Per tutelare il rapporto cliente-fornitore, un’accortezza preziosa è quella di contrattualizzare gli audit privacy e sicurezza.
Il GDPR, infatti, chiede espressamente che il titolare del trattamento svolga sul proprio fornitore «attività di revisione, comprese le ispezioni», ma nulla dice sulle specifiche modalità, che vengono dunque lasciate alla gestione delle parti. La conseguenza è che spesso queste non vengono condivise preventivamente ma decise sul momento, solitamente dalla parte con maggior potere contrattuale.
Audit sui fornitori: gli impatti sull’organizzazione
Non è una questione da poco, se si pensa quanto possa essere invadente un audit su un’organizzazione e su un rapporto contrattuale.
Qualche esempio:
A) se programmazione e pianificazione non sono condivise, capita che vengano imposti tempi scomodi o addirittura insostenibili per la struttura del fornitore.
Quali sono gli orari di operatività? Quali gli orari di presenza o eventualmente i turni del personale coinvolto nell’audit? Com’è organizzata la produzione settimanalmente / mensilmente? Esistono dei periodi particolari di scadenze e consegne?
B) se referenti, gruppi di lavoro e modalità di comunicazione non sono chiari, le informazioni potrebbero arrivare tardi e male ad alcune delle funzioni coinvolte.
Ciò potrebbe incidere sulla preparazione e organizzazione dei documenti e dei materiali da consegnare o anche, semplicemente, sulla presenza di persone con ruoli-chiave per il buon esito dell’audit.
C) l’impegno in termini di presenza, personale, tempo ed energie è spesso rilevante e può capitare che il fornitore ne chieda una compensazione.
Questo può avere impatti negativi sul rapporto cliente-fornitore, per la richiesta di importi non preventivati o, viceversa, per la perdita economica dovuta all’investimento di personale.
D) infine, cosa accade in caso di non conformità? Si può arrivare a risolvere il contratto? Oppure vengono dati al fornitore dei tempi per un adeguamento? E chi paga per queste attività di remediation?
Si tratta di un caso più frequente di quanto si possa immaginare, poiché anche nelle organizzazioni più attente è possibile che emergano non conformità più o meno gravi. Anche in tale caso, un mancato preventivo accordo su questi temi rischia di incrinare il rapporto cliente-fornitore o, ancor peggio, interrompere il rapporto stesso, con danni economici sicuramente evitabili.
Per queste ragioni, nonostante l’attività di audit non sia il cuore della fornitura, accordarsi preventivamente sulla sua organizzazione e conduzione, nonché sulle sue conseguenze, protegge non solo il singolo contratto, ma più in generale il rapporto (di fiducia e commerciale) cliente-fornitore.