Ogni giorno le aziende raccolgono dati personali dai propri visitatori — nome, cognome, azienda di provenienza, documento di identità, orario di accesso — spesso senza un’informativa privacy adeguata, senza una base giuridica chiara e senza un piano per la cancellazione dei dati. Il registro cartaceo in reception, accessibile a chiunque si avvicini al bancone, è uno degli esempi più comuni di non conformità al GDPR. Eppure è ancora la norma in molte realtà aziendali. In questo articolo vediamo cosa prevede la normativa e come un software di gestione ospiti può garantire la conformità in modo strutturato.
Il visitatore aziendale sotto la lente del GDPR
Il visitatore che entra in azienda è un interessato al trattamento dei dati personali a tutti gli effetti. L’azienda che raccoglie i suoi dati è il titolare del trattamento e ha obblighi precisi nei suoi confronti: informarlo su come vengono usati i suoi dati, raccogliere il consenso quando necessario, conservare i dati solo per il tempo strettamente necessario e proteggerli adeguatamente.
La base giuridica più comunemente applicabile alla gestione dei visitatori è il legittimo interesse del titolare — garantire la sicurezza dell’edificio e tracciare gli accessi — che nella maggior parte dei casi non richiede il consenso esplicito del visitatore. Esistono però situazioni in cui il consenso è necessario: raccolta di dati ulteriori rispetto a quelli strettamente necessari, utilizzo delle immagini per finalità diverse dalla sicurezza, trattamento di categorie particolari di dati.
L’informativa privacy: obbligatoria e spesso assente
L’obbligo più frequentemente disatteso nella gestione degli ospiti aziendali è la mancata erogazione dell’informativa privacy al momento della visita. Il GDPR impone che il visitatore venga informato — prima o al momento della raccolta dei dati — su chi è il titolare del trattamento, quali dati vengono raccolti, per quale finalità, per quanto tempo vengono conservati e quali sono i suoi diritti.
L’informativa può essere erogata in forma cartacea, digitale o tramite un totem interattivo in reception. L’importante è che venga effettivamente consegnata e che l’avvenuta ricezione sia documentabile. In caso di controllo da parte del Garante, l’impossibilità di dimostrare che i visitatori sono stati informati è una violazione accertata, indipendentemente da qualsiasi altra considerazione.
Tempi di conservazione e cancellazione dei dati
Uno degli aspetti più trascurati riguarda i tempi di conservazione dei dati dei visitatori. Il GDPR impone che i dati personali vengano conservati solo per il tempo strettamente necessario alla finalità per cui sono stati raccolti. Per la gestione degli accessi, questo significa definire un periodo di conservazione ragionevole — tipicamente da pochi giorni a qualche mese, a seconda del contesto e degli obblighi di sicurezza applicabili — e cancellare i dati alla scadenza.
Un registro cartaceo non consente la cancellazione selettiva dei dati: una volta che un nome è scritto su un foglio, rimane lì finché il foglio non viene distrutto. Un software di gestione ospiti consente invece di configurare la cancellazione automatica dei dati alla scadenza del periodo definito, senza interventi manuali e con documentazione dell’avvenuta cancellazione.
Come un software garantisce la conformità
Un software di gestione ospiti progettato con attenzione alla privacy risolve strutturalmente i principali problemi di conformità. L’informativa privacy viene presentata al visitatore durante il processo di check-in digitale, con registrazione documentata dell’avvenuta presa visione. Il consenso, nei casi in cui è necessario, viene raccolto in formato digitale e conservato in modo verificabile.
I dati sono accessibili solo agli utenti autorizzati — non visibili a chiunque passi davanti al bancone della reception — e protetti con misure di sicurezza adeguate. Il log degli accessi ai dati consente di dimostrare, in caso di audit, chi ha consultato quali informazioni e quando. La cancellazione automatica alla scadenza del periodo configurato elimina il rischio di conservare dati oltre i tempi consentiti.
Sul fronte contrattuale, il fornitore del software cloud deve essere nominato responsabile del trattamento ai sensi dell’art. 28 GDPR, con la stipula di un Data Processing Agreement (DPA) che definisca le modalità di trattamento, le misure di sicurezza adottate e gli obblighi di riservatezza. Un fornitore che non è disponibile a firmare un DPA non è un fornitore adeguato per questo tipo di utilizzo.
Sanzioni e rischi concreti
Il Garante per la Protezione dei Dati Personali ha già sanzionato aziende per gestione non conforme dei dati dei visitatori. Gli errori più comuni che portano a contestazioni sono: mancata informativa ai visitatori, conservazione dei dati oltre i termini previsti, accesso non controllato al registro delle presenze, assenza di misure di sicurezza adeguate per i dati raccolti.
Le sanzioni possono essere significative, ma il rischio reputazionale — un visitatore che rileva una gestione negligente dei propri dati — è spesso altrettanto rilevante per le aziende che curano la propria immagine professionale.
Conclusione
La conformità GDPR nella gestione degli ospiti aziendali non è una questione tecnica complessa: è una questione di processi corretti e strumenti adeguati. Il registro cartaceo in reception non soddisfa i requisiti della normativa; un software di gestione ospiti progettato con attenzione alla privacy li soddisfa strutturalmente, senza aggiungere complessità operativa.
Il primo passo concreto è verificare oggi come vengono gestiti i dati dei propri visitatori: c’è un’informativa? I dati sono protetti? Vengono cancellati alla scadenza? Le risposte a queste tre domande dicono già molto sul livello di conformità e su cosa è necessario cambiare.
