Migliaia di alberghi, B&B e affittacamere italiane hanno adottato negli ultimi anni una pratica che sembrava innocua e persino comoda: fotografare il documento d’identità dell’ospite con lo smartphone durante il check-in, oppure chiedergli di inviarlo via WhatsApp prima dell’arrivo. Una scorciatoia digitale per semplificare la registrazione, apparentemente neutra. Il Garante per la protezione dei dati personali ha ora chiarito, con una nota inviata direttamente alle associazioni di categoria del settore ricettivo, che questa abitudine non è conforme alla normativa vigente e che le strutture che la praticano si espongono a rischi sanzionatori concreti, oltre a mettere in pericolo i dati personali dei propri ospiti.
Cosa dice la legge e dove inizia il problema
Il quadro normativo è definito dall’articolo 109 del Testo unico delle leggi di pubblica sicurezza, che impone ai gestori di strutture ricettive di identificare gli ospiti e di trasmettere i relativi dati alle autorità di pubblica sicurezza tramite il portale ministeriale “Alloggiati Web”. Si tratta di un obbligo di legge che risponde a finalità di ordine pubblico e sicurezza, e che il Garante non mette in discussione. Il punto critico riguarda ciò che accade dopo la trasmissione: la normativa sulla protezione dei dati personali, e in particolare i principi di minimizzazione e limitazione della conservazione sanciti dal Regolamento europeo 2016/679, impedisce di trattenere copie dei documenti oltre il tempo strettamente necessario all’adempimento. Conservare fotocopie, immagini scattate con il telefono o file inviati tramite applicazioni di messaggistica istantanea va quindi oltre quello che la legge consente, indipendentemente dalle intenzioni del gestore.
L’aumento di segnalazioni, reclami e violazioni dei dati personali registrato negli ultimi mesi ha spinto il Garante a intervenire con un documento di chiarimento destinato alle associazioni di settore, con la richiesta esplicita di diffonderne il contenuto tra gli iscritti.
Le implicazioni pratiche per chi gestisce una struttura ricettiva sono immediate. Ogni copia del documento acquisita durante il processo di identificazione deve essere cancellata o distrutta nel momento in cui la trasmissione sul portale è completata. L’unico elemento che può restare negli archivi della struttura è la ricevuta automatica generata dal portale “Alloggiati Web” al termine dell’operazione, da conservare per cinque anni come prova dell’avvenuto adempimento. I dati degli ospiti, nel frattempo, rimangono disponibili nei sistemi delle autorità pubbliche per lo stesso periodo, senza che le strutture debbano farsi carico di alcuna ulteriore conservazione.
Sicurezza dei dati e obblighi in caso di violazione
Il Garante ha richiamato anche le responsabilità più ampie che fanno capo ai titolari del trattamento. Le strutture ricettive sono tenute ad adottare misure tecniche e organizzative adeguate per proteggere i dati personali che raccolgono, e devono formare correttamente il personale coinvolto nelle operazioni di identificazione e registrazione degli ospiti.
Sul fronte delle violazioni, le regole sono precise e i tempi stretti. Se si verifica un data breach, cioè una violazione della sicurezza che comporta la perdita, la distruzione, la modifica non autorizzata o l’accesso illecito ai dati personali, il gestore è tenuto a notificarlo al Garante entro 72 ore dal momento in cui ne viene a conoscenza. Nei casi più gravi, quelli in cui la violazione può causare un danno significativo alle persone fisiche coinvolte, scatta anche l’obbligo di comunicarlo direttamente agli interessati. Il rischio principale associato alla conservazione non autorizzata di copie dei documenti d’identità è proprio la possibilità che questi dati vengano sottratti, persi o accessibili a soggetti non autorizzati: informazioni come nome, cognome, data di nascita, codice fiscale e indirizzo di residenza, se finiscono nelle mani sbagliate, possono essere utilizzate per furti di identità con effetti duraturi per le persone colpite. Le associazioni di categoria sono state chiamate a farsi tramite di queste indicazioni verso le strutture associate, con l’obiettivo di raggiungere un settore che ogni anno tratta i dati personali di milioni di persone sul territorio nazionale.
