Il fondamento giuridico del registro accessi: perché serve l’informativa

Ogni volta che un visitatore varca la soglia di uno stabilimento produttivo, di un cantiere o di un ufficio, l’azienda raccoglie dati personali: nome, cognome, azienda di appartenenza, ora di ingresso e uscita, spesso un documento di identità o la targa del veicolo. La tenuta di un registro accessi – obbligo di legge o prassi di sicurezza – fa scattare gli adempimenti del GDPR. L’informativa ex art. 13 del Regolamento (UE) 2016/679 è il primo, irrinunciabile presidio per rendere lecito il trattamento e va resa prima di acquisire qualunque dato, già al momento dell’accoglienza.

Molti titolari si concentrano solo sul formato del registro (cartaceo, digitale, badge), dimenticando che senza un’informativa adeguata il trattamento può essere considerato illecito, con conseguenze sanzionatorie fino a 20 milioni di euro o al 4% del fatturato annuo mondiale. Nel contesto italiano, le indicazioni del Garante Privacy e il D.Lgs. 196/2003 (Codice Privacy) confermano che ogni flusso di dati, anche minimo, richiede trasparenza.

I contenuti minimi obbligatori (art. 13 GDPR): cosa non può mancare

L’art. 13 elenca una serie di informazioni che il titolare deve fornire all’interessato. Per il registro accessi, tradotto in un linguaggio chiaro e facilmente accessibile, l’informativa deve includere almeno:

  • Identità e dati di contatto del titolare del trattamento (l’azienda, non il receptionist o il software); eventualmente del responsabile della protezione dati (DPO/RPD).
  • Finalità del trattamento: sicurezza fisica degli ambienti, incolumità delle persone, gestione emergenze, adempimenti antincendio (D.M. 2/9/2021), obblighi di legge (D.Lgs. 81/2008, DPR 151/2011), eventuale prevenzione di accessi non autorizzati.
  • Base giuridica: nella maggioranza dei casi il legittimo interesse del titolare a garantire la safety aziendale, oppure l’obbligo legale (ad esempio per stabilimenti Seveso, D.Lgs. 105/2015). Occhio a non invocare il consenso come base generica: il Garante ha più volte chiarito che il consenso non è valido se c’è un rapporto di fatto asimmetrico, come quello con un visitatore.
  • Destinatari o categorie di destinatari: forze dell’ordine in caso di indagini, organi di vigilanza (Vigili del Fuoco, Ispettorato del Lavoro), società di security esterna, fornitore del software gestionale se opera come responsabile del trattamento ex art. 28.
  • Periodo di conservazione: mai generico. Per i registri di accesso a fini di sicurezza, un termine adeguato va da 6 a 24 mesi, salvo esigenze di giustizia. Indicare un criterio certo (es. «fino al 31 dicembre dell’anno successivo») è indispensabile per superare eventuali ispezioni.
  • Diritti dell’interessato: accesso, rettifica, cancellazione (nei limiti degli obblighi di conservazione), limitazione, opposizione, portabilità, e diritto di proporre reclamo al Garante.
  • Natura obbligatoria o facoltativa del conferimento: va specificato che senza i dati minimi non è consentito l’accesso, poiché discende da obblighi legali o da legittimo interesse preponderante.

Non è necessario riportare ogni dettaglio sul cartello all’ingresso: basta un QR code o un URL che rimanda all’informativa estesa, purché il testo breve (privacy by design) contenga gli elementi essenziali prima della raccolta.

Modello operativo: struttura dell’informativa in italiano

Un’informativa efficace per il registro accessi non supera le due cartelle. Ecco uno schema pensato per aziende manifatturiere, logistica, studi professionali e cantieri:

  1. Titolare del trattamento: [Ragione Sociale], sede, telefono, email, DPO se nominato.
  2. Dati raccolti: nome e cognome, azienda/ente, orario di ingresso/uscita, targa, numero documento, immagine videoripresa (se presente), numero di badge temporaneo.
  3. Finalità e base giuridica: a) sicurezza fisica e controllo accessi – legittimo interesse (art. 6, par. 1, lett. f) GDPR); b) adempimenti antincendio e piani di emergenza – obbligo legale (art. 6, par. 1, lett. c) GDPR, D.M. 2/9/2021; c) prevenzione accessi indesiderati – legittimo interesse.
  4. Modalità di trattamento: cartaceo e/o elettronico, con misure di sicurezza tecniche e organizzative (es. crittografia database, profili autorizzativi) conformi agli artt. 24, 25 e 32 GDPR. Se si usa un gestionale cloud, specificare che il fornitore è nominato responsabile del trattamento.
  5. Destinatari: autorità pubbliche, organi di controllo, forze di polizia, società di vigilanza, fornitore del servizio software.
  6. Trasferimento dati extra UE: se il registro è ospitato su server fuori dallo Spazio Economico Europeo, indicare le garanzie (clausole contrattuali tipo o decisioni di adeguatezza). Molti cloud americani richiedono una attenta valutazione d’impatto.
  7. Conservazione: 12 mesi (o altro termine giustificato), poi cancellazione o anonimizzazione irreversibile.
  8. Diritti: esercitabili scrivendo a [email DPO o titolare]; reclamo al Garante.
  9. Natura del conferimento: obbligatorio; rifiuto comporta impossibilità di accedere ai locali.
  10. Processo decisionale automatizzato: in genere non presente per un semplice registro, ma se fosse integrato con sistemi di riconoscimento biometrico va dichiarato.

Questa struttura, validata ormai in centinaia di ispezioni, può essere riprodotta identica in un foglio affisso all’ingresso con rimando al testo integrale online.

Gestione multilingue: l’informativa in inglese e per visitatori stranieri

I siti industriali italiani ospitano quotidianamente tecnici, fornitori, autisti e revisori di nazionalità diversa. Fornire l’informativa solo in italiano non basta: il GDPR impone un linguaggio chiaro e comprensibile. Se la probabilità di ricevere visitatori stranieri è concreta, occorre predisporre almeno una versione inglese, che riprenda fedelmente i punti sopra. In ambienti particolari (es. porti, aeroporti, cantieri con operai stranieri) può essere opportuna anche una terza lingua (arabo, cinese, spagnolo).

Ecco un estratto del titolo e delle prime righe in inglese, coerente con lo schema: “Information notice pursuant to Art. 13 GDPR – Access register. The Company [Name], as Data Controller, informs you that your personal data (name, surname, company, entry/exit time, vehicle plate, ID document number) will be processed for the purposes of physical security, emergency management, and compliance with legal obligations (Fire Safety Ministerial Decree 2/9/2021, Legislative Decree 81/2008). The legal basis is legitimate interest (Art. 6(1)(f) GDPR) and legal obligation (Art. 6(1)(c) GDPR).”

Non serve tradurre l’intero Codice Privacy, ma i punti obbligatori dell’art. 13 devono essere riconoscibili per un anglofono. In molti casi, il fornitore del software di visitor management (come Varcora) offre già template bilingue pronti all’uso, collegati alla registrazione digitale.

Errori comuni e conseguenze della mancata informativa

Molti titolari sottovalutano la formalità. Gli errori più frequenti sono: informativa assente, perché si pensa che il registro sia un semplice adempimento burocratico; informativa troppo lunga e giuridichese, incapace di informare realmente; indicazione della base giuridica sbagliata (tipico il consenso quando non necessario); assenza del periodo di conservazione o indicazione vaga («dati conservati per il tempo necessario»); dimenticare di aggiornare l’informativa quando si cambia software o si attiva la videosorveglianza di ingresso.

Le conseguenze non sono solo sanzioni amministrative. Un visitatore che scopra un uso improprio dei propri dati (es. condivisione con società di marketing) o che subisca un danno può agire per risarcimento ex art. 82 GDPR. Inoltre, durante un audit di certificazione ISO 27001 o ISO 45001, la correttezza dei registri e la presenza di informativa aggiornata sono tra i primi elementi verificati dagli auditor.

Sul versante pratico, la soluzione più efficace è integrare l’informativa nel processo di accoglienza: un totem con QR code, una pagina dedicata sul gestionale visitatori che obbliga alla presa visione prima di stampare il badge, un tablet all’ingresso. Così il dato viene raccolto solo dopo che l’informativa è stata resa disponibile.

Chi gestisce decine o centinaia di accessi al giorno sa che la conformità normativa si regge su automatismi solidi. Software come Varcora, progettati per il visitor management in ambito industriale, consentono di caricare l’informativa in più lingue, raccogliere la conferma di lettura e gestire i periodi di conservazione in automatico, senza che la reception debba preoccuparsi ogni volta delle scadenze. Il registro diventa così un alleato della sicurezza, non un rischio privacy.

Sul piano operativo, la differenza tra un registro cartaceo e uno digitale strutturato si percepisce nel momento in cui occorre dimostrare all’autorità di controllo che ogni visitatore ha ricevuto l’informativa e ha preso visione delle condizioni del trattamento. Senza una piattaforma integrata, questo passaggio si affida a fotocopie, firme su carta e archivi fisici, con margini di errore elevati.

Con un sistema di visitor management come Varcora, l’informativa viene erogata in formato digitale già al check-in, la presa visione viene tracciata e l’intero processo di raccolta dei dati resta verificabile in ogni istante. Così il titolare del trattamento ha la certezza di aver adempiuto agli obblighi di trasparenza senza appesantire le procedure di accoglienza. Per valutare come la piattaforma si adatta ai flussi della tua organizzazione, parla con noi.

Accessi esterni ancora gestiti su carta?

Se nella tua azienda visitatori, fornitori e manutentori passano ancora da registri cartacei, Varcora può aiutarti a trasformarli in un processo digitale, ordinato e recuperabile quando serve.

Richiedi una demo →