003 non viene utilizzata nel Regolamento UE 679, lasciando però la possibilità agli Stati membri di stabilire una disciplina particolare in merito.
• Restano gli obblighi di informare l’interessato sull’uso che verrà fatto dei suoi dati personali.
• Restano gli obblighi di ottenere il consenso per i trattamenti non necessari o per i trattamenti di particolari tipi di dati, ad esempio quelli idonei a rivelare lo stato di salute delle persone, le origini razziali, le idee religiose, ecc.

Tra gli elementi che cambiano vi sono sicuramente:

• La denominazione ed i ruoli degli attori: il titolare del trattamento rimane tale, il responsabile del trattamento è ora responsabile in solido con il titolare per i danni derivanti da un trattamento non corretto, l’incaricato rimane il soggetto che fisicamente tratta i dati, ma tale ruolo non è delegabile, se non attraverso uno specifico accordo contrattuale. Il responsabile può individuare un proprio rappresentante.
• I dati personali trattati devono essere protetti con misure organizzative e tecniche adeguate a garantirne la riservatezza e l’integrità.
• I diritti dell’interessato sono più ampi e maggiormente tutelati.
• Il responsabile del trattamento deve mettere in atto misure tecniche ed organizzative tali da consentirgli di dimostrare che tratta i dati personali in conformità al Regolamento. Tali misure devono seguire lo stato dell’arte e devono derivare dall’analisi dei rischi che incombono sui dati, secondo relativa gravità e probabilità.
• Privacy by default: devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.
• Privacy by design: ogni nuovo trattamento di dati personali dovrà essere progettato in modo da garantire la sicurezza richiesta in base ai rischi a cui è sottoposto prima di essere implementato. Anche i sistemi informatici dovranno essere progettati secondo tale principio.
• Possono esserci più responsabili per un medesimo trattamento che risulteranno, pertanto, corresponsabili di eventuali trattamenti non conformi, ma dovranno stabilire congiuntamente le rispettive responsabilità.
• Le imprese con sede al di fuori dell’Unione Europea, che trattano dati personali di interessati residenti nella UE dovranno eleggere una propria organizzazione o entità all’interno della UE che sarà responsabile di tali trattamenti.
• Devono essere mantenuti registri dei trattamenti di dati effettuati con le informazioni pertinenti e le relative responsabilità. Tali registri non sono obbligatori per organizzazioni con meno di 250 dipendenti salvo che non trattino dati sensibili (secondo la definizione del Codice della Privacy attualmente in vigore) o giudiziari. Tale discriminante potrà essere meglio specificata da appositi provvedimenti del nostro Garante.
• Il responsabile del trattamento deve notificare all’autorità competente – e, in casi gravi, anche all’interessato – ogni violazione dei dati (data breach) trattati entro 72 ore dall’evento.
• Quando un trattamento presenta dei rischi elevati per i dati personali degli interessati (i casi specifici dovranno essere esplicitati dall’Autorità Garante), il responsabile del trattamento deve effettuare una valutazione di impatto preventiva, prima di iniziare il trattamento.
• Viene introdotta la certificazione del sistema di gestione della privacy (le cui modalità dovranno essere meglio definite tramite gli Organismi di Accreditamento Europei, ACCREDIA per l’Italia)..
• È richiesta la designazione di un Responsabile della Protezione dei Dati (Data Protection Officer) nelle Aziende Pubbliche e nelle organizzazioni che trattano dati sensibili o giudiziari su larga scala oppure che la tipologia di dati trattati e la loro finalità richieda il controllo degli incaricati al trattamento su larga scala.

Proprio quest’ultimo punto, variato rispetto alle precedenti versioni del Regolamento, farà molto discutere, poiché non stabilisce criteri precisi ed oggettivi (cosa significa “su larga scala”?) per l’adozione di tale figura professionale, di competenze adeguate a garantire una corretta applicazione della normativa sulla privacy. Il Responsabile per la Protezione dei Dati dovrà essere correttamente informato dal Responsabile del Trattamento su tutte le attività che riguardano la privacy e dovrà disporre di risorse adeguate per svolgere il proprio compito e mantenere le sue competenze adeguate al ruolo che ricopre. Egli dovrà inoltre essere indipendente dalle altre funzioni dell’organizzazione e riferire solamente all’alta direzione.

La sicurezza dei dati – in termini di riservatezza, integrità e disponibilità – deve essere garantita in funzione del rischio che corrono i dati stessi, dei costi delle misure di sicurezza e dello stato dell’arte della tecnologia. Pertanto le password di almeno 8 caratteri variate almeno trimestralmente, l’antivirus aggiornato, il firewall e l’aggiornamento del sistema operativo potrebbero essere misure adeguate per determinati trattamenti, ma non per altri, oppure in determinate organizzazioni, ma non in altre, in ogni caso lo potrebbero essere oggi, ma non domani quando il progresso tecnologico (anche degli hacker e di coloro che minacciano i nostri dati) potrebbe renderle insufficienti.

Lasciando per il momento stare gli impatti che il nuovo Regolamento UE sulla privacy potrà avere per i colossi del web, quali Facebook, Google, ecc., è opportuno osservare che per le piccole e medie imprese italiane dovrà cambiare l’approccio alla privacy, soprattutto per quelle organizzazioni che trattano dati sensibili o giudiziari. Occorrerà un cambio di mentalità: non serve più un po’ di carte (informative, consensi, lettere di incarico, …) ed alcune misure minime di sicurezza specifiche (password, antivirus,…) per garantire il rispetto della legge. Poiché molti imprenditori vedono la privacy solo come un disturbo da gestire soltanto per non incorrere in sanzioni e, quindi, come una pratica da sbrigare nel modo più indolore possibile, ecco che il passaggio al nuovo Regolamento – che dovrà avvenire nei prossimi due anni – non sarò proprio una passeggiata.

Le responsabilità in capo al responsabile del trattamento (ex titolare del trattamento) sono maggiori e comunque più impegnative da gestire, soprattutto laddove il trattamento di dati venga delegato a fornitori (es. consulenti del lavoro, consulenti fiscali e legali, strutture esterne, ecc.) che dovranno inevitabilmente essere tenuti sotto controllo.

Non è che taluni principi fossero assenti dalla normativa italiana del 2003, ma – complice la crisi e le semplificazioni adottate da precedenti governi, soprattutto l’abolizione del DPS – hanno un po’ sminuito l’importanza della privacy in azienda, anche perché – si sa come siamo fatti noi italiani – senza sanzioni esemplari non ci preoccupiamo di nulla… e sono stati molto rare le sanzioni comminate alle aziende, anche perché i controlli sono stati molto poco frequenti.

Paradossalmente ha spaventato di più la disposizione sui cookie perché la sua mancata applicazione è di fatto pubblica, mentre altre regole di fatto trascurate rimangono tra le muar delle organizzazioni di ogni dimensione.

L’indeterminatezza di alcune regole potrà essere colmata da disposizioni specifiche dei singoli Stati membri e/o da linee guida di settori specifici che potranno agevolare l’interpretazione della legge.

Ora la privacy sarà meno materia per avvocati – se non per la stesura di contratti che regolamentano i rapporti fra clienti e fornitori anche in materia di trattamento dati personali – e più materia per esperti della sicurezza delle informazioni. Infatti l’approccio del nuovo Regolamento Europeo sulla Privacy si avvicina, mutatis mutandis, a quello della norma UNI EN ISO/IEC ISO 27001 e della linea guida UNI EN ISO/IEC 27002.

L’adozione del nuovo Regolamento UE sarà, pertanto, più impegnativa per piccole organizzazioni che trattano molti dati c.d. sensibili o giudiziari, quali organizzazioni private nel campo della sanità (cliniche ed ambulatori privati, farmacie, …), studi di consulenza del lavoro, infortunistiche, studi legali, studi di consulenza fiscale, ecc., piuttosto che per aziende che trattano come unici dati sensibili i dati relativi ai propri dipendenti. Anzi saranno proprio queste ultime che dovranno pretendere da società e studi di consulenza esterna adeguate garanzie per il trattamento dei dati di cui sono responsabili.

In questo quintoarticolo vedreno in dettaglio i requisiti del capitolo 9  (Valutazione delle prestazioni) e 10 (Miglioramento) della norma UNI EN ISO 9001:2015 con particolare riguardo alle novità introdotte rispetto alla precedente versione del 2008 ed alle possibili modalità di attuazione dei nuovi requisiti, per il passaggio del sistema di gestione per la qualità ISO 9001:2008 alla ISO 9001:2015.

9 Valutazione delle prestazioni

La sezione 9 della norma si suddivide in tre paragrafi

• 9.1 Monitoraggio, misurazione, analisi e valutazione
• 9.2 Audit interno
• 9. 3 Riesame di direzione

che rappresentano il “cuore” dell’attività di quality management, i cui compiti spesso sono completamente demandati alla funzione Qualità delle organizzazioni di medie e piccole dimensioni, sebbene il riesame del sistema rimanga una responsabilità della Direzione stessa.

Il punto 9.1 a sua volta è suddiviso in:

• 9.1.1 Generalità: l’organizzazione deve stabilire cosa, quando e come monitorare e misurare per garantire l’efficacia del sistema di gestione ed il soddisfacimento dei requisiti; inoltre deve stabilire come valutare i risultati del monitoraggio e delle misurazioni, conservandone informazioni documentate come evidenze.
• 9.1.2 Soddisfazione del cliente: occorre monitorare la percezione che ha il cliente del rispetto delle sue esigenze ed aspettative, stabilendo metodi e criteri di valutazione dei risultati.
• 9.1.2 Analisi e valutazione: occorre analizzare e valutare i dati delle misurazioni e dei monitoraggi effettuati per valutare il raggiungimento degli obiettivi, la conformità dei prodotti, la soddisfazione delle esigenze del cliente, le prestazioni dei fornitori, la corretta attuazione di quanto pianificato, l’efficacia del sistema di gestione e delle azioni intraprese per il miglioramento, nonché per valutare le esigenze di miglioramento.

Anche su questi punti la domanda che ci si deve porre è: «quello che l’organizzazione ha stabilito di implementare è efficace e sufficiente per soddisfare i requisiti della norma?». Anche riguardo all’impiego di metodi statistici la norma offre la possibilità di utilizzarli, non certo l’obbligo.

Sicuramente traspare maggiore enfasi sul monitoraggio e la misurazione dei processi rispetto alle precedenti edizioni della norma ISO 9001, ma sarà sufficiente per imporre alle organizzazioni di adottare sistemi di misurazione e monitoraggio, nonché relativi indicatori, più efficaci e realmente vissuti come essenziali per governare i processi?

Il requisito 9.2 relativo agli audit interni (ex verifiche ispettive) non presenta significative differenze rispetto all’edizione del 2008: gli audit devono essere svolti per verificare la conformità alla norma ISO 9001 ed al sistema di gestione per la qualità, nonché l’efficacia dello stesso. Essi devono essere programmati secondo i medesimi criteri esposti in passato, anche con riferimento alla ISO 19011. Per dimostrare che si sono stabiliti requisiti di pianificazione e reporting la stesura o il mantenimento della procedura sulla conduzione degli audit interni è fortemente consigliata, anche se non più obbligatorio.

Occorre forse ribadire che la frequenza degli audit sui processi primari e più critici forse non è opportuno che sia di una sola volta all’anno, come per i processi secondari o di supporto. L’abitudine di molte organizzazioni di effettuare un solo audit completo poco prima che arrivi l’Ente di Certificazione non è proprio in linea con lo spirito della norma.

Nessuna novità rispetto al requisito di imparzialità ed indipendenza dell’auditor; piuttosto si enfatizza il fatto che correzioni e/o azioni correttive conseguenti ai rilievi dell’audit devono essere intraprese senza indebiti ritardi. Quanto tempo può essere concesso per chiudere i rilievi importanti emersi in fase di audit? L’inerzia di molti responsabili di funzione nel non voler affrontare “i problemi della qualità” dovrebbe essere adeguatamente sanzionata.

Infine il requisito 9.3 sul riesame della direzione (suddiviso nei paragrafi 9.3.1 Generalità, 9.3.2 Input al riesame di direzione e 9.3.3 Output del riesame di direzione) è stato spostato dalle Responsabilità della Direzione della precedente edizione della norma a questo capitolo di Valutazione delle prestazioni del sistema di gestione per la qualità, anche se la responsabilità dei risultati del riesame ricade in capo all’alta direzione. Gli input al riesame sono stati estesi, naturalmente alla valutazione dei cambiamenti dei fattori interni ed esterni che influenzano il sistema di gestione ed all’efficacia delle azioni intraprese per affrontare rischi ed opportunità, ovvero alle principali novità della norma.

L’output del riesame deve trattare le modifiche che si rendono necessarie al sistema, le opportunità di miglioramento e le risorse necessarie.

Naturalmente sono richieste evidenze documentali dello svolgimento del riesame (dati in input, verbali di riunione di riesame del sistema, programmi di miglioramento, ecc.); la procedura non è necessaria (non lo era nemmeno nella precedente versione del 2008), ma chi ce l’ha se la tenga.

10 Miglioramento

Questa sezione si suddivide in tre paragrafi, nel primo 10.1 Generalità si riassume che il miglioramento deve riguardare:

• Prodotti e servizi erogati, non solo limitatamente al soddisfacimento delle esigenze attuali di conformità degli stessi, ma anche in previsione di esigenze ed aspettative future;
• Correzione, prevenzione e riduzione di ogni effetto indesiderato (NC, indicatori non soddisfacenti, ritardi di consegna, maggiori costi, ecc.);
• Il miglioramento delle prestazioni e dell’efficacia dello stesso sistema di gestione per la qualità che, dunque, deve essere dinamico e non statico nei secoli dei secoli.

Il successivo paragrafo 10.2 tratta le Non conformità ed azioni correttive, tornate di nuovo insieme per focalizzare l’attenzione sugli aspetti di miglioramento del processo di gestione delle NC, le quali, per la fase di gestione del trattamento, sono rimaste insieme ai processi produttivi (si veda § 8.7 “Controllo degli output non conformi”).

Alle organizzazioni è richiesto di reagire prontamente alle non conformità per tenerle sotto controllo e correggerle, anche al fine di evitare effetti negativi gravi, sia interni che esterni (dal cliente). Le fasi successive di analisi delle cause (di NC, problemi in genere, rilievi da audit, reclami, ecc.), determinazione delle azioni correttive, pianificazione ed attuazione delle stesse e, infine, di valutazione della loro efficacia, sono sostanzialmente le stesse rispetto alle edizioni precedenti della norma, ma con maggiore enfasi sul processo stesso di gestione del ciclo di miglioramento che si avvicina al c.d. metodo 8D del settore automotive.

L’ultimo paragrafo della norma ISO 9001:2015 – il 10.3 Miglioramento continuo – si ricollega al punto 10.1 di cui sopra, ai risultati del riesame di direzione ed a tutte le informazioni derivanti dalla valutazione delle prestazioni del sistema di gestione per la qualità per determinare la necessità di migliorare in modo continuativo l’efficacia del sistema di gestione, considerando anche le opportunità di miglioramento emerse dalle altre attività del capitolo 9 della norma stessa.

Con questo articolo si conclude l’analisi dei requisiti della nuova norma ISO 9001:2015. Alcune interpretazioni soggettive potranno sicuramente essere smentite dai fatti a fronte di nuove interpretazioni ufficiali (al momento in Italia è disponibile solamente una Linea guida pubblicata da CONFORMA con il patrocinio dell’UNI) e prassi di fatto adottate dagli Organismi di Certificazione, comunque sotto il controllo di ACCREDIA. Vedremo anche se l’Ente di Accreditamento stesso vorrà replicare la pubblicazione delle linee guida (Criteri per un approccio efficace ed omogeneo alle valutazioni di conformità alla norma ISO 9001:2008 “Sistemi di gestione per la qualità – Requisiti”) emesse per le due precedenti edizioni della norma e, quindi, se saranno disponibili maggiori dettagli applicativi per gli auditor che dovranno valutare i SGQ delle organizzazioni.

In questo quarto articolo vedreno in dettaglio i requisiti del capitolo 8  (Attività operative) della norma UNI EN ISO 9001:2015 con particolare riguardo alle novità introdotte rispetto alla precedente versione del 2008 ed alle possibili modalità di attuazione dei nuovi requisiti, per il passaggio del sistema di gestione per la qualità ISO 9001:2008 alla ISO 9001:2015.

8 Attività operative

Le “operations” sono il cuore dei processi primari e della norma, ma forse il capitolo con minori modifiche rispetto alla edizione precedente della ISO 9001.

La Pianificazione e controllo operativi (8.1) non richiede nulla di più di quello che è necessario per pianificare e tenere sotto controllo i processi necessari al fine di garantire la conformità di prodotti e servizi. Le informazioni documentate da mantenere (procedure, programmi della produzione, piani della qualità, piani di controllo, piani di progetto, …) e conservare (rapporti di controllo, registrazioni di verifiche, controlli, validazioni, ecc.) sono “quelle che servono”: come esposto in altri punti sta alla responsabilità dell’azienda dimostrare che realizza ciò che ha pianificato, ovviamente in conformità ai requisiti specificati.

Il punto Requisiti per i prodotti e i servizi (8.2) comprende tutti i requisiti relativi ai “processi relativi al cliente” della precedente edizione della norma ed amplifica il suo raggio di azione. I sotto paragrafi trattano i seguenti aspetti, tutti finalizzati ad un’appropriata definizione dei requisiti del prodotto e/o servizio:

• Comunicazione con il cliente: tratta la corretta gestione di tutte le informazioni che transitano fra organizzazione e propri clienti (offerte, ordini, contratti, cataloghi, listini, depliant, siti web, specifiche, reclami, segnalazioni, ecc.).
• Determinazione dei requisiti relativi ai prodotti e servizi: poche parole, ma molto chiare dovrebbero far capire che devono essere definiti requisiti per prodotti e servizi comprendenti aspetti cogenti e requisiti stabiliti dall’organizzazione stessa che deve poi dimostrare di essere in grado di offrire al cliente quello che promette.
• Riesame dei requisiti relativi ai prodotti e servizi: tutti i requisiti stabiliti dal cliente, dall’organizzazione e da normative cogenti devono essere riesaminati per assicurare di avere la capacità di soddisfarli.
• Modifiche ai requisiti per i prodotti e servizi: le variazioni ai requisiti del prodotto/servizio devono essere gestite aggiornando documentazione e trasferendo le informazioni necessarie a chi di dovere.

Anche in questo caso le informazioni documentate necessarie sono quelle che servono e la procedura documentata non è richiesta, ma opportuna nel momento in cui si vuole stabilire delle regole interne. L’audit di questo elemento non dovrebbe essere difficile, come non dovrebbe essere raro rilevare le promesse consapevolmente non mantenute o non mantenibili, le dichiarazioni di requisiti incomplete, le presentazioni eccessivamente autoincensanti, l’assenza di risorse adeguate per soddisfare i tempi di consegna confermati e così via. Il problema è capire se e come verranno registrate, ovvero qual è il limite fra la conformità e la non conformità?

Anche il punto 8.3 Progettazione e sviluppo di prodotti e servizi è una riscrittura, probabilmente più completa ed efficace, dell’ex punto 7.3 della norma del 2008.

I punti trattati sono i seguenti:

• Generalità: il processo di progettazione deve essere appropriato alla successiva fornitura di prodotti e servizi conformi.
• Pianificazione della progettazione e sviluppo: non si rilevano particolari novità rispetto alla versione precedente, ma tutto deve essere considerato nel pianificare il processo di progettazione, comprese la partecipazione del cliente ai controlli della progettazione e le esigenze delle altre parti interessate (es. collettività ed utenti finali).
• Input alla progettazione e sviluppo: i dati di ingresso al processo di progettazione devono comprendere tutti gli aspetti importanti, comprese le potenziali conseguenze negative di un guasto sul prodotto e le norme ed i codici di condotta che l’organizzazione si è impegnata a rispettare.
• Controlli della progettazione e sviluppo: in un’unica voce (“controlli”) sono compresi riesami, verifiche e validazioni delle precedenti edizioni della norma ISO 9001.
• Output della progettazione e sviluppo: anche per questo elemento non ci sono variazioni salienti rispetto alla ISO 9001:2008 in quanto è richiesto che gli elementi in uscita dalla progettazione siano completi e univoci e comprendano i criteri di monitoraggio e controllo del successivo processo di realizzazione.
• Modifiche della progettazione e sviluppo: nulla di significativamente diverso rispetto alla precedente edizione della norma, le modifiche progettuali devono essere gestite in modo adeguato.

Il successivo punto 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno equivale come contenuti al punto 7.4 (Approvvigionamento) delle edizioni precedenti (2000 e 2008) della norma.

Nel primo sottopunto (Generalità) viene chiarito che quando il prodotto/servizio di un fornitore esterno viene incorporato nel prodotto/servizio venduto al cliente, oppure viene fornito direttamente al cliente dal fornitore stesso (subappalto) o quando un processo o parte di esso viene fornito dal fornitore (in outsourcing), è necessario stabilire controlli efficaci su tali forniture, qualificare, valutare e rivalutare periodicamente il fornitore, ovvero monitorare costantemente le prestazioni dei fornitori e conservare informazioni documentate su tali attività.

Il Tipo ed estensione del controllo sul fornitore deve essere pianificato in funzione dell’influenza che la fornitura ha sulle capacità dell’organizzazione di fornire con regolarità prodotti e servizi conformi ai requisiti stabiliti.

Le informazioni ai fornitori esterni devono essere complete di tutti gli aspetti relativi alla fornitura, compresi specifiche di controllo, qualifiche del personale, tempi, requisiti di assicurazione qualità. Di fatto non ci sono state variazioni significative rispetto all’edizione del 2008.

Il punto 8.5 Produzione ed erogazione dei servizi è abbastanza simile al punto 7.5 della precedente versione della norma. Il sottopunto 8.5.1 (Controllo della produzione e dell’erogazione dei servizi) torna a distinguere fra processi produttivi e di erogazione di servizi e richiede esplicitamente informazioni documentate per definire le attività da svolgere ed i risultati da conseguire: a seconda dei casi le organizzazioni dovranno definire procedure, programmi di produzione, piani di controllo, piani della qualità o quant’altro ritenuto necessario per tenere sotto controllo la produzione o il processo di erogazione del servizio. Fra gli aspetti nuovi si segnala la necessità di intraprendere azioni che prevengano gli errori umani: non si tratta dei “sistemi a prova di errore” della specifica tecnica ISO/TS 19649 per l’automotive, ma si va verso quella direzione.

Il successivo 8.5.2 (Identificazione e rintracciabilità) non presenta modifiche significative rispetto alla edizione 2008.

Invece le Proprietà che appartengono ai clienti o ai fornitori esterni (8.5.3) estendono il requisito della precedente edizione della norma alle proprietà dei fornitori (ma in realtà il materiale giunto non conforme dal fornitore andava notificato allo stesso anche nelle precedenti edizioni della norma), modernizzando un po’ il requisito stesso in quanto oggi sono diventate sempre più importanti le proprietà intellettuali, la protezione dei dati personali ed in generale tutta la gestione delle informazioni in formato digitale, spesso gestite con troppa superficialità.

Nel sottopunto 8.5.4 viene trattato il requisito relativo alla Preservazione degli output dei processi produttivi e di erogazione dei servizi, impiegando un termine forse un po’ infelice (in lingua italiana) per indicare, di fatto, gli stessi requisiti che comparivano nelle precedenti edizioni della norma quando si parlava di “conservazione dei prodotti”, di “movimentazione”, “immagazzinamento”, “imballaggio”, ecc., comprendendo anche le fasi di trasporto e consegna, quando sotto responsabilità dell’Organizzazione. Ora in due righe si sintetizzano tutti i concetti.

Le Attività post-consegna sono trattate al sottopunto 8.5.5 che rappresenta un requisito innovativo (per la verità implicito nella precedente edizione della norma), anche se di fatto viene ripristinato il requisito 4.18 dell’edizione del 1994 ampliandolo e non riducendolo solo all’assistenza. Oggi, infatti, l’assistenza post-consegna, che comprende assistenza in garanzia, su contratto, supporto nell’utilizzo del prodotto, gestione dell’eventuale smaltimento e di problematiche legate al ritiro dei prodotti non conformi, comunicazioni e così via, è diventata estremamente importante per la percezione di qualità che ha il cliente di un’organizzazione.

Il successivo sottopunto 8.5.6 (Controllo delle modifiche) costituisce un nuovo requisito che vuole porre l’attenzione delle organizzazioni sulla corretta gestione di tutte le modifiche (pianificate e impreviste) alle specifiche di un prodotto/servizio o alla sua realizzazione. Occorre definire compiti e responsabilità per il riesame delle stesse e conservare informazioni documentate per attestare la corretta gestione delle modifiche.

Nel paragrafo Rilascio di prodotti e servizi (8.6) la norma specifica che l’organizzazione deve verificare – in fasi appropriate – che sia stato attuato quanto pianificato nella produzione di prodotti ed erogazione di servizi. In particolare, prima di rilasciare il prodotto al cliente occorre accertarsi che tutto quanto era stato pianificato (lavorazioni, elaborazioni, controlli, test, ecc.) sia stato effettivamente completato soddisfacentemente per garantire la conformità del prodotto/servizio ai requisiti stabiliti. L’unica eccezione è data dall’approvazione di una “Autorità competente” o del cliente a rilasciare comunque un prodotto, ad esempio, non completamente controllato.

Su questo punto la norma richiede evidenze documentali:

• dei controlli effettuati, a fronte di criteri di accettazione stabiliti, per il rilascio dei prodotti;
• del riferimento alla/e persona/e che ha effettuato il rilascio del prodotto/servizio.

Questo requisito, come il successivo 8.7 (Controllo degli output non conformi), pur considerando le differenze di struttura tra le due edizioni della norma, sono stati di fatto spostati fra le Attività operative (ex capitolo 7) dalle Valutazioni delle prestazioni (analogo all’ex capitolo 8 dell’edizione del 20008 della norma).

Relativamente alle non conformità è stata esplicitata la necessità di intraprendere azioni correlate alla natura della non conformità ed ai suoi effetti; tra esse la semplice correzione, la segregazione, il contenimento degli effetti e l’informazione al cliente, ad esempio, che parte dei lotti consegnati possa risultare non conforme, se ci si accorge di un problema dopo la consegna del prodotto al cliente.

Naturalmente le NC vanno gestite anche durante lo svolgimento del processo produttivo o l’erogazione del servizio, in qualunque fase esse si verifichino. Infine, è necessario conservare informazioni documentate sulle NC rilevate e sulla loro gestione, come era richiesto nella precedente versione della norma.

(continua)