Come sta la privacy ad un anno dall’attuazione del GDPR?

privacyIl Regolamento (Ue) 2016/679, noto anche come RGPD (Regolamento Generale sulla Protezione dei Dati) o GDPR (General Data Protection Regulation), troverà piena attuazione esattamente fra un anno da oggi, il 25 maggio 2018, ovvero al termine del periodo di transizione.

A seguito dell’interessante seminario svoltosi venerdì 19 maggio 2017 presso l’Ordine degli Ingegneri di Bologna sulle possibili forme di certificazione in ambito Privacy, è utile fare qualche riflessione sull’attuazione di questa nuova normativa nelle organizzazioni del nostro Paese. Leggi tutto

L’accreditamento ISO 17020 per gli organismi abilitati secondo il DPR 462/2001

Gli organismi abilitati alle verifiche secondo il D.P.R. 462/2001 (“Regolamento di semplificazione del procedimento per la denuncia di installazioni e dispositivi di protezione contro le scariche atmosferiche, di dispositivi di messa a terra di impianti elettrici e di impianti elettrici pericolosi”) si troveranno presto ad affrontare l’accreditamento UNI CEI EN ISO/IEC 17020:2012 (“Valutazione della conformità – Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni”) reso obbligatorio dal Ministero dello Sviluppo economico.

Leggi tutto

Impatti del Regolamento Privacy sullo sviluppo software

privacyIl Nuovo Regolamento Europeo sulla Privacy (GDPR), emanato lo scorso maggio ed in vigore entro fine maggio 2018, pone nuove questioni relativamente all’impiego di programmi software per l’elaborazione di dati personali, in particolare se si tratta anche di dati c.d. “sensibili” secondo la vecchia definizione del D. Lgs 196/2003.

Infatti il nuovo Regolamento Europeo sulla privacy (“Regolamento UE 2016/679 del Parlamento europeo”) impone alle organizzazioni che intendono effettuare trattamenti di dati personali di “progettare” il sistema in modo tale che sia conforme fin da subito (Privacy by design ) alle regole della privacy, spostando la responsabilità del corretto trattamento tramite strumenti informatici idonei sul titolare e sul responsabile del trattamento, quando identificato. Leggi tutto

Come e quando migrare alla ISO 9001:2015?

ISO 9001Ad oggi sono molte le organizzazioni certificate ISO 9001:2008 che non hanno ancora adeguato il loro sistema di gestione per la qualità alla nuova ISO 9001:2015. Anche se il termine per effettuare il passaggio alla nuova norma è abbastanza lontano (15/09/2018) i tempi per effettuare una migrazione efficace ed efficiente non sono abbondanti per molte imprese, infatti sarebbe opportuno effettuare la migrazione in occasione di un rinnovo della certificazione oppure di una visita di sorveglianza/mantenimento al fine di contenere i costi di certificazione. Leggi tutto

La sicurezza delle informazioni in caso di calamità naturali e non naturali

terremotoIn caso di catastrofi e calamità naturali quali terremoti, alluvioni, inondazioni, incendi, eruzioni vulcaniche, uragani oppure atti terroristici, uno dei danni collaterali dopo la perdita di vite umane e i danni materiali ad edifici ed infrastrutture, occorre considerare il blocco dei sistemi informativi che può rallentare notevolmente la ripresa delle normali attività. Leggi tutto

Nuova Specifica IATF 16949 per la qualità nell’automotive

ingranaggiLo scorso 1° ottobre è stata pubblicata la nuova specifica IATF 16949:2016, revisione della Specifica tecnica ISO/TS 16949:2009 che, dunque, non è più norma ISO. Oltre a questo aspetto ci sono molte altre novità nella nuova specifica automotive, a cominciare dal piano di transizione alla nuova norma per i vecchi certificati ISO/TS 16949 e i nuovi certificati IATF 16949:2016, estremamente breve. Leggi tutto

La verifica dei progetti ai fini della validazione: nuove opportunità per i professionisti? – parte II

Drawing Compass and Graphing PaperLa regolamentazione della verifica dei progetti relativi ad appalti pubblici ai fini della validazione non è stata modificata sotanzialmente dall’uscita del nuovo Codice Appalti. Nel presente articolo, che segue la prima parte già pubblicata (La verifica dei progetti ai fini della validazione: nuove opportunità per i professionisti? parte I) su questo sito esaminiamo gliaspetti tecnici e gestionali che caratterizzano il servizio di verifica del progetto per Organismi di Ispezione e Società o Studi di Ingegneria.

Leggi tutto

La verifica dei progetti ai fini della validazione: nuove opportunità per i professionisti? – parte I

Direttori cantiereLa regolamentazione della verifica dei progetti relativi ad appalti pubblici ai fini della validazione non è stata modificata sotanzialmente dall’uscita del nuovo Codice Appalti. In questo e in un successivo articolo esaminiamo i diversi aspetti che caratterizzano il servizio di verifica del progetto per Organismi di Ispezione e Società o Studi di Ingegneria. Leggi tutto

Il cliente straniero viene a fare un audit: che fare?

RelazioneMolte piccole e medie imprese italiane negli ultimi anni sono riuscite ad uscire dalla crisi e – in molti casi – anche ad incrementare sensibilmente i ricavi di vendita, attraverso la vendita di prodotti a clienti esteri, soprattutto in area UE. L’acquisizione di un nuovo cliente estero (oggi divenuta sempre meno difficoltosa attraverso siti internet anche in lingua inglese e un’adeguata indicizzazione nei motori di ricerca) e soprattutto la crescita degli ordinativi dopo le prime campionature passa spesso attraverso una visita del cliente estero presso lo stabilimento del fornitore italiano.

La prassi di molte imprese estere, tedesche ed inglesi soprattutto, specialmente se operanti nel settore automotive e se multinazionali, prevede che questa visita al fornitore italiano sia un vero e proprio audit sul sistema qualità e sul processo produttivo interessato alla realizzazione dei prodotti del cliente estero.

Questi audit sono preceduti da comunicazioni formali, quali piani di audit e accordi commerciali o CSR (Customer Specific Requirments) che costituiscono veri e propri Quality Agreement. Tali documenti sono quasi sempre molto impegnativi per le PMI italiane, anche se certificate ISO 9001 (ma non ISO/TS 16949 per il settore automotive).

Il primo audit ha l’obiettivo di valutare lo stato della qualità e dei processi produttivi del fornitore rispetto ai propri standard e di registrarne gli scostamenti al fine di far crescere il fornitore.

A fronte di queste richieste il management dell’impresa italiana talvolta si chiede “Perché non basta la certificazione di qualità?” oppure crede che vengano solo per discutere di aspetti commerciali.

Sicuramente un audit sul sistema qualità, ovviamente in inglese, da parte di un cliente spaventa un po’. Dapprima ci si preoccupa della lingua: un conto è scambiare qualche mail in inglese sulla fornitura di prodotti o su specifiche tecniche note, un conto è rispondere a domande precise e circostanziate poste da un auditor qualificato, talvolta neanche facente parte della struttura di riferimento principale del cliente con cui si ha rapporti, in lingua inglese e rispondere in modo sensato nella stessa lingua su aspetti che probabilmente non vengono gestiti come vorrebbe il cliente. La visita annuale dell’Organismo di Certificazione è un’altra cosa!

Alcuni clienti esteri strutturati, poi, effettuano l’audit con due o tre persone: un esperto di sistemi qualità, un referente degli acquisti per parlare di aspetti commerciali, un membro dell’ufficio tecnico e/o della produzione per discutere di problematiche tecniche… come fare per “marcare a uomo” tanti soggetti pericolosi? Un problema è, come detto, la conoscenza della lingua inglese, un altro è quello della conoscenza anche del “qualitese” da parte di più persone all’interno dell’azienda.

La Direzione di alcune aziende pensa di assoldare un traduttore per essere al riparo da rischi di interpretazione linguistica, altri pensano di mettere in piedi del “cinema” per stupire il cliente con effetti speciali e fargli credere di essere perfetti, soprattutto dal punto di vista della qualità, anche con l’ausilio di registrazioni “finte”. Premesso che assoldare un ottimo attore come George Clooney che conosca anche un po’ di italiano non servirebbe a nulla e costerebbe un pochino troppo, vediamo quali sono i comportamenti da evitare e l’approccio corretto per affrontare questi audit stranieri.

Per prima cosa è opportuno adottare la massima trasparenza nei confronti del cliente, soprattutto se la situazione esistente è parecchio lontana dai requisiti riportati nel Quality Agreement o CSR. Non si può pensare di inventarsi una FMEA o un controllo statistico di processo (SPC) o una MSA (Measurement System Analysis) in un paio di settimane se non si ha l’abitudine all’impiego di tali strumenti. Il rappresentante del cliente sarà sicuramente sufficientemente scafato per accorgersi della messinscena.

Se una determinata prassi non è adottata meglio dichiararlo apertamente e dimostrarsi disponibili ad adeguarsi alle richieste del cliente (dopo aver valutato quanto è importante il cliente e quanto costa adeguarsi).

È bene però evitare troppe promesse che non si potrà mantenere o affermare troppe volte “lo stiamo facendo”: il cliente tornerà per vedere se avete completato quello che stavate facendo!

In questi audit c’è maggiore enfasi sulle Responsabilità della Direzione secondo la ISO 9001 rispetto a quello che normalmente avviene negli audit di certificazione. Lo scostamento di molte imprese fra gli obiettivi e gli indicatori del riesame della direzione e le strategie e gli obiettivi reali della Direzione stessa emergono immediatamente ad un esame attento. I piani di miglioramento simili ad una letterina a Babbo Natale (“Prometto che sarò più bravo”) sono inadeguati: l’auditor del cliente chiederà quali sono gli obiettivi, quali gli indicatori per misurarli, come si pensa di perseguirli, con quali azioni, con quali risorse (persone, mezzi, strumenti, risorse finanziarie), responsabilità, tempi e modalità di monitoraggio dell’avanzamento delle attività pianificate.

In produzione l’identificazione e la rintracciabilità dei prodotti è considerata molto importante, non basta dire che “tutti sanno che prodotto o componente è questo”, occorre identificarlo in modo opportuno.

I controlli in produzione e finali devono essere fatti in tempo reale, l’auditor del cliente estero non concepisce il fatto che le registrazioni si mettono a posto prima che arrivi l’Organismo di Certificazione.

Anche se nessun auditor dirà che il sistema informatico è inadeguato dalle sue richieste si capirà se i fabbisogni informativi sono soddisfatti in modo adeguato dai programmi software utilizzati, soprattutto in ambito produzione, controlli qualità ed analisi dei dati.

Teoricamente l’auditor del cliente dovrebbe esaminare solo la produzione degli articoli realizzati per esso, ma se sono state effettuate solo alcune campionature potrà spaziare su tutta la produzione per capire come siete organizzati, anche se su altri prodotti i relativi clienti non hanno richieste particolari di assicurazione qualità.

Non serve a nulla tradurre in inglese il Manuale Qualità o qualche procedura se il cliente non lo richiede esplicitamente: tali documenti devono rispecchiare l’operatività interna ed essere compresi da tutto il personale dell’azienda che deve conoscere e poter accedere sul posto di lavoro a procedure e, soprattutto, alle istruzioni operative/di lavoro.

Il fatto che le procedure sono in italiano e il cliente non conosce la nostra lingua potrebbe essere un vantaggio perché non può chiederci ragione di regole che eventualmente non sono osservate, però qualcuno dovrebbe essere in grado di spiegargliele.

A fronte di evidenti non conformità, non solo rispetto agli standard del cliente (capitolato, CSR o Quality Agreement), ma anche rispetto alle proprie procedure del sistema qualità, è meglio non cercare di arrampicarsi sugli specchi (“Abbiamo cambiato la procedura da poco”, “l’operatore è nuovo e non era ancora stato addestrato”, “per noi è un aspetto poco importante”, “Il cliente non ce lo ha mai chiesto”, “stiamo modificando il softwae”,….): di tutto ciò che accade di diverso dalle regole stabilite (norme, procedure, specifiche del cliente) i responsabili – a diversi livelli – sarete solamente voi, per non aver saputo prevenire il problema, per non aver addestrato le persone, per non aver completato le azioni pianificate nei tempi previsti, per non aver monitorato i processi e così via.

qualityexcellentAlla fine dell’audit, o comunque nei giorni successivi, il cliente manderà un report con i risultati dell’audit, comprendente eventuali non conformità ed osservazioni o elementi di miglioramento che vorrebbero fossero adeguati. Dopo il rapporto il cliente normalmente chiede un piano di miglioramento o documento analogo nel quale si dovrà indicare le correzioni, le azioni correttive e le azioni preventive che si intende attuare per risolvere le anomalie riscontrate, comprendenti tempi e responsabilità per l’attuazione. Il consiglio è di non proporre piani ed azioni correttive che non sarete in grado di attuare efficacemente nei tempi previsti, perché alle scadenze temporali che indicherete il cliente vi chiederà l’avanzamento del piano e le evidenze dell’attuazione delle azioni correttive (documenti, foto, ecc.). Meglio non barare se ci tenete al cliente perché torneranno a visitarvi e se non troveranno attuato quanto promesso le brutte figure sono garantire e la fiducia del cliente sarà minata.

Infine teniamo presente gli effetti della Brexit: se il cliente è inglese o è un fornitore di un cliente britannico forse con la perdita di potere di acquisto della Sterlina i nostri prodotti saranno meno economici per cui la competitività va mantenuta attraverso la qualità.

Nuovo Regolamento UE sulla Privacy: cosa cambia per le imprese?

privacyLo scorso 4 maggio è stato pubblicato sulla gazzetta ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” e dopo 20 giorni dalla sua pubblicazione è divenuto legge europea, pertanto a partire dal 25 maggio 2016 decorrono i due anni di transitorio per l’applicazione del nuovo Regolamento.

Nella pagina Documenti di questo sito è possibile scaricare il testo ufficiale (ora anche per gli utenti non registrati).

Il Garante per la Protezione dei dati personali ha pubblicato un’apposita guida (http://194.242.234.211/documents/10160/5184810/Guida+al+nuovo+Regolamento+europeo+in+materia+di+protezione+dati ). Leggi tutto