La verifica di un sistema di gestione per la salute e sicurezza sul lavoro secondo la ISO 45001 mette sempre sotto pressione la capacità di dimostrare il controllo operativo di chi entra in stabilimento. Il tema accessi non è un dettaglio da facility manager: è un requisito trasversale che tocca la clausola 8.1 della norma, il D.Lgs. 81/2008 e, nei siti a rischio rilevante, il D.Lgs. 105/2015. Eppure, ancora oggi molti RSPP e datori di lavoro cadono proprio sul piano delle iso 45001 evidenze accessi, presentando all’auditor documentazione frammentata, log parziali o briefing che non reggono a una verifica di conformità. Vediamo, settore per settore, quali elementi tirar fuori e perché valgono il giudizio positivo.
Il controllo accessi nella ISO 45001: perché è un requisito non negoziabile
Per la ISO 45001:2018, la gestione degli accessi non è un requisito esplicito con un articolo dedicato, ma discende direttamente dalla clausola 8.1.2 (Eliminare i pericoli e ridurre i rischi per la SSL). Ogni persona non adeguatamente autorizzata, formata o accompagnata introduce un pericolo, e il sistema di gestione deve prevedere controlli proporzionati al rischio. Questo vale per i lavoratori interni, ma soprattutto per ospiti, contractor, autisti, manutentori occasionali: soggetti spesso sottovalutati. L’auditor non chiede soltanto “avete un registro?”, ma indaga la connessione fra valutazione dei rischi, controllo operativo e gestione del cambiamento (clausola 8.1.3).
Per i siti in cui si applica la prevenzione incendi, il D.M. 2 settembre 2021 rafforza l’obbligo di conteggiare e registrare i presenti, accoppiando sicurezza e accessi. Se avete un’area a rischio specifico (alta tensione, ATEX, zone Seveso), la mancata tracciabilità degli ingressi genera una non conformità sulla ISO 45001 e diventa anche un rilievo di sistema. La conformità normativa ex D.Lgs. 81/2008 è pilastro diretto (art. 30, comma 1), e l’auditor controllerà se la vostra organizzazione ha definito e attuato una procedura scritta che traduca quel principio in prassi operativa.
Procedure scritte: la struttura documentale che l’auditor si aspetta
Il primo documento che un auditor chiede di visionare è la procedura documentata per la gestione ingressi e autorizzazioni. Non basta un mansionario di portineria. Deve esplicitare i criteri di accesso per profilo (dipendente, visitatore, appaltatore, fornitore), le modalità di identificazione, le registrazioni obbligatorie e i tempi di conservazione conformi al GDPR. La procedura va integrata con il piano di gestione delle emergenze: ogni persona deve risultare tracciata per l’evacuazione, e i dati vanno conservati per il tempo stabilito nel Documento di Valutazione dei Rischi.
Una procedura robusta fa riferimento all’art. 18 comma 1 del D.Lgs. 81/2008 – il datore di lavoro deve adottare le misure necessarie per la sicurezza dei lavoratori – e all’art. 26 per le imprese appaltatrici. Dovrà inoltre coprire la gestione dei badge non restituiti, i visitatori off-hours e i piani di formazione all’ingresso. L’auditor apprezza il collegamento con la ISO 45001 quando nella procedura viene citata espressamente la clausola 8.1 e si esplicitano le responsabilità: il RSPP e il Security Manager firmano congiuntamente il documento per garantire l’allineamento salute-sicurezza-sicurezza fisica.
Log e registrazioni degli accessi: la prova oggettiva più forte
La procedura scritta perderebbe credibilità senza registrazioni consistenti. Le evidenze documentali che convincono l’auditor sono log informatici immutabili e registri cronologici con data, ora, nominativo, azienda di appartenenza, persona da visitare, area autorizzata e, per i non dipendenti, estremi del documento di identità. Nei siti industriali il registro cartaceo basta solo se affiancato da un sistema digitale che impedisca cancellazioni e permetta estrazioni rapide.
L’auditor chiederà di estrarre uno storico durante un giorno con presenza di appaltatori o durante un evento. Se la lista non corrisponde esattamente alle somme presenti nell’emergenza antincendio, scatta una non conformità sul controllo operativo. Per le aree Seveso (D.Lgs. 105/2015), i log devono collegare ogni accesso alla formazione specifica ricevuta: il semplice badge non suffraga la formazione. Le evidenze vanno conservate in modo sicuro, con backup e controlli di integrità. Un sistema come Varcora permette di generare in tempo reale l’elenco presenze per la emergenza, direttamente dall’app di reception, colmando la distanza con la carta.
L’auditor osserverà anche la conformità GDPR: i log vanno tenuti per il tempo minimo necessario; l’autorizzazione va registrata e il titolare deve poter documentare le informative. La quadrupla corrispondenza “registro — DVR — piano emergenza — informativa privacy” è una croce per molte imprese, ma è il cuore delle iso 45001 evidenze accessi.
Briefing firmati e formazione d’ingresso: il tallone d’Achille di molti siti
La ISO 45001, attraverso la clausola 7.2 (Competenza) e 7.4.2 (Comunicazione interna ed esterna), impone che chiunque acceda a un’area con rischi specifici abbia ricevuto informazioni e addestramento documentato prima dell’ingresso. Non basta un cartello. La prova principe è il briefing d’ingresso firmato, associato al log accessi e alla data. Per i visitatori ricorrenti, un badge temporaneo e un modulo di presa visione con data e firma sono l’unica barriera che ferma un rilievo.
Attenzione: l’auditor controlla la corrispondenza tra il contenuto del briefing e i rischi dell’area. Un briefing generico, non aggiornato al DVR o privo del richiamo all’ultima revisione del piano emergenza, perde valore in audit. Fate firmare il modulo nello stesso momento in cui si registra l’ingresso. La mancata tracciatura di questa corrispondenza è la causa più frequente di osservazioni sull’8.1.2 e sul D.Lgs. 81/2008 art. 36, 37. Strumenti di visitor management che integrano nel flusso di registrazione la consegna e firma digitale del briefing riducono a zero il rischio di dimenticanze.
Un punto dolente: gli auditor chiedono se la formazione d’ingresso copra anche il fornitore esterno che consegna materiali ma transitando in magazzino potrebbe affacciarsi in produzione. Se la vostra procedura non lo prevede, è una lacuna. Meglio un modello scalabile, che differenzi briefing per aree verdi, aree gialle e aree rosse, con firma digitale del visitatore.
Soggetti esterni sotto controllo: contractor e visitatori occasionali
Gli auditor ISO 45001 sono particolarmente severi sulla gestione dei contractor, perché qui si intersecano gli obblighi dell’art. 26 D.Lgs. 81/2008 (coordinamento, DUVRI) e la clausola 8.1.4 della norma (Appalti). Non potete limitarvi a raccogliere il badge di un’impresa esterna: dovete dimostrare che ogni lavoratore che varca il cancello è autorizzato nominalmente, ha ricevuto informazione sui rischi specifici del sito e ha seguito un addestramento adeguato. I log di accesso devono quindi correlarsi a un database fornitori qualificati, con data di scadenza dei documenti (cassetto fiscale, formazione).
Alcuni stabilimenti integrano il controllo accessi con liste di esclusione (lavoratori non autorizzati perché inadempienti). L’auditor valuterà positivamente questa gestione, perché dimostra controllo effettivo e monitoraggio continuo. Anche gli accessi di autisti, visitatori commerciali e manutentori di macchine devono essere registrati con il numero di targa del veicolo se transitano in zone operative: in caso di emergenza, l’evacuazione deve contare anche loro. La ISO 45001, coniugata al regolamento GDPR, impone di non esporre pubblicamente i nomi ma di rendere disponibili le liste nelle mani dei preposti all’evacuazione.
In sintesi, l’auditor ISO 45001 si aspetta un ecosistema documentale coeso: procedura scritta ↔ log digitali non modificabili ↔ briefing firmati ↔ coordinamento con i contractor. Ogni disallineamento è un rilievo. Chi adotta soluzioni di visitor management strutturate, come Varcora, integra tutte queste fonti in un’unica piattaforma, riducendo i tempi di preparazione all’audit e garantendo l’immutabilità delle registrazioni, la conservazione a norma e l’estrazione rapida delle evidenze aggregate per la funzione SSL.
Sul piano operativo, trasformare queste richieste in un flusso di lavoro stabile significa abbandonare i registri cartacei e i log disconnessi. Invece di rincorrere le prove durante la visita ispettiva, il responsabile del sistema genera in tempo reale un unico report che unisce la registrazione degli accessi con le abilitazioni, le scadenze formative e le autocertificazioni necessarie. È il passaggio che rende l’evidenza solida, non soltanto disponibile.
Una piattaforma come Varcora permette di centralizzare questo meccanismo senza stravolgere la routine della portineria: ogni ingresso di dipendenti, contractor e visitatori alimenta un tracciato che risponde automaticamente alle richieste della clausola 8.1 e facilita la rendicontazione per l’auditor. Se la preparazione al giudizio di conformità inizia dal modo in cui si registra chi entra, parla con noi per verificare come rendere il processo verificabile senza aggravare il lavoro quotidiano.