Trattamento dei documenti di identità degli ospiti nelle strutture ricettive

Alla luce di recenti casi di cronaca e di un aumento significativo di segnalazioni e reclami, il Garante per la protezione dei dati personali ha fornito importanti chiarimenti sul trattamento dei documenti di identità degli ospiti da parte di alberghi e altre strutture ricettive. Le indicazioni mirano a rafforzare la tutela dei dati personali, riducendo i rischi di violazioni e garantendo il rispetto della normativa in materia di pubblica sicurezza e protezione dei dati.

Contesto e criticità emerse

Negli ultimi anni si è registrato un incremento delle segnalazioni relative a pratiche non corrette nella raccolta e conservazione dei dati contenuti nei documenti di identità degli alloggiati. Parallelamente, sono aumentati i casi di data breach che hanno comportato l’esfiltrazione di copie, anche digitali, dei documenti di identità degli ospiti.

Particolare attenzione è stata posta alla diffusione di prassi rischiose, come:

• acquisizione fotografica dei documenti tramite dispositivi mobili;
• trasmissione delle immagini attraverso servizi di messaggistica istantanea;
• conservazione non necessaria delle copie dei documenti.

Tali comportamenti espongono gli interessati a rischi elevati di furto d’identità e le strutture ricettive a responsabilità rilevanti sotto il profilo del GDPR.

Obblighi normativi per le strutture ricettive

Identificazione degli ospiti e comunicazione all’autorità di pubblica sicurezza

La normativa di settore consente di alloggiare esclusivamente persone munite di un documento di identità valido. L’obbligo trova fondamento nell’articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS), che impone ai gestori delle strutture ricettive di comunicare i dati identificativi degli ospiti all’autorità di pubblica sicurezza.

Tale adempimento risponde a finalità di ordine e sicurezza pubblica e supporta le attività di prevenzione e repressione dei reati, come riconosciuto anche dalla giurisprudenza costituzionale.

Modalità di trattamento dei dati

Il trattamento dei dati personali degli ospiti consiste nella raccolta dei soli dati anagrafici e degli estremi del documento di identità necessari alla comunicazione tramite il sistema “Alloggiati Web” del Ministero dell’Interno. Questa operazione può avvenire:

• manualmente, tramite inserimento diretto da parte del personale;
• in forma automatizzata, attraverso l’integrazione tra i sistemi gestionali della struttura e quelli ministeriali.

La base giuridica del trattamento è l’adempimento di un obbligo legale, ai sensi dell’art. 6, par. 1, lett. c) del GDPR.

Limiti alla conservazione dei documenti di identità

Un elemento centrale chiarito dal Garante riguarda la conservazione dei dati. L’obbligo previsto dal TULPS riguarda esclusivamente la comunicazione dei dati all’autorità di pubblica sicurezza e non comporta la necessità di conservarli presso la struttura ricettiva.

In particolare:

• i dati comunicati vengono conservati per cinque anni sui sistemi del Ministero dell’Interno;
• le strutture ricettive devono cancellare i dati digitali e distruggere eventuali copie cartacee non appena ricevuta la conferma di avvenuta comunicazione;
• non è consentita la conservazione delle immagini dei documenti di identità oltre il tempo strettamente necessario all’inserimento dei dati.

Tale impostazione è coerente con i principi di minimizzazione e limitazione della conservazione previsti dal GDPR.

Sicurezza del trattamento e rischio di violazioni

Il GDPR impone alle strutture ricettive l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio. In particolare, occorre prevenire distruzione, perdita, diffusione non autorizzata o accesso illecito ai dati personali.

In caso di violazione dei dati personali che coinvolga le immagini dei documenti di identità, la struttura è tenuta:

• a notificare l’evento al Garante entro 72 ore;
• a informare gli interessati quando la violazione comporta un rischio elevato per i loro diritti e le loro libertà.

Indicazioni operative per le strutture ricettive

Alla luce del quadro normativo e degli indirizzi dell’Autorità, le strutture ricettive sono chiamate ad adottare comportamenti coerenti e responsabili attraverso:

• formazione e responsabilizzazione del personale addetto, con istruzioni chiare sul divieto di trattenere copie dei documenti di identità;
• informativa trasparente agli ospiti sulle modalità e finalità del trattamento dei dati;
• regolazione puntuale dei rapporti con i fornitori di servizi tecnologici, in conformità all’art. 28 del GDPR;
• esclusione dell’uso di fotografie, dispositivi mobili o servizi di messaggistica istantanea per la raccolta dei dati dei documenti di identità.

Il rispetto di tali indicazioni consente di adempiere correttamente agli obblighi di pubblica sicurezza, riducendo al contempo i rischi operativi, reputazionali e sanzionatori per le imprese del settore turistico-ricettivo.