La protezione dei dati personali è divenuto ormai l’obiettivo prioritario delle aziende che, negli ultimi mesi, hanno provveduto, con non poche difficoltà, a conformarsi alle disposizioni contenute nel Regolamento europeo sulla materia (GDPR). L’attenzione alla gestione della privacy è alta, non solo nei confronti dei dipendenti ma anche dei soggetti esterni all’azienda che, a vario titolo, vi entrano in contatto.
I “visitatori”, che possono essere fornitori, consulenti, lavoratori per una ditta esterna, sono soggetti estranei all’impresa che, prima di accedervi, devono essere individuati, fornendo un documento di riconoscimento.
Il ruolo della reception aziendale
Un ruolo importante, in questo senso, è rivestito dalla reception. Questa è l’area di accesso dei dipendenti, dei consulenti continuativi come degli ospiti occasionali dell’azienda. In questa sede, infatti, avviene la prima raccolta dei dati dei soggetti che intendono introdursi nei locali dell’ente.
Per i soggetti che non sono alle dipendenze della società la receptionist provvede alla registrazione dei dati, nella quale vengono indicati il motivo della visita, il referente interno con il quale ha appuntamento e la durata dell’incontro. In questa fase, preliminare ed obbligatoria, di identificazione del soggetto, si acquisirà anche il consenso al trattamento dei dati personali.
In tale senso, è bene precisare che il trattamento dei dati dei visitatori prevede un serie di adempimenti, a cura dell’impiegato deputato al ricevimento, piuttosto semplici, in alcuni casi realizzati dallo stesso ospite su appositi totem self service.
L’addetto alla reception, generalmente, consegna un badge al soggetto (che ritirerà una volta terminata la visita), sottopone all’ospite l’informativa sulla privacy (che dovrà essere sottoscritta) e fornisce le istruzioni in materia di sicurezza sul lavoro da seguire in caso di emergenza (D.Lgs 81/2008).
Il badge è, a tutti gli effetti, un documento di riconoscimento (personale e non cedibile) del visitatore che dovrà essere da lui esibito ed indossato durante l’intera permanenza nei locali aziendali. Inoltre, questo strumento consente all’azienda di monitorare gli spostamenti del soggetto nei casi in cui acceda ad aree sottoposte a varchi (tornelli, porte, etc.) il cui transito avviene solo mediante autenticazione.
Queste semplici operazioni, in realtà, hanno una rilevanza primaria poiché consentono di avere contezza, in qualunque momento, dei soggetti presenti nella azienda, e, ove necessario, anche di localizzarli al suo interno.
I codici di condotta
Per la gestione degli ospiti, solitamente, le aziende adottano un codice di comportamento che illustra i principi ai quali questi debbano attenersi dopo aver fatto ingresso nei locali dell’ente.
Il predetto documento può disciplinare le modalità di ingresso dei visitatori, per esempio nei casi di accesso ad alcune aree per le quali può essere prevista una specifica approvazione e/o l’accompagnamento da parte di personale interno autorizzato.
Può stabilire la condotta che gli ospiti sono tenuti a seguire nel contesto aziendale, per esempio con riferimento al trattamento di informazioni confidenziali ed interne della società occorre osservare i principi di onestà e discrezione, oltre a quanto previsto da leggi, regolamenti nazionali ed europei, policy e procedure interne.
Può consentire l’eventuale accesso a sistemi informatici e/o a informazioni riservate societarie a fronte di un conferimento dell’utenza da parte di un referente interno autorizzato e secondo apposite policy e procedure. Può altresì vietare l’uso di sistemi e strumenti elettronici per scopi estranei all’attività lavorativa.
Può impedire l’introduzione di strumenti elettronici o altro materiale, anche personale, da parte del soggetto entrante, qualora in conflitto con esigenze di sicurezza.
Può infine imporre l’adozione di determinate precauzioni necessarie per proteggere la riservatezza delle informazioni.
I diritti dei visitatori con riguardo ai propri dati personali
Tutti i soggetti che accedono ai locali e al sistema informativo di una società, sono tenuti al rispetto delle prescrizioni dettate dal D. Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, nonché di tutti i successivi provvedimenti emanati dall’Autorità garante per la protezione dei dati personali, applicabili al contesto aziendale, e a quanto previsto dal Regolamento UE 2016/679.
Allo stesso tempo, tali fonti normative riconoscono degli strumenti di tutela in favore di questi soggetti al fine di vedersi tutelati i propri dati personali.
Per tale ragione, anche le informazioni raccolte all’atto di registrazione del visitatore devono essere trattate in conformità del GDPR.
Le finalità per le quali vengono raccolti i dati del soggetto si esauriscono una volta che il soggetto abbandoni i locali aziendali. Tali informazioni dovrebbero quindi essere conservate nei limiti di questo arco temporale, tuttavia le tempistiche possono essere soggette a variazioni nel caso in cui si siano presentati eventi anomali durante la permanenza dell’ospite.
In alcune società l’identificazione del soggetto entrante avviene con l’acquisizione di dati biometrici (art. 4, paragrafo 1, n. 14, GDPR, ad es. impronte digitali, sagoma della mano, colore e dimensione dell’iride, fisionomia del volto, etc.). Per sistemi di riconoscimento così sofisticati, il trattamento deve essere conforme alle disposizioni di legge vigenti e pertanto si rimanda alle linee guida del Garante delle Privacy in materia (Link).
In ogni caso, il visitatore ha diritto di conoscere quali dati personali siano in possesso dall’azienda ed ha diritto altresì a richiederne la cancellazione (artt. 15 e ss. GDPR)
L’accoglienza dei visitatori in azienda rappresenta evidentemente un aspetto critico. In commercio vi sono diversi sistemi di controllo ed ogni società opta per la soluzione che più aderisce al proprio contesto operativo. Ciò detto, per un azienda sicura e in linea con i principi dettati dalla legge è necessario istruire gli addetti ai desk di ricevimento, che ricoprono un ruolo spesso sottovalutato, e dotarsi di sistemi di monitoraggio efficienti e moderni.
VP