Incidenti gravi in luoghi ad alta affluenza – dal Cinema Statuto alla recente tragedia in Svizzera, a Crans-Montana – rivelano una comune radice sistemica: la frammentazione tra sicurezza sul lavoro, sicurezza del pubblico, protezione dei dati e modelli di governance.
Questo articolo propone un approccio integrato ispirato alle High Reliability Organizations (HRO), capace di superare i “silos” normativi e operativi.
Si argomenta che la sicurezza effettiva non deriva dalla mera conformità a regole settoriali, ma dalla capacità organizzativa di rilevare segnali deboli, coordinare tecnologie e decisioni in tempo reale, e tracciare responsabilità in modo trasparente.
In questa prospettiva, si avanza una proposta operativa: l’obbligo di sistemi automatici di conteggio delle presenze con “black box” crittografata e accessibile in tempo reale ai soli responsabili, progettata in coerenza con il GDPR e utile per prevenzione, emergenza e indagini.
Il ruolo del DPO e dell’Organismo di Vigilanza 231 diventa centrale per trasformare adempimenti in governance reale. L’integrazione tra safety, security e protezione dei dati si configura così non come onere, ma come leva strategica per una sicurezza sostenibile, leggibile e condivisa.
Indice degli argomenti
Quando gli eventi ridisegnano il diritto della sicurezza
Troppo spesso, negli ultimi decenni, eventi verificatisi in contesti tra loro anche molto diversi – dai luoghi di spettacolo alle grandi organizzazioni – hanno reso evidente che i fallimenti più gravi raramente dipendono da una singola carenza tecnica.
Più frequentemente, sono l’esito di criticità organizzative e decisionali, nelle quali numerosità dei presenti, tecnologie, gestione del rischio e sistemi di controllo risultano non coordinati se non incoerenti.
In questi scenari, la vulnerabilità non nasce tanto dall’assenza di misure tecniche, quanto dalla loro incapacità di operare come sistema sotto pressione, accompagnata da una inadeguata strutturazione delle responsabilità giuridiche e organizzative.
Il tragico evento verificatosi in Svizzera all’inizio del 2026 ha riportato al centro del dibattito la sicurezza nei luoghi di intrattenimento ad alta affluenza.
Le responsabilità sono oggetto di accertamento delle autorità giudiziarie. Al di là degli esiti processuali, l’episodio pone un interrogativo di sistema sulla capacità organizzativa di governare contesti complessi e ad alta densità di presenze, nei quali lavoratori, utenti e operatori economici condividono spazi, tempi e rischi, e nei quali la risposta dipende dalla tenuta complessiva dell’assetto organizzativo.
Eventi-chiave come snodi regolatori
In Italia, due eventi hanno segnato passaggi decisivi su versanti diversi ma convergenti.
L’incendio del Cinema Statuto (Torino, 13 febbraio 1983, con 64 vittime) mise in luce in modo drammatico le carenze strutturali dei luoghi aperti al pubblico.
Da quell’evento prese forma un rafforzamento progressivo e organico della disciplina sulla prevenzione incendi e sulla sicurezza dei locali di pubblico spettacolo, fondato su capienza, compartimentazione, resistenza al fuoco e fruibilità effettiva delle uscite.
La lezione fu chiara e resta attuale: la sicurezza del pubblico non può essere affidata alla presunzione di normalità dell’evento, né ridotta a un controllo statico di requisiti formali, quando ciò che conta, nelle situazioni di crisi, è la capacità di far evacuare, coordinare e decidere in tempi rapidi.
Il rogo alla ThyssenKrupp e la tragedia allo Stadio Heysel
Ventiquattro anni dopo, il rogo nello stabilimento ThyssenKrupp (Torino, 6 dicembre 2007, con 7 operai vittime) segnò uno spartiacque sul versante della sicurezza sul lavoro.
L’evoluzione normativa e giurisprudenziale successiva consolidò un principio ormai centrale: la sicurezza è una scelta organizzativa non comprimibile, la cui omissione può assumere pieno rilievo penale.
Il cuore del problema non fu l’assenza di regole, ma l’accettazione consapevole di condizioni di rischio all’interno di un modello gestionale inadeguato.
Accanto a questi casi nazionali, eventi internazionali come la tragedia dello Stadio Heysel (Bruxelles, 29 maggio 1985, con 39 vittime) hanno reso evidente come, in contesti di altissima affluenza, il governo dei flussi e delle decisioni operative sia un fattore critico indipendente dall’innesco tecnico (incendio o guasto).
In ambito produttivo, l’esplosione della Deepwater Horizon (Golfo del Messico, con 11 vittime; evento inoltre di grande impatto ambientale), rappresentò un cambio di paradigma globale: tecnologie e procedure formalmente adeguate si rivelarono inefficaci a fronte di decisioni organizzative orientate alla tolleranza del rischio, portando a una lettura sistemica degli incidenti come fallimenti di governance più che come errori isolati.
Oltre alle vittime, ciascuno di questi eventi contò ancor più numerosi feriti.
Luoghi ad alta densità: la complessità come fattore di rischio
Discoteche, club, grandi eventi e impianti complessi condividono una caratteristica essenziale: l’alta densità di persone e l’interazione continua tra spazi, tecnologie e decisioni in tempo reale.
In questi contesti, il rischio emerge dall’interazione dei fattori e non può essere governato per compartimenti stagni, poiché ciò che “fa la differenza” in una crisi è spesso l’interoperabilità tra presìdi e la capacità di coordinamento.
È utile far riferimento alla lente proposta da Weick e Sutcliffe delle High Reliability Organizations (HRO) – come i pronto soccorso negli ospedali, le operazioni di volo delle portaerei e le unità antincendio – come modelli da seguire.
Contesti nei quali la sicurezza non è un risultato automatico della presenza di procedure, ma una capacità collettiva di “dare senso” ai segnali deboli, mantenere una vigilanza costante sulle anomalie, evitare la normalizzazione delle devianze e valorizzare l’expertise operativa di chi è più vicino ai processi reali.
Nei luoghi ad alta densità, infatti, piccoli scostamenti – di flusso, di capienza, di comportamento, di funzionamento tecnico – possono propagarsi rapidamente, soprattutto quando le interdipendenze sono strette e il sistema ha pochi margini di correzione.
La debolezza dei silos
La distinzione, giuridicamente corretta, tra sicurezza sul lavoro e sicurezza del pubblico mostra qui i suoi limiti operativi.
Lavoratori e avventori condividono spazi e conseguenze in caso di evento critico; responsabilità frammentate, esternalizzazioni e ruoli intermittenti rendono fragile la risposta organizzativa quando più fattori critici si manifestano simultaneamente.
In altre parole, la densità amplifica i rischi e riduce i margini di correzione: una scelta organizzativa sub-ottimale può trasformarsi rapidamente in una condizione non recuperabile.
Tecnologie tra safety e security: efficacia e limiti
Videosorveglianza, controllo degli accessi, conteggio delle presenze e monitoraggio dei flussi sono oggi elementi strutturali.
Dal lato safety, supportano prevenzione ed evacuazioni; dal lato security, deterrenza e gestione dei comportamenti illeciti.
Le due dimensioni sono interdipendenti: sistemi concepiti per finalità di security influenzano la safety (e viceversa), perché determinano come si controllano gli accessi, come si gestiscono gli spazi e come si reagisce a eventi improvvisi.
In chiave HRO, la tecnologia è davvero utile quando aumenta la “sensibilità alle operazioni”: non quando produce solo dati, ma quando abilita un monitoraggio affidabile in tempo reale e un processo decisionale che sappia adattarsi all’imprevisto senza irrigidirsi in automatismi burocratici.
Per questo, l’efficacia dipende dall’integrazione nei processi organizzativi: sistemi adottati per mera conformità, senza procedure operative, manutenzione e test realistici, rischiano di fallire nei momenti critici.
Inoltre, tali tecnologie comportano trattamenti di dati personali su larga scala, spesso in contesti di vulnerabilità degli interessati.
La tecnologia non riduce automaticamente il rischio: lo redistribuisce. Se non governata, può generare nuove fragilità, come dipendenza da sistemi non affidabili, accessi non controllati ai dati, o utilizzi impropri delle informazioni proprio nelle fasi emergenziali.
Dati personali, DPO e modelli 231: indicatori di maturità organizzativa
La gestione dei dati connessi ai sistemi di sicurezza costituisce un indicatore significativo di maturità organizzativa.
Regole incerte sugli accessi, assenza di tracciabilità o procedure opache per l’uso dei dati in emergenza rivelano un deficit di governance che va oltre la violazione formale. In ambienti complessi, il principio di accountability impone di dimostrare l’adeguatezza delle misure rispetto ai rischi concreti.
In questo quadro, il ruolo del DPO non può essere confinato a una funzione meramente consultiva ex post.
Il coinvolgimento del DPO nella progettazione dei sistemi tecnologici e, quando necessario, nello svolgimento della DPIA consente di chiarire flussi informativi, ruoli decisionali e limiti d’usodei dati, contribuendo alla prevenzione ex ante.
Se letta in modo sostanziale, la DPIA non è soltanto un adempimento: è una prova generale organizzativa, che costringe a esplicitare “chi decide cosa” quando il sistema entra in stress.
Analogamente, nei contesti in cui trova applicazione il D.lgs. 231/2001, la sicurezza – del lavoro e del pubblico – non può restare estranea al modello organizzativo dell’ente.
La gestione dell’affollamento, l’integrazione delle tecnologie e la tracciabilità delle decisioni diventano elementi rilevanti anche ai fini della valutazione dell’idoneità del modello.
In tale prospettiva, DPO e Organismo di Vigilanza sono chiamati a operare in modo coordinato: il primo presidia la correttezza e la proporzionalità dei trattamenti; il secondo valuta la tenuta complessiva del sistema di controllo interno e la sua capacità di prevenire rischi prevedibili.
La loro interazione, se strutturata e documentata, rappresenterebbe una best practice organizzativa per trasformare gli adempimenti in governance effettiva.
Ispezioni e vigilanza: dall’adempimento alla capacità operativa
Nei contesti ad alta affluenza, la vigilanza incontra un limite strutturale: la distanza tra verifica documentale e valutazione della capacità organizzativa reale.
La conformità statica alla norma non garantisce il coordinamento dei presìdi né la loro efficacia sotto stress, soprattutto quando l’evento critico combina fattori tecnici, comportamentali e decisionali.
In questo senso va rimarcato che in Italia il Codice Prevenzione Incendi (D.M. 3 agosto 2015) ha segnato il passaggio da un approccio rigidamente prescrittivo a una valutazione prestazionale e dinamica del rischio, coerente con la complessità dei contesti.
In una logica coerente con l’approccio HRO, la vigilanza dovrebbe coltivare una “inquietudine operativa” verso le anomalie: non per aumentare la pressione punitiva, ma per intercettare precocemente i guasti latenti, verificando non solo ciò che è scritto, ma ciò che è effettivamente praticato.
Il limite non è il rigore dei controlli, ma la difficoltà di valutare l’integrazione operativa, tra procedure, tecnologie e processi decisionali.
Anche sul versante dei dati personali, controlli focalizzati esclusivamente su informative e basi giuridiche rischiano di non intercettare criticità operative.
In questa prospettiva, la documentazione (DVR, piani, registri) non va intesa come fine, ma come evidenza di un sistema in grado di funzionare in condizioni reali, e non solo sulla carta.
Linee di azione fondate e proposta operativa
Senza introdurre un proliferare di adempimenti, alcune direttrici appaiono solide proprio perché non aggiungono “carta”, ma chiedono coerenza:
- concepire valutazione dei rischi e pianificazione come processi unitari; accompagnare le tecnologie con verifiche operative e simulazioni;
- utilizzare la protezione dei dati come leva organizzativa per chiarire ruoli e flussi;
- orientare i controlli alla capacità organizzativa effettiva.
Si propone l’obbligo di sistemi di rilevazione automatica del numero di persone nei locali ad alta affluenza, basati su tecnologie mature su ogni varco (sensori ottici, infrarossi o AI per flussi continui ingresso/uscita).
Configurati secondo privacy by design tali dispositivi dovrebbero dialogare con black box per raccolta dati, su infrastruttura cloud conforme ai requisiti di sicurezza, con cifratura, logging, segregazione degli accessi, retention limitata ed escludendo funzioni di identificazione personale/biometrica, in un modello di governance che garantisca accountability e controllabilità.
In tale cornice, l’accesso dovrebbe essere possibile in tempo reale ai soli responsabili delle singole organizzazioni e a disposizione delle autorità di polizia, ASL e Vigili del Fuoco con protocolli di accesso formalizzati e per verifiche successive, nei limiti delle rispettive basi legali e con accessi tracciati.
La black box garantirebbe evidenze oggettive su capienza, supportando indagini penali e decisioni emergenziali.
L’adozione obbligatoria di tali sistemi potrebbe essere prevista in via prioritaria per i locali o in occasione di eventi straordinari con soglie di soglie di capienza/affluenza da definire in sede regolatoria (es. 200/500).
In termini organizzativi, questi dispositivi funzionerebbero come un presidio di consapevolezza operativa: rendono visibili scostamenti e soglie, riducono l’ambiguità decisionale e, soprattutto, contribuiscono a evitare che la deviazione dalla capienza autorizzata venga normalizzata come prassi.
Ciò vale tanto per la prevenzione quanto per la possibilità di effettuare controlli pubblici non rituali.
Il ruolo del DPO, oltre la conformità formale
La sicurezza diventa effettiva solo quando è incorporata nell’organizzazione. Il diritto evolve quando riconosce che il rischio non è un accidente tecnico, ma l’esito di decisioni, priorità e modelli di governance che operano nel tempo.
In questo orizzonte, il DPO è chiamato a svolgere un ruolo che va oltre la conformità formale: contribuire alla costruzione di sistemi organizzativi coerenti, nei quali la qualità della gestione dei dati personali diventa parte integrante della capacità di prevenire, governare e rendere leggibili gli eventi critici.
Safety, security e protezione dei dati cessano così di essere ambiti separati e diventano componenti complementari di una stessa responsabilità organizzativa.
È questa integrazione – rafforzata da modelli 231 effettivamente attuati, da un dialogo strutturato tra DPO e Organismo di Vigilanza e da tecnologie progettate in modo proporzionato e verificabile – la condizione necessaria per rendere reale e sostenibile nel tempo la sicurezza nei luoghi di lavoro e di spettacolo ad alta densità, tutelando insieme persone, diritti fondamentali e responsabilità organizzative.
Trattare separatamente questi ambiti significa invece rischiare che la prossima tragedia possa essere solo una questione di tempo.
