ISO 9001:2015 7.5 INFORMACIÓN DOCUMENTADA

7.5.1 Generalidades

El sistema de gestión de la calidad de la organización debe incluir:

a) la información documentada requerida por esta Norma Internacional;

b) la información documentada que la organización determina como necesaria para la eficacia del sistema de gestión de la calidad.

NOTA La extensión de la información documentada para un sistema de gestión de la calidad puede variar de una organización a otra, debido a:

- el tamaño de la organización y su tipo de actividades, procesos, productos y servicios;

- la complejidad de los procesos y sus interacciones; y

- la competencia de las personas.

7.5.2 Creación y actualización

Al crear y actualizar la información documentada, la organización debe asegurarse de que lo siguiente sea apropiado:

a) la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);

b) el formato (por ejemplo, idioma, versión del software, gráficos) y los medios de soporte (por ejemplo, papel, electrónico);

c) la revisión y aprobación con respecto a la conveniencia y adecuación.

7.5.3 Control de la información documentada

7.5.3.1 La información documentada requerida por el sistema de gestión de la calidad y por esta Norma Internacional se debe controlar para asegurarse de que:

a) esté disponible y sea idónea para su uso, donde y cuando se necesite;

b) esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado o pérdida de integridad).

7.5.3.2 Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda:

a) distribución, acceso, recuperación y uso;

b) almacenamiento y preservación, incluida la preservación de la legibilidad;

c) control de cambios (por ejemplo, control de versión);

d) conservación y disposición.

La información documentada de origen externo, que la organización determina como necesaria para la planificación y operación del sistema de gestión de la calidad, se debe identificar, según sea apropiado, y controlar.

La información documentada conservada como evidencia de la conformidad debe protegerse contra modificaciones no intencionadas.

NOTA El acceso puede implicar una decisión en relación al permiso, solamente para consultar la información documentada, o al permiso y a la autoridad para consultar y modificar la información documentada.

¿Cómo implementar este requisito?

7.5 INFORMACIÓN DOCUMENTADA

7.5.1 Generalidades

La intención de este apartado es asegurar que la organización controla la información documentada necesaria para ser conforme con la Norma ISO 9001, así como la información documentada que se ha determinado necesaria para la eficacia de su sistema de gestión de la calidad (véase el apartado 4.4.2 de la Norma ISO 9001:2015).

Cuando la Norma ISO 9001 hace referencia a “mantener la información documentada”, significa asegurarse de que la información se mantiene actualizada; por ejemplo, la información contenida en los procedimientos documentados, manuales, formularios y listas de verificación, información que podría almacenarse en la nube y descargarse a un teléfono inteligente u otro dispositivo electrónico, y otra información documentada (como la política de la calidad y los objetivos de la calidad).

Cuando la Norma ISO 9001 hace referencia a “conservar la información documentada”, significa asegurarse de que la información que se usa para proporcionar evidencias sobre si un requisito se ha cumplido o no, está protegida frente a cualquier deterioro o cambio no autorizado (lo que no debería ocurrir, salvo que haya que hacer una corrección acordada).

En general, la Norma ISO 9001 no es prescriptiva en términos de la extensión de la información documentada necesaria. Esta variará de organización a organización dependiendo del tamaño y la complejidad de las operaciones y procesos; los requisitos del cliente, legales y reglamentarios; y la competencia de las personas implicadas. Por ejemplo, la información documentada necesaria para una pequeña panadería será más sencilla y menos extensa que la necesaria para un fabricante de piezas de automóviles que tiene unos requisitos del cliente (legales y reglamentarios) muy específicos, incluyendo información documentada de origen externo, que incorporar al sistema.

7.5.2 Creación y actualización

La intención de este apartado es asegurar que cuando la organización crea y actualiza información documentada, se usan la identificación, formato y medio adecuados, y que la información documentada se revisa y aprueba.

La información documentada debería incluir una identificación y una descripción. Hay muchos métodos para hacerlo, como definir un título, fecha, autor, o número de referencia (o una combinación de dos o más de estos métodos) que la organización puede usar para determinar la información y su estado.

La organización debería establecer el formato para la información documentada. La organización puede usar una copia impresa, electrónica, o ambas para proporcionar la información documentada. También debería tenerse en cuenta la versión de los programas informáticos que se usarán, puesto que es posible que no todos los usuarios tengan acceso a la misma versión. Algunas organizaciones podrían necesitar considerar proporcionar la información documentada en más de un idioma, basándose en la cultura de la organización.

La organización debería tener métodos establecidos para la revisión y aprobación de su información documentada, por ejemplo, tener una persona identificada con la autoridad para aprobar la información documentada.

7.5.3 Control de la información documentada

7.5.3.1 La intención de este apartado es asegurar que la información documentada está disponible en un medio adecuado dondequiera que se necesite, y que está protegida de manera adecuada.

Una vez decidida la información documentada necesaria para el sistema de gestión de la calidad, la organización debería asegurarse de que está disponible para todas las áreas, departamentos, dueños de proceso, etc. pertinentes. También debería considerarse proporcionar la información documentada pertinente a las partes interesadas externas pertinentes cuando los productos y servicios tienen un origen externo. La información documentada también debería estar en el formato adecuado para su uso previsto, por ejemplo, un acuerdo de nivel de servicio por escrito para un proveedor de servicios externos, o información de los parámetros de un proceso en formato electrónico que pueda descargarse a la interfaz del proceso.

La organización debería tener en cuenta el nivel de control necesario para asegurarse de que la información documentada se controla adecuadamente, teniendo en cuenta el medio en el que se encuentra. El control incluye la disponibilidad, distribución y protección, por ejemplo, frente a la pérdida de datos, confidencialidad, uso indebido o cambios involuntarios. La organización debería asegurarse de que se establecen los controles necesarios como parte del sistema de información documentada y comunicación, y que se protege frente a la pérdida, uso indebido y cambios involuntarios. Esto puede hacerse de muchas maneras, incluyendo sistemas electrónicos con acceso de sólo lectura y permisos específicos para acceder a distintos niveles, entradas con protección por contraseñas o identificaciones. El nivel de control puede variar dependiendo del lugar en el que la información documentada se ponga a disposición; por ejemplo, mayores restricciones de acceso para las partes externas. También deberían tenerse en cuenta las cuestiones de seguridad y de copias de seguridad de los datos.

7.5.3.2 La intención de este apartado es asegurar que el control de la información documentada trata la distribución, acceso, recuperación y uso, almacenamiento y conservación, control de cambios, retención y eliminación. Esto también aplica a la información documentada de origen externo cuando la organización determine que es necesaria para la planificación y operación del sistema de gestión de la calidad. La distribución de la información documentada puede controlarse de diversas maneras.

Una vez establecido un sistema para controlar la distribución y acceso a la información documentada, la organización debería entonces considerar la manera en que se almacena, mantiene y elimina según sea necesario con el paso del tiempo.

La información documentada puede cambiar y desarrollarse según la organización mejora sus procesos y su sistema de gestión de la calidad.

También está la necesidad de considerar la manera en que la información documentada histórica se mantiene, almacena y recupera según sea necesario para su uso posterior.

Debería considerarse un control de versiones, donde la organización determina algún medio para identificar la información documentada actual frente a la obsoleta, y establece controles para asegurarse de que sólo se usa la información documentada actual.

El almacenamiento de información documentada obsoleta puede ser importante. La información documentada debería mantenerse en un medio apropiado para asegurar su conservación y legibilidad, por ejemplo, para la investigación de quejas muchos años después de la producción, que pueden requerir datos históricos de producción, o con fines de gestión del conocimiento organizacional. El tiempo que hay que conservar la información documentada podría ser un requisito legal o reglamentario, un requisito contractual, o puede determinarlo la organización (dependiendo del tiempo de vida de sus productos y servicios). Para la eliminación de la información documentada obsoleta e innecesaria, la organización debería tener en cuenta el control de datos sensibles (por ejemplo, información personal o confidencial) durante el proceso de eliminación.

Cuando la organización determina que alguna información documentada de origen externo es necesaria para la planificación y operación del sistema de gestión de la calidad, ésta debería identificarla adecuadamente y controlarse de la misma manera que otra información documentada. Esto puede incluir información documentada de un cliente o de un proveedor externo como dibujos, métodos específicos de ensayo, planes de muestreo, estándares, o informes de calibración. Debería tenerse especial cuidado con el control de datos sensibles.

Cuando la información documentada se conserva como evidencia de conformidad, debería protegerse de los cambios involuntarios. La organización sólo debería permitir el acceso controlado a dicha información, por ejemplo, con acceso autorizado para personas pertinentes que trabajan en nombre de la organización, o acceso electrónico restringido como “sólo lectura”, según sea apropiado.