La strategia

Il ciclo di Deming applicato al GDPR: ecco le quattro fasi per il titolare del trattamento

Il ciclo di Deming ideato negli Anni 50 da William Edwards Deming è un metodo di gestione interattivo in quattro fasi alla base delle norme ISO utile per ottimizzare i processi aziendali e migliorare la produzione, ma che può trovare applicazione anche nell’attuare l’articolo 24 del GDPR. Ecco come

16 Dic 2019
M
Roberto Modestino

DPO e consulente aziendale


Il ciclo di Deming prevede l’introduzione di strumenti di controllo in tutte le fasi del processo produttivo attraverso la sequenza ripetuta di quattro punti e può essere applicato, alla luce del GDPR, anche alle attività in carico al titolare del trattamento: vediamo come.

Che cos’è il ciclo di Deming

L’ingegner William Edwards Deming si dedicò agli studi sul miglioramento della produzione e, in particolare in Giappone negli anni Cinquanta, alla cultura della qualità e del miglioramento continuo dei processi.

In quegli anni, la qualità del prodotto era assicurata solo dal collaudo finale che portava allo scarto dei prodotti difettosi e ciò comportava che l’aumento della qualità dipendesse dall’aumento dei controlli con conseguente crescita dei costi.

Il ciclo che da lui prende il nome consiste in quattro fasi:

  • Plan – La pianificazione degli obiettivi, dei processi necessari e delle risorse (economiche, organizzative e tecnologiche) per il loro raggiungimento.
  • Do – La messa in atto (anche su scala ridotta) delle azioni necessarie al raggiungimento degli obiettivi prefissati così come pianificato nella fase Plan.
  • Check – La fase del controllo attraverso l’analisi dei dati raccolti e del loro confronto con i risultati attesi e programmati al fine di determinarne gli scostamenti e far emergere le cause che hanno portato agli scostamenti stessi.
  • Act – Le azioni necessarie per migliorare il processo, applicando dove possibili le correzioni necessarie per ridurre o eliminare gli scostamenti emersi nella fase precedente.

La forza di tale impostazione sta nel fatto che le quattro fasi non si esauriscono con Act ma, da questa, ripartono con nuove pianificazioni, nuove azioni, nuovi controlli e nuove correzioni e così via n volte, rendendo concreto il concetto di miglioramento continuo.

Il ciclo di Deming e le norme ISO

Tutte le norme ISO, a partire dalla più famosa 9001 fino ad arrivare alle più tecniche, si basano sul ciclo di Deming, applicando il ciclo a 4 fasi PDCA a tutti i processi e sotto-processi di un’organizzazione, sia essa finalizzata alla produzione sia all’erogazione di servizi.

On demand
Il racconto di Carlo Cottarelli e Brunello Cucinelli. Rivivi il Think Digital Summit
Cloud
Risorse Umane/Organizzazione

Tale schema, infatti, si adatta perfettamente ad ogni settore e ad ogni tipo di organizzazione: sia che produca satelliti geostazionari o che si applichi ad un piccolo ufficio di consulenza, sia con 10.000 dipendenti in tutto il mondo che con una ditta individuale, la programmazione, l’attuazione, il controllo ed il miglioramento sono fasi che, il più delle volte inconsapevolmente, naturalmente si susseguono nella attività imprenditoriale.

Farle emergere in tutto il processo principale, o nelle singole fasi che compongono il processo principale e nei processi di supporto a quello primario, permetterà di migliorare la qualità del prodotto/servizio finale, correggendolo in ogni fase della sua realizzazione (selezionando e controllando i migliori fornitori e le migliori materie prime, selezionando e formando le migliori risorse umane, controllando la manutenzione delle attrezzature, migliorando i canali distributivi, ecc.).

Le quattro fasi d’azione del titolare del trattamento

Il GDPR affonda le sue radici anche nel terreno delle norme ISO in generale, e ciò appare abbastanza chiaro dalla lettura dell’art. 24 c.1 sulle responsabilità del titolare del trattamento. Si veda l’articolo 24 – Responsabilità del titolare del trattamento:

  1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

Con le premesse fatte all’inizio si può chiaramente vedere nell’art. 24 del GDPR il ciclo di Deming quale sequenza delle azioni poste in capo al titolare del trattamento:

  • Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche: questa è la fase del Plan ovvero della programmazione a seguito dell’analisi del contesto, degli obiettivi e delle finalità che il Titolare intende perseguire, che attengono alla Privacy by Design, dopo aver valutato attentamente i rischi connessi;
  • Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento: questa è la fase del Do nella quale il Titolare del trattamento compie tutte le azioni necessarie per poter raggiungere gli obiettivi e le finalità prefissate attraverso l’utilizzo di misure tecniche ed organizzative adeguate;
  • Dette misure sono riesaminate…: questa è la fase del Check nella quale è necessario verificare se quanto è stato programmato e messo in atto permette di raggiungere le finalità prefissate rispettando gli standard di sicurezza auspicati o, in caso contrario, quali gap devono essere colmati;
  • … e aggiornate qualora necessario: infine la fase dell’Act che, analizzando ciò che si era prefissato e ciò che è stato effettivamente raggiunto, permette di effettuare l’analisi delle cause, scoprire eventuali debolezze e mettere in campo azioni volte a ridurre le distanze verso gli obiettivi prefissati in un’ottica di miglioramento continuo.

In modo ancor più esplicito, il riferimento alle norme ISO è indicato negli artt. 42 e 43 dove si invitano gli Stati membri a incoraggiare l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento… secondo gli stessi canali previsti per le norme ISO a cui si è fatto riferimento in questo articolo.

Conclusione

L’adozione del ciclo di Deming e il riferimento a norme ISO di certificazione, comunque volontarie, allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento, non solo darà a questi ultimi ulteriori strumenti di autovalutazione di aderenza al GDPR ma stimolerà, ancor più chiaramente, ad un approccio dinamico e pro-attivo delle organizzazioni alla cogenza normativa, puntando quindi non solo alla efficacia delle azioni ma anche, e soprattutto, alla loro efficienza.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3