SA8000:2026 e futura ISO 9001:2026 a confronto
Due modelli, due filosofie, due destinatari diversi. Un confronto operativo tra SA8000:2026 e la bozza della ISO/DIS 9001:2025 sugli aspetti davvero paragonabili
Cosa confrontiamo (e cosa no): la premessa necessaria
La pubblicazione della SA8000:2026, avvenuta il 1° gennaio 2026, offre l'occasione di fare una riflessione che viene affrontata raramente: quanto questo standard per un lavoro dignitoso dialoga con il sistema di gestione che molte organizzazioni già conoscono e applicano, quello progettato in base alla ISO 9001?
Questo articolo si concentra sul confronto tra la SA8000:2026 e la bozza della ISO/DIS 9001:2025, che rappresenta la sesta edizione dello standard per i sistemi di gestione della qualità e che, prossimamente, diventerà la nuova ISO 9001.
Quello che invece vale la pena analizzare sono gli elementi dove i due standard si muovono sullo stesso terreno, anche se con finalità diverse: la gestione del rischio, il coinvolgimento delle persone, il controllo della supply chain, la gestione dei reclami, la trasparenza esterna e la tutela della privacy. Su questi punti le due norme dicono alcune cose e capire le differenze credo sia utile sia per chi gestisce i singoli sistemi di gestione o un sistema integrato, sia per chi si avvicina alla SA8000 partendo da una base ISO.
Due modelli, due filosofie
Il punto di partenza di qualsiasi confronto deve essere la base concettuale su cui i due standard poggiano, perché da lì derivano tutte le differenze che incontreremo.
Principi di gestione della qualità
- Customer focus: il cliente al centro
- Leadership e impegno del top management
- Coinvolgimento delle persone
- Approccio per processi + ciclo PDCA
- Risk-based thinking e opportunity-based thinking
- Decisioni basate sui fatti
- Gestione delle relazioni
Diritti umani e framework UNGP
- Principi Guida ONU su imprese e diritti umani (UNGP)
- Dichiarazione ILO sui principi fondamentali nel lavoro
- Convenzione ONU sui diritti dell'infanzia
- Linee guida OCSE sulla due diligence
- Il lavoratore come principale detentore dei diritti
- Modello "Proteggere, rispettare e rimediare"
La ISO 9001 è costruita su sette principi di gestione della qualità definiti nella ISO 9000 e sulla struttura del ciclo Plan-Do-Check-Act. Il suo obiettivo è aiutare le organizzazioni a fornire prodotti e servizi conformi ai requisiti del cliente e a migliorare costantemente la soddisfazione del cliente stesso. Il cliente è il centro del sistema.
La SA8000, invece, si radica in un universo normativo completamente diverso: i principi guida delle Nazioni Unite su imprese e diritti umani (UNGP), le dichiarazioni fondamentali dell'ILO e la Convenzione ONU sui diritti dell'infanzia. Il suo modello di riferimento è il modello "Proteggere, rispettare e rimediare" degli UNGP, che assegna agli stati il dovere di proteggere i diritti umani e alle imprese il dovere di rispettarli. Il centro qui non è il cliente ma il lavoratore, definito esplicitamente dallo standard come "il principale detentore dei diritti".
Risk-based thinking contro due diligence sui diritti umani
Uno dei punti dove il confronto è più illuminante riguarda la gestione del rischio.
Approccio al rischio: orientamento al business contro orientamento alle persone
Il puntoa 6.1 richiede di identificare i rischi e le opportunità che possono influire sulla capacità di fornire prodotti e servizi conformi e di soddisfare il cliente. Le azioni pianificate devono essere proporzionate al loro impatto potenziale sulla conformità. È un approccio orientato all'interno: il rischio è ciò che potrebbe compromettere la qualità dell'output o la soddisfazione del cliente.
L'intera sezione 1 è costruita sul concetto di due diligence sui diritti umani, mutuata dagli UNGP e dalle linee guida OCSE. La due diligence non riguarda i rischi per l'organizzazione ma gli impatti negativi, reali e potenziali, che l'organizzazione causa, contribuisce a causare o ai quali è collegata attraverso le sue operazioni e relazioni commerciali. L'obiettivo non è proteggere il business ma proteggere le persone da danni concreti.
Coinvolgimento delle persone o coinvolgimento strutturale?
Anche sul tema della partecipazione delle persone i due standard dicono cose molto diverse, pur usando un linguaggio apparentemente simile.
Coinvolgimento delle persone: principio aperto contro struttura formale obbligatoria
La ISO 9001 include il coinvolgimento delle persone tra i suoi principi e richiede alla direzione aziendale di supportare e promuovere la partecipazione al sistema di gestione. Non specifica, però, come farlo, con quali strumenti o attraverso quali strutture. È un principio aperto, la cui implementazione è lasciata interamente all'organizzazione.
Il punto M2 richiede non solo di coinvolgere i lavoratori, ma di integrare il loro contributo in tutte le fasi chiave: dalla definizione delle politiche alla valutazione dei rischi, dagli obiettivi ai meccanismi di reclamo. Il punto M2.4 richiede esplicitamente la costituzione di uno o più social performance team, con rappresentanza equilibrata di lavoratori e dirigenti ed elezione indipendente tra pari dei rappresentanti dei lavoratori.
Norme di processo contro norme di contenuto
Una delle differenze più caratteristiche tra i due standard riguarda la natura stessa dei requisiti.
Natura dei requisiti: come fare contro cosa fare (con numeri precisi)
La ISO 9001 è, nella sua essenza, una norma di processo: dice come un'organizzazione deve strutturare il proprio sistema di gestione, non cosa deve fare nei confronti delle persone che ci lavorano. Non troverete mai nella ISO 9001 un numero che vincoli il comportamento dell'organizzazione rispetto ai propri dipendenti.
La SA8000:2026 è, invece, anche una norma di contenuto. Il punto D4 stabilisce un massimo di 48 ore di lavoro settimanali e di 12 ore di straordinario (volontari e retribuiti con maggiorazione). Il punto D1 vieta l'impiego sotto i 15 anni. Il punto D4.2 richiede che il salario corrisponda almeno al salario di sussistenza o al minimo legale se superiore. Si tratta in tutti i casi di vincoli precisi.
Privacy: il lavoratore non è il cliente
Un tema su cui il confronto rivela una lacuna significativa della ISO 9001 è quello della privacy dei dati personali.
Privacy: proprietà del cliente contro diritto fondamentale del lavoratore
la ISO 9001 considera i dati personali nel punto 8.5.3, che riguarda la "proprietà del cliente o dei fornitori esterni": i dati personali sono trattati come un bene da proteggere nell'ambito della gestione operativa, non come un diritto del lavoratore. Il lavoratore come parte interessata portatrice di diritti sulla propria privacy è sostanzialmente assente dal testo.
La SA8000 dedica un intero punto, il D7, alla privacy del personale. Stabilisce che i dati possono essere raccolti solo per motivi attinenti al lavoro, per gli scopi originari, in modo non discriminatorio, con i dati minimi necessari e con adeguate misure di sicurezza e conservazione limitata nel tempo. Prevede anche canali attraverso cui i lavoratori possono esercitare il loro diritto di rifiutare o limitare questa raccolta.
Reclami: la non conformità non basta
Anche sul tema della gestione dei reclami i due standard mostrano impostazioni molto diverse.
Reclami: strumento di miglioramento contro meccanismo di tutela della persona
Nella ISO 9001 i reclami rientrano nel perimetro della non conformità (punto 8.7) e dell'azione correttiva (punto 10.2). Il sistema è progettato per rispondere ai problemi, identificarne le cause e prevenirne la ricorrenza. È un meccanismo efficace per migliorare la qualità del prodotto o del servizio ma non è pensato per proteggere le persone che fanno le segnalazioni.
La SA8000 richiede due meccanismi distinti e formali: uno per il personale (M9.3) e uno per gli stakeholder esterni (M9.4). Entrambi devono essere legittimi, accessibili, prevedibili, equi, trasparenti e basati sul dialogo. Devono garantire la riservatezza di chi segnala, escludere qualsiasi forma di ritorsione — anche da parte di terzi — e non comportare perdite economiche per chi partecipa alle procedure.
La supply chain: qualità o responsabilità?
Sul controllo della catena di fornitura i due standard condividono l'ambizione ma divergono profondamente nella logica.
Catena del valore: conformità del prodotto contro tutela dei diritti lungo tutta la filiera
la ISO 9001, punto 8.4, richiede di valutare, selezionare e monitorare i fornitori esterni sulla base della loro capacità di fornire prodotti e servizi conformi. Il criterio è la qualità dell'output: il fornitore va controllato perché ciò che produce o eroga influisce sulla capacità dell'organizzazione di soddisfare il cliente finale.
la SA8000 estende gli obblighi di due diligence all'intera catena del valore — fornitori, subappaltatori, agenzie di reclutamento, distributori, joint venture — con un criterio completamente diverso: la tutela dei diritti umani dei lavoratori lungo tutta la filiera. Il punto M4.2 richiede una politica scritta sulle aspettative reciproche con i partner commerciali, con criteri chiari anche per l'eventuale interruzione del rapporto che non può avvenire se il rischio dell'interruzione è superiore al rischio iniziale.
Trasparenza verso l'esterno
L'ultima differenza rilevante riguarda la rendicontazione pubblica.
Reporting esterno: disponibilità della policy contro rendicontazione pubblica obbligatoria
La ISO 9001 richiede che la politica della qualità sia disponibile per le parti interessate (punto 5.2.2c) ma non prevede alcuna forma strutturata di reporting pubblico sulle performance del sistema. L'organizzazione non è obbligata a comunicare all'esterno come sta andando, quali rischi ha identificato, quali azioni correttive ha intrapreso o altro.
la SA8000 (punto M8.2) richiede una rendicontazione periodica e pubblica che deve essere trasparente e veritiera, descrivere le attività dell'organizzazione, illustrare come si stanno gestendo i rischi, includere informazioni sui meccanismi di reclamo e sui loro esiti ed essere adeguatamente accessibile alle parti interessate. Si tratta di un obbligo.
Due standard, due missioni
La ISO 9001 e la SA8000 condividono l'approccio per processi, il miglioramento continuo, la gestione dei rischi e il coinvolgimento della direzione ma divergono profondamente nel focus: clienti e qualità del prodotto per la ISO 9001, lavoratori e diritti umani per la SA8000.
Un'organizzazione che volesse integrare entrambi troverebbe la Sezione 1 della SA8000, quella dedicata ai sistemi di gestione, abbastanza compatibile con la struttura della ISO 9001 ma dovrebbe aggiungere tutta la sostanza prescrittiva della sezione 2 che non ha equivalenti nel mondo ISO: i requisiti numerici su orari e salari, la protezione specifica dei lavoratori vulnerabili, i meccanismi di tutela dei whistleblower, la due diligence estesa all'intera filiera, ecc.
Non si tratta di sovrapposizione parziale ma di complementarità tra livelli diversi: la ISO 9001 lavora sulla qualità dei processi mentre la SA8000 lavora sulla dignità delle persone che quei processi li eseguono ogni giorno.
Se stai lavorando a un sistema integrato che comprende la SA8000 o se stai valutando se certificarti hai trovato utile questo confronto? Cosa ti ha sorpreso di più?
Raccontamelo su LinkedIn: sono curiosa di sapere da quale standard parti.