Quando un auditor di terza parte esamina il vostro sistema di gestione SSL secondo la ISO 45001, non guarda soltanto i documenti del DVR o il piano di emergenza: vuole anche sapere chi entra ed esce dal perimetro aziendale, e con quali garanzie di sicurezza. Il registro degli accessi, spesso relegato a mero adempimento amministrativo, diventa improvvisamente un tassello critico della conformità. In questo articolo vediamo come integrarlo nel sistema di gestione e quali evidenze fornire per superare l’audit senza rischi.

Perché l’auditor ISO 45001 mette il naso nel tuo registro accessi

La ISO 45001:2018, al punto 8.1.2 (Eliminazione dei pericoli e riduzione dei rischi per la SSL), impone all’organizzazione di stabilire controlli operativi che coprano tutte le persone che accedono al luogo di lavoro. Non solo i dipendenti: ogni visitatore, appaltatore, manutentore o fornitore rientra nel perimetro di applicazione ogni volta che varcano i cancelli. Il requisito si estende ben oltre una semplice registrazione del nome e dell’ora: la norma chiede che l’accesso sia gestito in modo da prevenire infortuni e malattie professionali. Durante l’audit, il valutatore verificherà se il vostro sistema di gestione ha identificato i visitatori come parte interessata (clausola 4.2), se sono stati valutati i pericoli che essi possono introdurre (6.1.2), e se esistono processi per comunicare loro le informazioni sulla sicurezza (7.4). Il registro accessi diventa quindi la prova tangibile che il controllo operativo è stato applicato, non un semplice quaderno dimenticato in portineria.

Molti RSPP trascurano questo aspetto, concentrandosi esclusivamente sui lavoratori interni. Eppure, in sede di audit di terza parte, l’assenza di un controllato flusso di visitatori viene spesso segnalata come non conformità, perché implica una lacuna nella valutazione dei rischi e nella comunicazione di emergenza.

Il quadro normativo italiano: quello che la ISO 45001 non scrive ma pretende

La ISO 45001 è una norma volontaria, ma il suo corretto funzionamento poggia sul rispetto cogente delle leggi nazionali. In Italia, il D.Lgs. 81/2008 costituisce la spina dorsale. L’art. 18, comma 1, lettera a), obbliga il datore di lavoro a nominare il RSPP, ma anche a garantire che chiunque entri in azienda riceva informazioni adeguate sui rischi specifici (art. 36, sebbene formalmente dedicato ai lavoratori, la sua ratio si estende a ogni persona presente). Inoltre, il D.M. 2/9/2021 sulla formazione antincendio stabilisce che tutte le persone presenti devono ricevere le istruzioni di sicurezza, mentre il DPR 151/2011 (Regolamento di prevenzione incendi) prescrive che, nelle attività soggette, si tenga un registro delle presenze per facilitare le operazioni di evacuazione. In stabilimenti a rischio di incidente rilevante (D.Lgs. 105/2015, Seveso III), la gestione dei visitatori diventa ancora più stringente, con obblighi di identificazione, accompagnamento e verifica della formazione preventiva.

L’auditor ISO 45001 si aspetta che l’organizzazione abbia mappato questi obblighi e li abbia tradotti in procedure operative. Un registro accessi cartaceo, non integrato con gli altri processi, difficilmente dimostrerà la conformità. Servono evidenze di avvenuta informazione, consegna di DPI, verifica delle abilitazioni e, dove richiesto, coordinamento con il piano di emergenza.

Evidenze documentali: cosa devi mostrare per convincere l’auditor

Quali documenti cercherà l’auditor? Non fantasmi, ma riscontri precisi e incrociati. Il punto di partenza è la procedura di gestione accessi, che dovrebbe descrivere:

  • modalità di registrazione
  • criteri di identificazione
  • flussi di comunicazione dei rischi
  • assegnazione e verifica dei DPI
  • gestione delle emergenze per i visitatori.

Ma la carta da sola non basta. L’auditor pretenderà evidenze oggettive: registri firmati, badge temporanei, moduli di presa visione del piano di emergenza, attestati di formazione (se il visitatore è un appaltatore che opera in aree a rischio). Dovrà poter risalire a un determinato giorno e verificare che per ogni persona presente a quell’ora fosse stata registrata l’informazione sui rischi e, laddove necessario, la consegna di DPI. Se il registro è un file Excel scollegato e le firme di avvenuta informazione sono raccolte su carta in un altro ufficio, la tracciabilità salta e l’audit si complica.

Un aspetto spesso dimenticato è la gestione dei dati personali. Il GDPR impone che i visitatori siano informati sulla finalità del trattamento, con apposita informativa e, se del caso, consenso per la conservazione dei dati. L’auditor – specie se conduce un audit integrato con ISO 27001 – potrà chiedere come vengono protetti questi dati e per quanto tempo vengono conservati. Anche in questo caso, il registro accessi è il terreno di verifica.

Integrare il registro con formazione, informazione e DPI: il cortocircuito che l’audit evita

Uno degli errori più comuni è trattare il registro accessi come un binario morto, separato dai processi di formazione e gestione dei dispositivi di protezione. In realtà, la ISO 45001 richiede un approccio sistemico. Immaginate l’entrata di un manutentore esterno: deve accedere a un reparto con rischio chimico. La procedura dovrebbe prevedere che, al momento della registrazione, il sistema verifichi se ha ricevuto l’informazione sui rischi specifici e se gli sono stati assegnati i DPI adeguati (maschera, guanti, calzature). L’auditor controllerà che queste tre cose – presenza, formazione, DPI – siano coerenti per ogni singolo accesso.

È qui che l’integrazione fa la differenza. Se il gestionale del personale o la piattaforma di formazione sono collegati al registro accessi, l’auditor può verificare in un colpo d’occhio che i visitatori abbiano completato il corso di induzione o che abbiano firmato digitalmente la presa visione delle procedure di emergenza. In mancanza di questa integrazione, rischiate di esibire prove frammentarie e contraddittorie, che portano dritto a una non conformità. E non dimenticate la consegna dei DPI: per i visitatori occasionali è buona prassi registrarne la consegna temporanea con il modello di “comodato d’uso”, firmato dall’interessato, e collegarlo alla registrazione dell’accesso. Tutto questo diventa molto più semplice con strumenti digitali.

Dalla carta al cloud: il registro accessi come strumento dinamico di gestione SSL

La digitalizzazione non è una moda, è una necessità per chi vuole superare l’audit ISO 45001 con serenità. Un sistema di visitor management come Varcora consente di raccogliere in un’unica piattaforma la registrazione, l’informativa privacy, la firma digitale sulle regole di sicurezza e l’eventuale check-list dei DPI. L’auditor apprezzerà la possibilità di estrarre report temporali, associare ogni accesso a una specifica commessa o reparto, e dimostrare la costante applicazione delle procedure.

Un registro digitale traccia in automatico le azioni di conformità: nessuna firma dimenticata, nessuna informativa mancante. E in caso di emergenza reale, la lista delle persone presenti è immediatamente disponibile per i soccorritori, come richiesto dal DPR 151/2011. Inoltre, la gestione dei dati personali rispetta i principi GDPR di minimizzazione e limitazione della conservazione, impostando la cancellazione automatica dopo il periodo necessario. Infine, un SaaS moderno permette di integrare il registro accessi con i sistemi di gestione della formazione e con le banche dati dei DPI, creando quel flusso unico che l’auditor ISO 45001 cerca.

Checklist pratica per superare l’audit senza sorprese

Senza un approccio strutturato, il giorno dell’audit può trasformarsi in una corsa a recuperare fogli firmati. Ecco i punti da presidiare per presentarvi preparati:

  1. Procedura documentata che definisca ruoli, modalità di registrazione e gestione dei visitatori, collegata al sistema di gestione SSL.
  2. Per ogni accesso, evidenza di informazione sui rischi e consegna (o verifica) dei DPI: firma digitale o cartacea associata al badge temporaneo.
  3. Formazione minima antincendio ed emergenza registrata per i visitatori abituali, in linea con il D.M. 2/9/2021.
  4. Informativa GDPR esposta in reception e raccolta del consenso ove necessario, con tempi di conservazione dati definiti.
  5. Report di auditoria interna che verifichi la corretta applicazione della procedura, da esibire come prova del miglioramento continuo.
  6. Integrazione con i sistemi HR o di gestione appalti, per avere in automatico la verifica delle abilitazioni dei prestatori d’opera.

Rispettare questa checklist non solo riduce il rischio di rilievi, ma trasforma il registro accessi in uno strumento di governance della sicurezza.

Il registro non è un costo, è una polizza per la certificazione

La ISO 45001 è un investimento per la salute e per la reputazione aziendale. Ogni elemento del sistema, anche il più umile registro di portineria, concorre a dimostrare l’impegno dell’organizzazione. Superare l’audit non significa esibire pile di carta, ma mostrare che i processi vivono giorno per giorno. E il registro accessi, se ben progettato, è la prova più immediata che la sicurezza non si ferma al confine del dipendente. È il biglietto da visita del vostro sistema di gestione SSL: fatelo parlare il linguaggio dell’auditor, con ordine, tracciabilità e integrazione. Con soluzioni digitali come Varcora, tutto questo è a portata di click, permettendovi di concentrarvi sulla vera prevenzione, piuttosto che rincorrere firme all’ultimo minuto.

Tutto questo, sul piano operativo, si traduce nella capacità di produrre evidenze oggettive in tempo reale. Quando l’auditor chiede di verificare chi era presente in un dato reparto durante un evento critico, la differenza tra sfogliare quaderni e accedere a un sistema strutturato è la stessa che c’è tra superare la verifica o accumulare osservazioni. Un registro accessi digitalizzato non è solo più ordinato: è interrogabile per data, tipologia di visitatore, area visitata e documenti di sicurezza accettati, restituendo un quadro immediato della conformità.

Una piattaforma come Varcora copre esattamente questo passaggio, centralizzando la raccolta delle dichiarazioni di presa visione delle procedure SSL e generando i report che servono all’auditor senza costringere a ricostruire a posteriori le informazioni. Per vedere come integrare questo tassello nel vostro sistema di gestione, potete parlare con un nostro specialista e verificare la corrispondenza con i vostri processi attuali.

Accessi esterni ancora gestiti su carta?

Se nella tua azienda visitatori, fornitori e manutentori passano ancora da registri cartacei, Varcora può aiutarti a trasformarli in un processo digitale, ordinato e recuperabile quando serve.

Richiedi una demo →