Documenti degli ospiti, il Garante privacy richiama alberghi e B&B: vietata la conservazione delle copie

Alberghi, bed and breakfast e affittacamere non possono conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza. È quanto chiarisce il Garante per la protezione dei dati personali in una nota inviata alle associazioni di categoria del settore ricettivo, intervenendo su una prassi sempre più diffusa che, secondo l’Autorità, espone i cittadini a rischi significativi per la sicurezza dei propri dati personali.

Il richiamo del Garante arriva anche alla luce dell’aumento di segnalazioni e casi di violazione dei dati personali registrati negli ultimi mesi. In particolare, l’Autorità evidenzia come numerose strutture ricettive, soprattutto B&B e affittacamere, abbiano adottato l’abitudine di fotografare i documenti degli ospiti tramite smartphone oppure di richiederne l’invio attraverso applicazioni di messaggistica istantanea come WhatsApp.

Secondo il Garante, tali pratiche non trovano fondamento nella normativa vigente. Gli operatori del settore hanno infatti l’obbligo di identificare gli ospiti e trasmetterne i dati alle autorità di pubblica sicurezza mediante il portale “Alloggiati Web”, ma questo adempimento non autorizza la conservazione di fotocopie, scansioni o immagini dei documenti d’identità.

L’Autorità ribadisce quindi il principio di limitazione della conservazione previsto dal GDPR: i dati personali devono essere trattati soltanto per il tempo necessario al raggiungimento della finalità per cui sono stati raccolti. Una volta effettuata la comunicazione alle autorità competenti, eventuali copie dei documenti acquisite a tale scopo devono essere immediatamente cancellate o distrutte.

L’unico documento che le strutture possono conservare è la ricevuta automatica rilasciata dal portale “Alloggiati Web”, utile a dimostrare l’avvenuto adempimento degli obblighi di legge. Tale ricevuta può essere mantenuta per cinque anni.

Nel comunicato il Garante richiama inoltre le strutture ricettive ai propri obblighi in materia di sicurezza del trattamento dei dati personali. Alberghi e gestori di alloggi turistici, in qualità di titolari del trattamento, devono adottare misure tecniche e organizzative adeguate a proteggere le informazioni raccolte e garantire che il personale incaricato operi secondo corrette istruzioni.

Particolare attenzione viene posta ai rischi derivanti dalla circolazione incontrollata delle copie dei documenti. L’uso di smartphone personali, applicazioni di messaggistica o archivi informali può infatti aumentare il rischio di accessi abusivi, smarrimenti o furti d’identità, soprattutto in un settore che tratta ogni anno i dati di milioni di persone.

L’Autorità ricorda inoltre che, in caso di violazione dei dati personali, i gestori delle strutture ricettive sono soggetti agli obblighi previsti dal GDPR in materia di data breach. Tra questi rientrano la notifica della violazione al Garante entro 72 ore e, nei casi più gravi, la comunicazione dell’accaduto anche agli interessati coinvolti.

Con questa nota il Garante interviene dunque su una pratica divenuta ormai frequente nel settore turistico, riaffermando che gli obblighi di identificazione previsti per ragioni di sicurezza pubblica non possono trasformarsi in una raccolta indiscriminata e prolungata di documenti personali.

Approfondimenti:

• https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10244195