Il Garante per la protezione dei dati personali è intervenuto con una nota a seguito dell’aumento:
- di segnalazioni e reclami verso strutture ricettive;
- di violazioni dei dati personali (data breach), spesso legate alla conservazione impropria delle copie dei documenti di identità degli ospiti.
L’obiettivo è limitare la raccolta e la circolazione delle copie dei documenti allo stretto necessario, nel rispetto della normativa su pubblica sicurezza e GDPR.
Obblighi di identificazione degli ospiti (art. 109 TULPS)
- Alberghi, strutture ricettive, affittacamere, case e appartamenti per vacanze (inclusi B&B e strutture non convenzionali) possono alloggiare solo ospiti muniti di valido documento di identità.
- I gestori sono obbligati a comunicare i dati identificativi degli ospiti alla Pubblica Sicurezza tramite il portale “Alloggiati Web” del Ministero dell’Interno.
- I dati richiesti sono esclusivamente quelli indicati dalla normativa (generalità, estremi del documento, durata soggiorno, ecc.).
La base giuridica del trattamento è l’adempimento di un obbligo di legge (art. 6, par. 1, lett. c, GDPR).
Punto chiave: divieto di conservazione delle copie dei documenti
Il Garante chiarisce in modo netto che:
- la legge NON impone né giustifica la conservazione delle copie dei documenti di identità da parte delle strutture ricettive;
- la conservazione dei dati per 5 anni è effettuata unicamente dal Ministero dell’Interno, non dalla struttura;
- eventuali copie acquisite solo per l’inserimento dei dati (scanner, foto, upload) devono essere cancellate o distrutte immediatamente dopo la generazione della ricevuta di avvenuta comunicazione.
- È quindi illecita la prassi di archiviare immagini o fotocopie dei documenti degli ospiti, sia in formato cartaceo che digitale.
Pratiche scorrette espressamente richiamate dal Garante
Sono considerate non conformi al GDPR:
- la fotografia dei documenti con smartphone o tablet;
- l’invio o la ricezione di documenti tramite WhatsApp o altri servizi di messaggistica istantanea;
- l’uso di scanner o PMS che conservano automaticamente le immagini dei documenti senza cancellazione immediata.
Queste pratiche aumentano in modo significativo il rischio di furto di identità e data breach.
Sicurezza dei dati e responsabilità delle strutture
Le strutture ricettive :
- applicano i principi di minimizzazione dei dati e limitazione della conservazione;
- adottano misure tecniche e organizzative adeguate alla protezione dei dati;
- in caso di violazione dei dati personali, notificano il Garante entro 72 ore ed eventualmente informare gli interessati.
Raccomandazioni operative per le strutture ricettive
Il Garante richiama in particolare alla necessità di:
- Istruire e responsabilizzare il personale : divieto assoluto di trattenere copie dei documenti dopo l’adempimento dell’obbligo di legge;
- Informare correttamente gli ospiti: spiegare chiaramente che il documento serve solo per l’identificazione e non viene archiviato;
- Regolare i rapporti con fornitori e PMS: contratti conformi all’art. 28 GDPR, attenzione alle modalità di trattamento e cancellazione dei dati; procedure chiare in caso di data breach;
- Evitare strumenti e modalità non sicure: niente foto, WhatsApp o canali informali per la gestione dei documenti.
Alla luce dei chiarimenti del Garante, è importante adeguare le procedure di check-in, verificando:
- i sistemi informatici utilizzati;
- le prassi operative del personale;
- i rapporti con fornitori tecnologici.
Il corretto trattamento dei dati personali è un obbligo di legge, ma anche un presidio fondamentale di tutela per l’impresa e per la fiducia dei clienti.