Dopo la comunicazione alle autorità di pubblica sicurezza i dati vanno eliminati, distrutti o cancellati
Le strutture ricettive, alberghi, B&B e affittacamere, non possono conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza. Lo chiarisce il Garante per la protezione dei dati personali in una nota inviata alle associazioni di categoria del settore, anche alla luce dell’aumento di segnalazioni e violazioni dei dati personali registrate negli ultimi tempi.
La normativa vigente, infatti, impone ai gestori delle strutture ricettive di identificare i clienti e di trasmettere i relativi dati alle autorità di pubblica sicurezza tramite il portale “Alloggiati Web”. Tale obbligo, tuttavia, non legittima la conservazione, da parte delle strutture, di fotocopie o immagini dei documenti d’identità. In particolare, la modifica apportata al decreto ministeriale de 7 gennaio 2013 nel 2021, introducendo l’articolo 4 bis, al comma 2, così recita: I gestori delle strutture ricettive sono tenuti alla cancellazione dei dati digitali trasmessi …… non appena generata da parte del sistema la ricevuta di avvenuta comunicazione dei dati, che deve essere conservata per la durata di cinque anni.
L’Authority ci tiene a ribadire che è molto diffusa la pratica di fotografare i documenti con smartphone o di richiederne l’invio tramite applicazioni di messaggistica, come WhatsApp, in particolare modo tra B&B e affittacamere. Comportamenti che, sottolinea il Garante, espongono ingiustificatamente gli interessati a rischi concreti, tra cui furti d’identità e accessi illeciti ai dati personali.
Il Garante sottolinea, inoltre, che è preciso dovere dei titolari del trattamento garantire la sicurezza dei dati personali. Le strutture ricettive devono quindi adottare misure adeguate per la protezione dei dati e istruire correttamente il personale incaricato della loro raccolta e gestione. È stato ricordato, infine, che in caso di violazione dei dati personali – data breach – scattano obblighi specifici, tra cui la notifica al Garante entro 72 ore e, nei casi più gravi, anche la comunicazione della violazione agli interessati.
Nei casi in cui le strutture ricettive dovessero conservare i dati personali degli ospiti al momento della partenza, ciò potrebbe avvenire solo con apposita base giuridica che, in questi casi, potrebbe essere rappresentata dal consenso espresso dall’ospite che ne chiede appositamente la conservazione, per esempio, in visione di una imminente futura visita. Tale trattamento, però, esporrebbe in maniera significativa le strutture che lo dovessero fare poichè dovrebbero assicurare misure di protezione supplementari idonee alla conservazione di tali informazioni sensibili. In ogni caso, questa base giuridica non legittimerebbe la struttura ricettiva che ne sta usufruendo a conservare i dati per un tempo illimitato, poichè il trattamento è soggetto a una scadenza, venendo meno nel tempo la finalità per cui è stato effettuato il trattamento stesso.
Ricordiamo, in questa sede, che proprio nell’estate 2025 un sistema studiato per la notifica degli alloggiati degli hotels online in cloud è stato brecciato e ciò ha comportato la diffusione nel dark web di circa 120 mila scansioni di docs di identità ad alta risoluzione, messi in vendita, con un rischio elevato per i diritti e le libertà delle persone fisiche interessate da tale violazione.
Il Garante, inoltre, tenendo conto che l’attività ricettiva comporta ogni anno il trattamento dei dati personali di milioni di persone, ha invitato le associazioni di categoria a diffondere tra i propri iscritti le indicazioni dell’Authority.
Massimo Bruno