GDPR e Sistema di Gestione per la Qualità – a rischio oltre 90.000 certificazioni UNI EN ISO 9001:2015
Questo è il risultato dello studio elaborato dal Consorzio Iustec correlando i risultati di varie ricerche scientifiche in ambito di adeguamento GDPR e certificazioni qualità
Secondo i dati pubblicati dall’Osservatorio Accredia nel bollettino del 29 ottobre 2018, l’Italia è al primo posto in Europa e secondo nel Mondo per il numero di realtà che volontariamente hanno completato un percorso di accreditamento del proprio sistema di gestione per la qualità a norma UNI EN ISO 9001:2015.
Sono infatti 116.000 le aziende che hanno deciso di intraprendere un percorso dinamico virtuoso di miglioramento continuo, attraverso una visione approfondita dei processi interni, evidenziando i punti deboli dell’organizzazione, individuando gli specifici obiettivi di efficienza.
Ma perché il Consorzio Iustec lancia questo drammatico allarme?
Chiunque conosca di Sistemi di Gestione Qualità, sa che ogni azienda certificata DEVE rispettare ogni norma, legge o regolamento COGENTI rispetto al contesto in cui la stessa Impresa opera (si veda, ad esempio, il capitolo 8.2 – Processi Relativi al Cliente, dove in più passaggi vengono citati i vincoli dei requisiti di legge o normativi cogenti che devono essere rispettati).
Il Regolamento 2016/679 è entrato in vigore lo scorso 25 maggio 2018, e lo stesso D.lgs Italiano 101/18 entrato in vigore lo scorso 19 settembre 2018 ratifica e arricchisce di sanzioni penali le già impattanti ammende pecuniarie irrorate alle realtà che non adeguano i propri trattamenti ai principi di salvaguardia dei dati personali.
Ora, purtroppo, l’ultima ricerca dell’Information Security & Privacy della School of Management del Politecnico di Milano pubblicata nei primi giorni di febbraio 2019, evidenzia come il solo 23% delle imprese italiane è attualmente adeguato al GDPR, mentre solo il 59% ha progetti in corso di svolgimento.
E’ altresì probabile che Aziende dotate volontariamente di un Sistema di Gestione di Qualità abbiano “sensibilità” amplificate e predisposizioni di adeguatezza ad ogni legge/norma dello Stato in cui risiede, ma le esperienze del Consorzio Iustec nel proprio contesto operativo evidenziano come le attività di adeguamento al GDPR stiano rallentando vistosamente rispetto ad una fiammata di richieste e attività avviate a ridosso del maggio 2018.
Probabilmente la falsa aspettativa di un inconcludente “nulla di impegnativo” frainteso dagli 8 mesi di “graduale introduzione di sanzioni amministrative”, hanno raffreddato i primi slanci di allineamento al GDPR di fatto sempre maldigeriti.
Pertanto, ipotizzando che l’insieme delle Imprese Italiane certificate siano statisticamente omogenee alle tendenze di adeguatezza GDPR delle restanti realtà produttive, soltanto il 23% delle 116.000 Aziende hanno ottemperato agli oneri previsti dal 2016/679, e quindi oltre 90.000 Imprese sono a rischio revoca certificazione UNI EN ISO 9001:2015.
E’ vero che entro lo scorso 15 settembre 2018 le Aziende Certificate hanno completato la transizione dalla versione 2008 alla 2015, attraverso un AUDIT mirato alla verifica e rinnovo della Certificazione, ma l’esperienza sul campo del Consorzio Iustec unita alla oggettiva giovinezza del Regolamento 2016/679 portano ad osservare che gli Auditor impegnati nell’ultima tornata di revisioni abbiano dedicato poco tempo alla valutazione dell’adeguatezza del contesto aziendale al GDPR, anche alla luce della carenza di conoscenza dell’Impianto Normativo Italiano ancora non in vigore (si ricorda che l’entrata in vigore del D.Lgs 101/18 è stata il 19 settembre 2018).
Ciò significa che, terminati gli 8 mesi di “franchigia”, affinate le competenze e conoscenze degli Auditor di Terza Parte, aumentata la consapevolezza del Tessuto Sociale in merito ai diritti in ambito privacy (stiamo osservando un’esplosione dei reclami al Garante Privacy), assisteremo ad una seria analisi dei requisiti normativi cogenti nelle Imprese certificate, con il rischio che oltre il 70% delle realtà certificate perdano il proprio status.
Un ulteriore motivo per intraprendere, con decisione, un percorso di adeguamento al 2016/679.
Leopoldo Zanini – Master Universitario in Audit – Lead Auditor UNI EN ISO 19011:2018 – ISMS Auditor ISO/IEC 27001 – Componente Consorzio Iustec