La pratica di scansionare o fotografare i documenti d’identità degli ospiti è illegittima: dopo la comunicazione al portale “Alloggiati Web”, i dati devono essere immediatamente cancellati. Ecco le indicazioni operative dell’Autorità.
Il Garante per la protezione dei dati personali ha inviato una nota ufficiale alle associazioni di categoria del settore turistico-ricettivo, accendendo un riflettore su una pratica sempre più diffusa – e non conforme alla normativa – tra hotel, B&B e affittacamere: la conservazione delle copie (fotocopie o foto digitali) dei documenti d’identità degli ospiti.
L’obbligo di legge vs. la protezione dei dati
Indice argomenti
La normativa vigente impone ai gestori delle strutture ricettive l’obbligo di identificare i propri clienti e di trasmettere i dati alle autorità di pubblica sicurezza tramite il portale telematico “Alloggiati Web”.
Tuttavia, il Garante chiarisce un punto fondamentale: questo obbligo non legittima la conservazione di fotocopie o scansioni dei documenti. Una volta effettuata la comunicazione, il trattamento dei dati per tale finalità si considera concluso.
Qualsiasi copia acquisita (che sia una fotocopia cartacea o una foto scattata con smartphone) deve essere immediatamente distrutta o cancellata.
I rischi della digitalizzazione selvaggia
L’Autorità ha espresso particolare preoccupazione per la tendenza, riscontrata soprattutto in realtà come B&B e affittacamere, di richiedere l’invio dei documenti tramite applicazioni di messaggistica istantanea come WhatsApp.
Questa modalità di raccolta espone i turisti a rischi gravissimi, tra cui:
Furto d’identità: i dati sensibili diventano vulnerabili in caso di smarrimento del dispositivo o accesso non autorizzato.
Data Breach: la conservazione prolungata e non sicura di immagini di documenti aumenta esponenzialmente la superficie di attacco per eventuali violazioni.
Cosa devono conservare, allora, gli albergatori?
Se le copie dei documenti vanno eliminate, cosa resta negli archivi della struttura? L’unico documento che le strutture hanno l’obbligo di conservare è la ricevuta dell’avvenuta comunicazione, prodotta automaticamente dal portale “Alloggiati Web”.
Questa attestazione va conservata per cinque anni, periodo necessario per comprovare l’adempimento in caso di controlli.
Responsabilità e Data Breach
Il Garante ricorda che i titolari delle strutture ricettive sono i primi responsabili della sicurezza dei dati. È dovere del management:
Adottare misure tecniche e organizzative adeguate per proteggere le informazioni trattate.
Formare il personale incaricato della raccolta, affinché le procedure siano rispettose della privacy fin dal primo contatto con l’ospite.
È bene tenere a mente che, in caso di violazione dei dati (data breach), la struttura è tenuta a notificare l’evento al Garante entro 72 ore e, nei casi più gravi, a darne comunicazione diretta agli interessati.
Con milioni di turisti che soggiornano ogni anno in Italia, il settore ricettivo gestisce una mole enorme di dati sensibili.
L’invito del Garante è rivolto direttamente alle associazioni di categoria: l’obiettivo è promuovere una cultura della privacy che non sia solo un adempimento burocratico, ma un segno di professionalità e rispetto verso l’ospite.
📌 È il momento di rivedere i processi di check-in della vostra struttura. Assicuratevi che il vostro personale sia informato e che non vengano archiviate immagini di documenti sui dispositivi aziendali o personali. La tutela dei dati è parte integrante dell’accoglienza di qualità.
Per approfondire nel dettaglio le disposizioni dell’Autorità, è possibile consultare il comunicato ufficiale disponibile sul sito del Garante della Privacy.
Non perdere nessun aggiornamento sulle normative e sulle ultime tendenze del settore ricettivo, iscriviti alla newsletter di Direzione Hotel e resta sempre un passo avanti.
