Il Garante per la protezione dei dati personali ha recentemente segnalato un incremento significativo di reclami e richieste di chiarimento in merito alla gestione dei dati personali da parte di alberghi e strutture ricettive. Le criticità riguardano in particolare la raccolta e la conservazione delle informazioni contenute nei documenti di identità degli ospiti, spesso acquisite tramite fotografie o condivise attraverso applicazioni di messaggistica istantanea.
Tali pratiche, se non adeguatamente regolate, espongono gli interessati a rischi rilevanti, tra cui il furto d’identità. L’intervento dell’Autorità si inserisce nel quadro del Regolamento generale sulla protezione dei dati (GDPR), con l’obiettivo di limitare la circolazione delle copie dei documenti allo stretto necessario per l’adempimento degli obblighi normativi.
Obbligo di comunicazione dei dati degli ospiti: il quadro normativo
Ai sensi dell’art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS), i gestori di strutture ricettive sono tenuti a comunicare all’Autorità di pubblica sicurezza i dati identificativi delle persone alloggiate.
Questo obbligo risponde a finalità di ordine e sicurezza pubblica ed è adempiuto attraverso il portale telematico “Alloggiati Web”, secondo le modalità definite dal Ministero dell’Interno.
Principi GDPR e modalità corrette di trattamento dei dati
Il processo di identificazione degli ospiti comporta un trattamento di dati personali, inclusi dati anagrafici ed estremi del documento di identità. Tale trattamento può essere effettuato:
- manualmente
- mediante sistemi informatizzati integrati con il portale ministeriale
Tuttavia, è fondamentale distinguere tra raccolta dei dati e loro conservazione.
Secondo i principi del GDPR:
- la raccolta dei dati deve essere limitata alle finalità di legge
- la conservazione deve rispettare criteri di necessità e proporzionalità
Una volta completata la trasmissione dei dati tramite il sistema “Alloggiati Web” e ottenuta la relativa ricevuta:
- i dati personali devono essere cancellati dai sistemi informatici
- le eventuali copie cartacee devono essere distrutte
L’unico elemento che può essere conservato è la ricevuta dell’avvenuta comunicazione, per un periodo di cinque anni.
Conservazione dei documenti di identità: pratiche non conformi
Alla luce del quadro normativo vigente, il Garante chiarisce che non è ammessa una conservazione sistematica dei documenti di identità degli ospiti.
In particolare, non risultano conformi:
- la conservazione di copie o scansioni dei documenti
- l’archiviazione di immagini su dispositivi aziendali o personali
- l’invio o la memorizzazione tramite applicazioni di messaggistica (es. WhatsApp)
L’acquisizione temporanea della copia del documento è consentita esclusivamente se strettamente necessaria all’inserimento dei dati nel sistema ministeriale. In tal caso, la copia deve essere eliminata immediatamente dopo l’utilizzo.
Sicurezza dei dati e gestione dei data breach
La conservazione non necessaria di immagini e copie dei documenti aumenta in modo significativo il rischio di violazioni dei dati personali.
In caso di data breach che coinvolga tali informazioni, la struttura ricettiva è soggetta agli obblighi previsti dal GDPR, tra cui:
- la notifica tempestiva al Garante per la protezione dei dati personali
- la comunicazione agli interessati, nei casi previsti
Una gestione non conforme può comportare rilevanti responsabilità e sanzioni.
Indicazioni operative per alberghi e strutture ricettive
Per garantire la conformità normativa e ridurre i rischi di violazione dei dati, le strutture ricettive devono adottare misure organizzative e procedurali adeguate.
In particolare:
Formazione del personale
- fornire istruzioni chiare sul trattamento dei dati
- vietare la conservazione delle copie dei documenti oltre il tempo necessario
Trasparenza verso gli ospiti
- predisporre informative chiare e complete
- comunicare che le immagini dei documenti non vengono archiviate
Gestione dei fornitori
- regolare i rapporti con fornitori di software e servizi di check-in ai sensi dell’art. 28 GDPR
- verificare le misure di sicurezza e le modalità di gestione dei dati
Sicurezza operativa
- evitare l’utilizzo di dispositivi personali per la raccolta dei dati
- non utilizzare strumenti di comunicazione non adeguati per la trasmissione dei documentI
Il rispetto delle indicazioni fornite dal Garante consente alle strutture ricettive di adempiere agli obblighi di pubblica sicurezza senza eccedere nella raccolta e conservazione dei dati personali.Un approccio conforme al GDPR, basato sui principi di minimizzazione e limitazione della conservazione, rappresenta non solo un obbligo normativo, ma anche una leva fondamentale per tutelare gli ospiti e ridurre l’esposizione a rischi e responsabilità.
Per ulteriori informazioni/approfondimenti, si prega di rivolgersi al funzionario di riferimento:
per Firenze – ENRICA MASI – e.masi@confindustriatoscanacentroecosta.it
Questo contenuto è riservato ai soci. Accedi per leggere tutto.