Se gestisci un sito produttivo, un ufficio con accessi regolamentati o un cantiere, il registro visitatori è uno strumento quotidiano. Ma sotto il profilo privacy, quale base giuridica giustifica la raccolta di nomi, orari, documenti e, talvolta, dati biometrici? Molti responsabili del trattamento puntano sull’art. 6.1.f del GDPR: il legittimo interesse. Ma questa strada è davvero percorribile senza il consenso esplicito del visitatore?
Obbligo legale vs legittimo interesse: la scelta della base giuridica
Il GDPR offre un catalogo chiuso di basi giuridiche per il trattamento dei dati personali. Il consenso (art. 6.1.a) è spesso inadeguato per il registro accessi: difficilmente può ritenersi libero se il visitatore non ha alternative all’accesso, e la sua revoca costringerebbe a cancellare dati magari già utili per finalità di sicurezza. La strada maestra, per chi ne ha i requisiti, è l’obbligo legale (art. 6.1.c). Diverse norme impongono al datore di lavoro di adottare misure adeguate al numero delle persone presenti. Il D.P.R. 151/2011 individua le attività soggette ai controlli dei Vigili del Fuoco (categorie A, B, C); il D.Lgs. 81/2008 (artt. 18, 43-46) e il D.M. 2 settembre 2021 disciplinano la gestione delle emergenze, imponendo procedure di evacuazione proporzionate al numero di presenti — il che, in concreto, presuppone di sapere chi è presente in stabilimento in ogni momento. Il D.Lgs. 81/2008, pur non istituendo un registro visitatori in senso stretto, obbliga il datore di lavoro a garantire la sicurezza dei luoghi di lavoro (art. 17) e a gestire le emergenze (art. 18 e art. 46): fini per i quali un registro è irrinunciabile. Per gli stabilimenti a rischio di incidente rilevante, il D.Lgs. 105/2015 (Seveso) impone stringenti procedure di accesso. In tutti questi casi, la base giuridica è l’obbligo di legge, e non occorre scomodare il legittimo interesse.
Quando invece l’organizzazione non ricade in queste fattispecie – si pensi a un ufficio commerciale, uno studio professionale o una semplice reception – la scelta cade sul legittimo interesse. Ma la scorciatoia è piena di insidie.
Il test di bilanciamento: tre passi per valutare se il legittimo interesse regge
Il considerando 47 del GDPR e le linee guida del Comitato europeo per la protezione dei dati (EDPB, già WP29) delineano un processo in tre fasi, noto come “test di bilanciamento”. Senza un test documentato, il legittimo interesse è carta straccia e lascia il titolare esposto a contestazioni. I tre passaggi sono:
- Individuare un interesse legittimo del titolare o di terzi: per il registro accessi, l’interesse può essere la protezione di persone e beni, la riservatezza dei segreti industriali, la tracciabilità in caso di incidente o la gestione delle emergenze sanitarie (es. tracciamento covid). L’interesse deve essere reale e attuale.
- Verificare che il trattamento sia necessario (principio di minimizzazione): non basta che sia utile; deve essere il mezzo meno invasivo per lo scopo. Raccogliere nome, orario e persona da visitare è generalmente necessario. Aggiungere la scansione del documento o il dato biometrico richiede una giustificazione molto più solida.
- Bilanciare l’interesse del titolare con i diritti e le libertà dell’interessato: qui si gioca la partita vera. Si devono considerare le “ragionevoli aspettative” dell’interessato. Un visitatore occasionalmente che entra in una reception sa bene che i suoi dati verranno registrati: la sua aspettativa di privacy è limitata. Un dipendente che timbra ogni giorno, invece, ha un’aspettativa assai più alta, e il registro accessi può diventare un monitoraggio continuo, difficilmente giustificabile con il solo legittimo interesse.
La chiave è la proporzionalità: più i dati sono sensibili o gli interessati sono vulnerabili (come i lavoratori), più il bilanciamento pende a favore della protezione.
Casi critici: quando il legittimo interesse viene meno
L’applicazione concreta mostra diversi punti di rottura. Anzitutto, la registrazione di dipendenti: lo Statuto dei Lavoratori (art. 4) e la normativa privacy pongono limiti precisi. Un sistema che registra gli orari di ingresso e uscita del personale a fini di sicurezza può essere ammesso solo se realizzato in modalità meno invasive possibili e, spesso, previo accordo sindacale o autorizzazione. In questo scenario, il legittimo interesse da solo non basta.
Poi, il trattamento di dati particolari (ex sensibili). Se il registro include la temperatura corporea o dati sanitari (dichiarazioni covid), si entra nell’ambito dell’art. 9 GDPR, che richiede una base giuridica specifica (consenso esplicito, motivi di interesse pubblico, ecc.). Il legittimo interesse non copre mai i dati sensibili.
Altro caso: la raccolta di dati sproporzionati. Copia del documento di identità, fotografia, numero di targa: quando bastano dati minimi, la raccolta aggiuntiva fa cadere il bilanciamento. Infine, la conservazione prolungata dei log senza una reale necessità (es. archiviazione eterna per “precauzione”) viola il principio di limitazione della conservazione (art. 5.1.e) e fa ritenere il trattamento non più fondato sul legittimo interesse.
Cosa dicono il Garante italiano e l’EDPB
Il Garante per la protezione dei dati personali ha più volte richiamato l’attenzione sul fatto che il legittimo interesse non può diventare un “jolly” per evitare il consenso. In numerosi provvedimenti sanzionatori, l’Autorità ha ribadito che il titolare deve documentare analiticamente il bilanciamento, specificando perché l’interesse dell’azienda prevale su quello degli interessati. L’EDPB, nell’Opinion 06/2014, aveva già chiarito che i registri di accesso per ragioni di sicurezza fisica possono poggiare sul legittimo interesse, a patto che il trattamento sia strettamente proporzionato e che gli interessati ne siano informati adeguatamente.
Un altro tassello arriva dal principio di accountability (art. 5.2 GDPR): in caso di controllo, spetta al titolare dimostrare di aver scelto la base giuridica corretta. Senza un assessment scritto e una privacy policy trasparente, la difesa è impossibile.
Come documentare il test di bilanciamento e gestire il registro in conformità
La buona notizia è che la conformità si raggiunge con pochi accorgimenti operativi. Predisponete un documento di valutazione del legittimo interesse, in cui esplicitate: lo scopo preciso del registro, i dati raccolti (minimali), i tempi di conservazione, le misure di sicurezza, e la motivazione per cui non sussistono alternative meno invasive. Rendete evidente l’informativa ai visitatori, magari con un cartello all’ingresso e con un modulo digitale al momento della registrazione.
Un sistema digitale di visitor management come Varcora semplifica questo processo in modo nativo. La piattaforma consente di configurare i campi del registro in modo proporzionale (solo ciò che serve), applica politiche di cancellazione automatica decorsi i termini impostati, e genera report di audit completi, pronti per un’ispezione. In questo modo, l’adesione al legittimo interesse non resta sulla carta, ma diventa un processo verificabile e trasparente. Documentare il bilanciamento con uno strumento adeguato è la migliore polizza contro i rischi privacy.
Avere chiara la base giuridica è il primo passo. Il secondo è contare su uno strumento che la traduca in processi automatici e conformi senza aggiungere complessità operativa. Perché quando l'ispettorato chiede conto di un trattamento o il responsabile della sicurezza deve produrre l'elenco dei presenti in un minuto, non basta la buona fede: serve un sistema che abbia già applicato tempi di conservazione, mascherato i dati non pertinenti e reso tutto tracciabile senza possibilità di manomissione.
Una piattaforma come Varcora gestisce il registro visitatori applicando direttamente i criteri di necessità e proporzionalità richiesti dal GDPR, indipendentemente dalla base giuridica scelta. Se vuoi vedere come integra questi meccanismi nel flusso di accoglienza reale, puoi richiedere una demo personalizzata.