Policy aziendale visitatori: cosa scrivere e come farla rispettare

Oltre l’accoglienza: il fondamento normativo della policy visitatori

Molte aziende trattano la presenza di visitatori come una questione di cortesia, affidata all’improvvisazione di receptionist o guardiani. In realtà, l’accesso di persone esterne ai luoghi di lavoro è un’attività che tocca diversi obblighi di legge, e una policy aziendale visitatori non è un galateo, ma un tassello di compliance che tutela l’azienda da responsabilità penali e civili.

Il D.Lgs. 81/2008 non nomina esplicitamente un documento “policy visitatori”, ma l’articolo 18 impone al datore di lavoro di adottare le misure necessarie per la sicurezza di tutti i presenti, inclusi i terzi. L’obbligo di informare chiunque entri in azienda sui rischi specifici e sulle procedure di emergenza discende dagli articoli 36 e 37, e si traduce, in pratica, in un documento che definisca chi può entrare, come viene identificato, quali regole deve seguire e cosa accade in caso di violazione.

A rafforzare la necessità di una procedura scritta arrivano le norme antincendio. Il D.M. 2/9/2021, all’articolo 4, stabilisce che per le attività soggette ai controlli di prevenzione incendi (DPR 151/2011) e per i luoghi di lavoro con più di 100 addetti è obbligatorio disporre di un registro degli accessi e fornire ai visitatori le informazioni essenziali sui comportamenti in emergenza. Nei siti a rischio di incidente rilevante (D.Lgs. 105/2015, cosiddetta Seveso), la gestione degli accessi deve essere rigidissima e tracciabile in ogni passaggio.

Infine, chiunque registri dati personali – nome, cognome, documento, foto, targa – deve rispettare il GDPR (Reg. UE 2016/679). Serve una base giuridica (spesso il legittimo interesse o l’esecuzione di un compito di interesse pubblico) e un’informativa trasparente, elementi che la policy deve dichiarare e strutturare. Senza un documento approvato che descriva il trattamento, l’azienda si espone a sanzioni fino a 20 milioni di euro.

Contenuti minimi di una policy aziendale visitatori: i sei elementi non negoziabili

Per reggere a un controllo ispettivo ed essere realmente applicabile, la policy deve includere almeno sei punti. Ecco quelli irrinunciabili, che ogni RSPP e datore di lavoro dovrebbe pretendere:

1. Identificazione e registrazione. Ogni visitatore va identificato con documento valido e i dati essenziali (nome, azienda, persona incontrata, orari) registrati. Se si utilizzano badge fotografici o varchi elettronici, la procedura va descritta, specificando base giuridica e tempi di conservazione dei dati.
2. Scopo e aree autorizzate. La policy deve chiarire che l’accesso è consentito solo per la finalità dichiarata e che non è permesso recarsi in zone non autorizzate senza accompagnamento. Per reparti a rischio specifico (chimico, biologico, rumore), va indicato l’obbligo di scorta o di DPI forniti dall’azienda.
3. Regole di comportamento e sicurezza. Divieto di fumare, di utilizzare macchinari, obbligo di rispettare la segnaletica e di attenersi alle istruzioni del personale interno. Se il sito lo richiede, qui si richiama l’obbligo di indossare dispositivi di protezione individuale messi a disposizione.
4. Trattamento dati personali. Deve contenere un rinvio all’informativa privacy completa, indicare il titolare del trattamento, i diritti dell’interessato e l’eventuale presenza di videosorveglianza. La firma per presa visione al momento dell’accettazione è la prova di adempimento.
5. Gestione emergenze. Il visitatore deve sapere cosa fare in caso di allarme: vie di fuga, punto di raccolta, nominativi o riferimenti degli addetti antincendio. Questa informazione, spesso ridotta a un leaflet, va comunque formalizzata nella policy.
6. Sanzioni. Conseguenze in caso di mancato rispetto: allontanamento immediato, segnalazione alle forze dell’ordine se necessario, sospensione del rapporto commerciale. Senza questo punto, la policy perde efficacia dissuasiva.

Senza questi contenuti minimi, la policy rischia di essere un mero esercizio burocratico e non regge a un controllo ispettivo. La buona notizia è che, una volta definiti, possono essere adattati con facilità a qualsiasi realtà aziendale, dal piccolo ufficio allo stabilimento industriale.

Struttura del documento: dalla premessa agli allegati

La policy visitatori non è un romanzo, ma un documento operativo. Per funzionare deve avere un’architettura semplice, che chiunque all’ingresso possa comprendere. Uno schema collaudato prevede:

• Scopo e campo di applicazione: a chi si rivolge (visitatori, fornitori, ospiti occasionali) e in quali sedi.
• Riferimenti normativi: richiamo esplicito al D.Lgs. 81/2008, D.M. 2/9/2021, GDPR e, se presenti, alle norme Seveso o alla ISO 45001 per il sistema di gestione.
• Definizioni: chi è “visitatore”, chi “accompagnatore”, “preposto all’accoglienza”, per evitare ambiguità.
• Procedure operative: descrizione dei passi concreti (accettazione, registrazione, consegna badge, accompagnamento, uscita e restituzione badge). Qui si decide se il registro è cartaceo o digitale.
• Responsabilità: datore di lavoro, RSPP, responsabile della portineria, security manager, preposti di reparto. Ognuno deve sapere cosa deve fare per dare attuazione alla policy.
• Gestione delle non conformità: come si segnala un accesso non autorizzato o un comportamento difforme, e chi lo gestisce.
• Allegati: modulo di registrazione (se cartaceo), informativa privacy, planimetria semplificata con percorsi di emergenza, plancia riassuntiva delle regole per il visitatore.

Un documento di questo tipo non solo soddisfa gli auditor, ma diventa il punto di riferimento per formare gli addetti e per dimostrare la diligenza aziendale in caso di infortunio o ispezione.

Approvazione, comunicazione e formazione: la policy scende in campo

Una policy chiusa in un cassetto è inutile. Deve essere approvata formalmente dal Datore di lavoro, sentiti RSPP e RLS, e integrata nel sistema di gestione della sicurezza se l’azienda segue la ISO 45001. Poi va comunicata a tutti i lavoratori coinvolti nell’accoglienza: dalla reception alla vigilanza ai responsabili di area, che devono conoscerla e applicarla ogni giorno.

Il D.Lgs. 81/2008 (art. 37) impone una formazione specifica per i preposti e per chi gestisce l’accesso di terzi. Un breve modulo formativo sulla policy visitatori, con la simulazione di un accesso reale, aiuta a fissare le regole e a ridurre la variabilità dei comportamenti. Ai visitatori stessi va consegnato un estratto – una scheda plastificata o un’informazione proiettata in reception – e, nei casi più complessi, un breve filmato di benvenuto. Una policy non comunicata e non presidiata è carta straccia.

Controllo, audit e l’alleato digitale per far rispettare la policy

L’ultimo miglio della conformità è il controllo. Serve un responsabile (di solito il security manager o il RSPP) che verifichi, con controlli a campione, che le registrazioni siano complete, che i dati siano protetti e che le regole comportamentali vengano osservate. Gli audit interni annuali, previsti dalla ISO 45001 e caldeggiati da qualsiasi SGSL, devono includere la gestione visitatori tra i processi verificati.

Per le aziende con flussi elevati o con più sedi, la gestione manuale diventa rapidamente insostenibile e soggetta a errori. Un sistema digitale non è un lusso, ma una scelta di efficienza e sicurezza. Strumenti come Varcora, il software italiano di visitor management, automatizzano la registrazione, guidano il visitatore attraverso l’informativa privacy, tracciano ogni accesso e generano report pronti per l’audit. Invece di fogli cartacei sparsi, l’azienda ha un cruscotto da cui governare la policy in tempo reale, con la certezza che ogni regola venga applicata e che nessun dato venga perso. Così, far rispettare la policy diventa naturale, e i responsabili possono concentrarsi sui rischi veri, non sulla raccolta dei moduli.