La gestione del registro visitatori non è più una semplice formalità da portineria. Oggi rappresenta l’intersezione tra due ambiti normativi severissimi: la sicurezza fisica delle persone e la protezione dei dati personali. Chiunque si occupi di prevenzione, protezione o security sa che un foglio presenze tenuto male può trasformarsi in una violazione del GDPR altrettanto grave di un database esposto online. E quando l’azienda adotta un sistema di gestione per la sicurezza delle informazioni secondo la ISO 27001, il registro degli accessi diventa un controllo da progettare, monitorare e difendere esattamente come un firewall.

Il doppio binario normativo che molti ignorano

Partiamo da un dato di fatto: ogni volta che un visitatore varca la soglia aziendale e lascia i propri dati, si attiva un trattamento ai sensi del GDPR (art. 4). Quasi sempre quel trattamento è giustificato da un obbligo legale – ad esempio il D.M. 2 settembre 2021 sulla sicurezza antincendio, che impone alle attività soggette ai controlli del DPR 151/2011 di registrare le persone presenti per gestire le emergenze. Ma anche altri contesti normativi, come il D.Lgs. 105/2015 (Seveso) per i siti a rischio di incidente rilevante, richiedono un controllo rigido degli ingressi e una registrazione puntuale.

La conseguenza è che il registro visitatori non è più un accessorio, ma un documento ufficiale, il cui trattamento deve rispettare contemporaneamente le regole della privacy e i requisiti di sicurezza fisica. Separare i due ambiti significa esporsi a sanzioni: chi pensa solo al GDPR dimentica le responsabilità del datore di lavoro in caso di incendio; chi si concentra solo sulla conta delle persone rischia di violare i principi di minimizzazione e limitazione della conservazione.

Registro visitatori e GDPR: quando la privacy entra in portineria

Il Regolamento Generale sulla Protezione dei Dati impone di identificare sempre una base giuridica adeguata. Per il registro visitatori le strade più solide sono l’obbligo legale (art. 6, par. 1, lett. c) e il legittimo interesse (art. 6, par. 1, lett. f), specialmente quando la registrazione è necessaria per garantire la sicurezza di persone e beni. Il consenso, invece, è una base fragile e inappropriata, perché un visitatore che si presenta alla reception non è mai veramente libero di rifiutarlo.

L’informativa è un passaggio chiave (art. 13): va resa disponibile al primo contatto, spiegando quali dati si raccolgono, per quanto tempo verranno conservati e a chi possono essere comunicati. E qui scatta il principio di minimizzazione (art. 5, par. 1, lett. c): si devono raccogliere solo i dati indispensabili allo scopo. Nome, cognome, azienda, orario di ingresso e uscita, persona di riferimento e, se previsto da norme specifiche, il numero del documento di identità. Tutto ciò che va oltre – fotocopie di carte d’identità, dati di targa quando non richiesti da un regolamento condominiale o di sicurezza – è un rischio non necessario. Ogni dato in più è un dato da proteggere, e in caso di violazione aggrava la posizione del titolare.

Il controllo accessi nella ISO 27001: il registro come evidenza

Per le organizzazioni che hanno implementato un sistema di gestione per la sicurezza delle informazioni, il registro visitatori incrocia direttamente il controllo A.7.2 (Physical entry) della ISO 27001:2022 — corrispondente al precedente A.11.1.2 della versione 2013, che richiede di registrare e riesaminare gli accessi fisici. Non basta più un quaderno firmato: occorre garantire l’integrità, la riservatezza e la disponibilità dei log, esattamente come si farebbe per un sistema informatico.

Un registro cartaceo lasciato sul bancone viola il principio di riservatezza, perché espone i dati di chi è entrato prima a chiunque arrivi dopo. Un registro tenuto solo su fogli Excel soffre di assenza di audit trail e di facili manomissioni. L’ISO 27001 spinge invece verso strumenti che producano evidenze inalterabili, accessibili solo al personale autorizzato e cancellabili secondo policy documentate. In questo modo il registro visitatori diventa un controllo misurabile, integrabile con i processi di riesame della direzione e pronto per qualsiasi verifica ispettiva.

Quali dati si possono raccogliere (e quali no)

La domanda più frequente riguarda il documento di identità. La regola generale è semplice: se nessuna disposizione di legge lo impone, chiedere il documento è illecito. Nei cantieri temporanei o mobili, ad esempio, l’art. 26 del D.Lgs. 81/2008 richiede la registrazione dei lavoratori autonomi o delle imprese esterne, ma non obbliga a fotocopiare la carta d’identità. Nei siti Seveso, invece, l’identificazione certa dei visitatori può essere ritenuta necessaria sulla base del documento di valutazione dei rischi. In questi casi limite il Garante Privacy ha chiarito che è possibile registrare estremi del documento, purché l’operazione sia proporzionata, accompagnata da informativa specifica e non comporti la fotocopia integrale, salvo motivate esigenze di sicurezza nazionale.

Il consiglio pratico è definire una tabella interna di “dati ammissibili”, agganciandola a riferimenti normativi espliciti. Un elenco tipico potrebbe includere: nome, cognome, ragione sociale, data e ora, persona visitata, eventuale targa se richiesta dal piano di sicurezza. Per nessuno di questi dati è accettabile la comunicazione a terzi non autorizzati o la conservazione indefinita.

I tempi di conservazione: il punto critico

Il principio di limitazione della conservazione (art. 5, par. 1, lett. e, GDPR) è spesso il più disatteso. Molte aziende tengono i registri per anni, confondendo la compliance antincendio con un indistinto archivio di sicurezza. Il D.M. 2/9/2021 non fissa esplicitamente un termine per il registro presenze, ma la logica di prevenzione incendi suggerisce una conservazione ragionevole di 6-12 mesi, superata la quale – salvo incidenti o contenziosi – i dati non dovrebbero più esistere.

L’ISO 27001 impone di documentare e applicare policy di retention. Un sistema di visitor management digitale permette di automatizzare la cancellazione, eliminando il rischio di dimenticare archivi cartacei nei seminterrati. Ogni mese in più oltre il necessario è una violazione documentabile durante un’ispezione del Garante, che può portare a sanzioni fino a 20 milioni di euro o al 4% del fatturato.

Il pericolo del cartaceo: perché il passaggio al digitale non è più rinviabile

I quaderni a libro e i fogli prestampati resistono in molte realtà, ma rappresentano un punto di fragilità enorme. Sono accessibili a chiunque passi dalla reception, non offrono alcuna protezione contro lo sguardo indiscreto e, in caso di incendio o evacuazione, diventano inutilizzabili proprio quando servirebbe un elenco in tempo reale delle persone presenti. Il D.M. 2/9/2021 esige che il responsabile dell’emergenza possa disporre di informazioni aggiornate; la carta non regge questa prova.

Sul versante GDPR il discorso è ancora più netto: un registro cartaceo non garantisce le misure tecniche e organizzative adeguate richieste dall’art. 32. Non c’è cifratura, non c’è controllo delle copie, non c’è log degli accessi. Il registro cartaceo è, di fatto, un data breach dormiente. E il Garante, in più occasioni, ha sanzionato la mancata adozione di misure minime proprio su supporti analogici indistruttibili.

Un approccio integrato: il visitor management come asset di compliance

Mettere a sistema il registro visitatori significa unificare le esigenze di sicurezza fisica, protezione dati e gestione della qualità. Un sistema digitale di visitor management (VMS) raccoglie solo i dati necessari, presenta l’informativa prima della registrazione, genera automaticamente log crittografati, abilita cancellazioni temporizzate e fornisce in ogni istante la lista delle persone presenti per il piano di emergenza. In questo modo soddisfa simultaneamente i controlli ISO 27001:2022 (A.7.2 Physical entry, A.8.15 Logging), gli obblighi antincendio e i principi del GDPR, senza dover rincorrere scartoffie.

Chi adotta un VMS non sta semplicemente digitalizzando un modulo: sta trasformando la reception in un presidio di sicurezza integrata. Per il RSPP, avere a colpo d’occhio chi è in stabilimento durante un’emergenza non è una comodità ma una necessità operativa. Per il DPO, dimostrare che la conservazione dei dati è rigidamente limitata e protetta è un argomento insuperabile in fase di audit.

In questo scenario, piattaforme SaaS come Varcora – progettate con logiche di privacy by design, in linea con i requisiti della ISO 27001 e già utilizzate da aziende che gestiscono siti Seveso – possono colmare il vuoto tra l’obbligo normativo e la realtà operativa, evitando che la sicurezza dei dati resti solo una dichiarazione di principio.

Tutto questo, sul piano operativo, si traduce in un unico flusso che digitalizza l’accoglienza e, insieme, gestisce la conservazione dei dati in modo automatico. Una piattaforma come Varcora evita che il registro fisico resti esposto su un bancone o che i dati vengano gestiti manualmente da più persone senza controllo: ogni accesso viene registrato, i termini di retention impostati per la cancellazione automatica e i permessi di visualizzazione limitati a chi ha un ruolo legittimo. Il doppio binario GDPR‑ISO 27001 diventa così una configurazione di processo, non un’emergenza da rincorrere a ogni audit.

Per chi deve dimostrare la conformità con prove documentali e non con dichiarazioni di intenti, richiedere una demo è il passo per vedere come funziona in concreto.

Accessi esterni ancora gestiti su carta?

Se nella tua azienda visitatori, fornitori e manutentori passano ancora da registri cartacei, Varcora può aiutarti a trasformarli in un processo digitale, ordinato e recuperabile quando serve.

Richiedi una demo →