Per quanto tempo posso conservare i dati dei visitatori?

Gestire un registro visitatori non è solo questione di sicurezza fisica. La domanda che ogni RSPP, security manager o datore di lavoro si pone, prima o poi, è: per quanto tempo posso conservare i dati dei visitatori? La risposta non è mai un numero secco. Il termine di conservazione dipende da più obblighi normativi, che si intrecciano tra prevenzione incendi, sicurezza sul lavoro, normative antiterrorismo e protezione dei dati personali. Chi sbaglia, rischia sanzioni pesanti, dalla contestazione in sede ispettiva fino a violazioni del GDPR. Vediamo come definire una retention policy solida, partendo dal caso più comune fino ai contesti che impongono periodi più estesi.

Il registro antincendio e i 12 mesi canonici

Il punto di partenza per qualsiasi politica di conservazione è il D.M. 2 settembre 2021, che ha sostituito il vecchio D.M. 10 marzo 1998 e ridisegnato la gestione della sicurezza antincendio nei luoghi di lavoro. L’articolo 2, comma 2, impone al datore di lavoro di predisporre un registro dei controlli antincendio, e tra le informazioni da annotare figurano anche i dati essenziali delle persone presenti in azienda, inclusi i visitatori. Il decreto stabilisce che il registro deve essere conservato per almeno 12 mesi dalla data dell’ultima registrazione.

Questo significa che, per la generalità delle aziende, ogni record di ingresso di un visitatore – nome, cognome, orario, destinazione – può essere cancellato trascorsi 12 mesi. È il termine minimo di legge, non una facoltà. Conservare i dati per un periodo inferiore espone al rischio di non poter esibire la documentazione in caso di controllo da parte dei Vigili del Fuoco o degli organi di vigilanza, con conseguenze che vanno dalla semplice prescrizione fino a sanzioni penali in caso di incidente rilevante.

A ben vedere, però, questi 12 mesi rappresentano solo il pavimento normativo. Molte organizzazioni, in buona fede, pensano che scaduto l’anno si possa cestinare tutto. In realtà, esistono numerosi scenari in cui il dato del visitatore deve vivere molto più a lungo, e ignorarlo può costare caro.

Quando il dato ha una vita più lunga: obblighi aggiuntivi

Il termine dei 12 mesi si allunga automaticamente quando subentrano normative speciali o esigenze documentali più stringenti. Ecco i casi più frequenti.

Se lo stabilimento è soggetto alla direttiva Seveso (D.Lgs. 105/2015), il sistema di gestione della sicurezza impone di tracciare la presenza di chiunque acceda all’area a rischio di incidente rilevante. In questo contesto, le informazioni sulle presenze entrano a far parte del rapporto di sicurezza e della documentazione prescrittiva, per i quali i termini di conservazione possono estendersi fino a 5 o 10 anni, in base alle prescrizioni dell’autorità competente o alle policy interne adottate ai sensi dell’allegato B del decreto. Analogamente, il DPR 151/2011 sulla semplificazione antincendio e i regolamenti locali possono imporre obblighi di retention differenziati per le attività a maggior rischio.

Intervengono poi disposizioni legate al diritto del lavoro e alla sicurezza. Il D.Lgs. 81/2008 non prescrive esplicitamente un termine per i registri di accesso, ma qualora un visitatore subisca un infortunio durante la permanenza in azienda, i suoi dati di presenza diventano parte integrante della documentazione di infortunio, che ai sensi dell’art. 53 del D.P.R. 1124/1965 deve essere conservata per almeno 10 anni. Lo stesso ragionamento vale per eventuali contenziosi: se un sinistro o una contestazione coinvolge un visitatore, il relativo dato di accesso può divenire prova e va custodito fino alla prescrizione del diritto, che può arrivare a 5 anni (art. 2947 c.c.).

Altro fronte è la sicurezza fisica e corporate. In settori critici (infrastrutture, banche, data center) le policy aziendali spesso allineano la retention agli standard ISO 27001, che richiedono la conservazione dei log di accesso fisico per un periodo non inferiore a quello definito nell’analisi del rischio, quasi mai minore di 12 mesi. Se tali registrazioni servono a prevenire, accertare o perseguire reati, il termine può essere sospeso fino alla conclusione delle indagini.

GDPR e principio di limitazione della conservazione

A fianco delle norme settoriali, il Regolamento Generale sulla Protezione dei Dati (UE 2016/679) detta i confini entro cui ogni trattamento deve muoversi. L’articolo 5, paragrafo 1, lettera e), sancisce il principio della limitazione della conservazione: i dati personali possono essere conservati solo per il tempo necessario al conseguimento delle finalità per cui sono stati raccolti. Nel caso del registro visitatori, la finalità primaria – sicurezza e prevenzione incendi – giustifica i 12 mesi. Qualora però sussistano ragioni ulteriori (obblighi di legge, accertamento di diritti in sede giudiziaria), la base giuridica si sposta e il termine si allunga, purché il titolare abbia previsto misure tecniche e organizzative adeguate a proteggere i dati durante l’intero ciclo di vita.

L’art. 17 del GDPR riconosce il diritto alla cancellazione (oblio), che il visitatore può esercitare decorsi i 12 mesi, se non vi sono ragioni ostative. Per questo è cruciale che la politica di conservazione sia trasparente: l’informativa privacy all’ingresso deve indicare con chiarezza i periodi di retention differenziati. In assenza di automatismi, il rischio concreto è di dimenticare i dati oltre il necessario, incorrendo in una conservazione eccessiva e in una violazione del principio di minimizzazione, passibile di sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale.

Sul piano operativo, ciò impone di adottare un criterio di cancellazione che tenga conto dei diversi strati normativi: il dato “base” del visitatore generico può essere rimosso dopo 12 mesi; se il visitatore ha avuto accesso a un’area Seveso, scatta il termine più lungo; se è occorso un infortunio, il record viene congelato fino allo scadere dei 10 anni. Un sistema manuale, cartaceo o basato su Excel, non è in grado di gestire queste regole in modo affidabile.

Automatizzare la retention: perché un SaaS fa la differenza

La complessità della retention multi-regola spiega perché sempre più aziende scelgono di digitalizzare il registro visitatori con soluzioni cloud evolute. Un software di visitor management può impostare per ogni tipologia di accesso un profilo di conservazione automatico: i dati del corriere vengono distrutti dopo 12 mesi, quelli del manutentore in area Seveso dopo 5 anni, mentre il visitatore che ha subito un incidente rimane in archivio finché l’ufficio legale non autorizza la cancellazione.

Oltre alla precisione, un SaaS garantisce tracciabilità e inalterabilità del log, requisito indispensabile per dimostrare all’autorità di controllo la corretta gestione del ciclo di vita del dato. In caso di richiesta di accesso o cancellazione da parte dell’interessato, il titolare può estrarre in pochi clic la cronologia delle operazioni, rispettando i termini stringenti imposti dal GDPR.

Infine, la conservazione digitale consente di abilitare, senza sforzo, misure di sicurezza tecniche e organizzative allineate alla ISO 27001: trasmissione cifrata (TLS), gestione robusta delle credenziali, profili di accesso differenziati per ruolo e politiche di cancellazione sicura. Tutti elementi che, in caso di audit, testimoniano un approccio proattivo alla compliance.

Gestire in modo professionale la conservazione dei dati visitatori non è quindi un lusso, ma l’unica via per conciliare sicurezza fisica e protezione dei dati. Ecco perché soluzioni come Varcora, progettate proprio per la gestione accessi di aziende e siti produttivi, includono nativamente meccanismi di retention automatica differenziata, aiutando RSPP e security manager a dormire sonni tranquilli – e a superare ogni verifica senza affanni.