Perché il registro visitatori è così importante?

A partire dall'entrata in vigore del GDPR (General Data Protection Regulation) il 25 maggio 2018, le aziende devono ottemperare a tutte le norme che il Regolamento Europeo sulla Privacy prevede in materia del trattamento dei dati personali e della sicurezza.
Secondo il Regolamento, il titolare ed il responsabile dei dati devono attuare una serie di “misure tecniche ed organizzative” al fine di garantire un livello di sicurezza adeguato al rischio.

Il registro dei visitatori rientra nei punti da osservare in modo scrupoloso? Assolutamente sì.

Il controllo elettronico degli accessi in sede costituisce innanzitutto una prima misura efficace di contrasto alle minacce alla sicurezza, proteggendo da eventuali ingressi non autorizzati. In caso, inoltre, di incidenti e verifiche delle Autorità preposte è necessario dimostrare di aver praticato tutti gli accorgimenti organizzativi richiesti dalla norma.

Ma non solo. In base alla normativa sulla sicurezza aziendale, in qualsiasi momento si deve essere in grado di sapere quanti visitatori sono presenti nell’edificio, chi, e potenzialmente localizzarli in caso di emergenza (d. lgs. 81/2008).

La gestione “tradizionale” dei visitatori in sede, con annotazione degli ingressi e dei dati su registri cartacei o su pc, rispetta le procedure previste dal GDPR? No e le realtà che ancora si affidano a tali metodi possono incorrere in severe sanzioni.

Il regolamento generale sulla protezione dei dati dell’Unione Europea si fonda sostanzialmente su tre punti fondamentali:

1. I dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate … (integrità e riservatezza)”: deve essere quindi garantita la privacy dei visitatori, facendo in modo che i loro dati non siano visibili a chi li ha preceduti o che verrà dopo di loro. Con gli elenchi cartacei posti alla reception, invece, chi accede può vedere le informazioni riguardanti la persona che ha effettuato l'ingresso prima di lui, con conseguente violazione della sua privacy.
2. I dati poi devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”: deve essere quindi data facoltà all’utente di chiedere la cancellazione dei propri dati una volta terminata la visita o comunque conclusa la finalità (i dati dovrebbero essere cancellati al termine della visita stessa ed in ogni caso deve essere concessa la possibilità alla persona di richiedere i dati detenuti dal titolare dell’azienda, i quali dovranno provvedere ad un’immediata visualizzazione e stampa dei dati stessi). Questa operazione non può essere effettuata in modo sicuro e rapido secondo i metodi tradizionali, mentre è facilmente attuabile con soluzioni hi-tech e senza che questo comporti un aumento dei costi di organizzazione e amministrativi.
3. I dati che possono essere richiesti devono essere “adeguati, pertinenti, e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”: l’azienda deve quindi acquisire soltanto i dati realmente importanti ai fini della registrazione, tralasciando quelli superflui. Solo con sistemi elettronici questo delicato punto può essere gestito in modo adeguato e smart.

L'abbandono dei classici metodi per la registrazione degli ingressi a favore di sistemi elettronici e tecnologici, pertanto, non è solo una scelta dell'azienda. L'utilizzo di soluzioni hi-tech, infatti, è l'unica modalità con cui l'impresa può tutelare, in modo facile e smart, privacy e sicurezza dei propri visitatori, osservando la normativa del GDPR ed evitando di incorrere in sicure problematiche e sanzioni.