Negli ultimi mesi il tema della gestione dei documenti personali tramite smartphone e applicazioni di messaggistica è tornato al centro dell’attenzione del Garante per la Protezione dei Dati Personali.

Con una recente nota di chiarimento, l’Autorità è intervenuta sulle modalità di raccolta e trattamento dei documenti di identità da parte di strutture ricettive ed affitti brevi, richiamando l’attenzione sui rischi legati all’utilizzo di strumenti come WhatsApp per l’invio e la conservazione delle immagini dei documenti degli ospiti.

Una presa di posizione che riguarda l’intero comparto turistico e ricettivo: hotel, B&B, affittacamere, case vacanza, locazioni turistiche e property manager.

---

Perché il Garante per la Protezione dei Dati Personali è intervenuto

Secondo quanto evidenziato dal Garante Privacy, negli ultimi tempi si è registrato un forte aumento di:

• segnalazioni e reclami;
• episodi di violazione dei dati personali;
• utilizzo improprio delle copie dei documenti.

Il problema principale riguarda la sicurezza dei dati personali degli ospiti. La conservazione non corretta delle immagini dei documenti può infatti aumentare il rischio di:

• furto d’identità;
• accessi non autorizzati;
• diffusione accidentale dei dati;
• data breach con obbligo di notifica al Garante.

---

Cosa prevede la normativa

La normativa italiana impone alle strutture ricettive ed agli affitti brevi l’obbligo di identificare gli ospiti e comunicare i relativi dati attraverso il sistema Alloggiati Web.

Tuttavia, il Garante chiarisce un aspetto fondamentale:

l’obbligo riguarda la comunicazione dei dati e non la conservazione delle copie dei documenti.

La base giuridica del trattamento è rappresentata dall’adempimento di un obbligo di legge previsto dall’articolo 109 del TULPS.

Questo significa che le strutture possono utilizzare i dati contenuti nel documento esclusivamente per effettuare la comunicazione obbligatoria alle autorità competenti.

---

Foto dei documenti via WhatsApp: cosa dice il Garante

Nella nota viene richiamata espressamente la prassi, molto diffusa, di richiedere agli ospiti fotografie del documento tramite WhatsApp o altri sistemi di messaggistica.

Il Garante invita le strutture ad evitare modalità di raccolta che non garantiscano adeguati livelli di sicurezza e richiama il principio di minimizzazione dei dati previsto dal GDPR.

In particolare, l’Autorità raccomanda di evitare la conservazione delle immagini dei documenti oltre il tempo necessario.

---

Quando devono essere cancellati i documenti

Il decreto ministeriale richiamato dal Garante stabilisce che i dati digitali trasmessi devono essere cancellati e le eventuali copie cartacee distrutte subito dopo la generazione della ricevuta di avvenuta comunicazione tramite Alloggiati Web.

In sostanza:

1. il documento viene utilizzato per identificare l’ospite;
2. i dati vengono trasmessi alla Questura;
3. eventuali copie devono essere eliminate senza ritardi.

La ricevuta della trasmissione, invece, deve essere conservata per cinque anni.

---

I rischi per le strutture ricettive

L’utilizzo non corretto dei documenti personali può comportare conseguenze importanti sotto il profilo privacy e organizzativo.

Tra i principali rischi:

• sanzioni GDPR;
• obblighi di notifica in caso di violazione dei dati;
• responsabilità nella gestione delle informazioni personali;
• danni reputazionali;
• esposizione a contestazioni da parte degli ospiti.

Particolare attenzione deve essere prestata a:

• smartphone personali utilizzati per il check-in;
• backup automatici nel cloud;
• archivi fotografici condivisi;
• software PMS non adeguatamente configurati;
• accessi non autorizzati ai dati degli ospiti.

---

Le indicazioni operative del Garante

Nelle conclusioni della nota, il Garante richiama strutture ricettive ed affitti brevi ad una gestione più corretta e responsabile dei dati personali.

Le principali indicazioni operative riguardano:

• Formazione del personale: gli addetti devono ricevere istruzioni precise sul trattamento dei documenti e sul divieto di conservare copie non necessarie.
• Trasparenza verso gli ospiti: le strutture devono spiegare chiaramente come vengono raccolti e trattati i dati personali.
• Controllo dei fornitori: occorre verificare che software gestionali e sistemi di check-in rispettino il GDPR
• Riduzione della circolazione dei documenti: l’obiettivo indicato dal Garante è limitare al minimo indispensabile la diffusione e la conservazione delle copie dei documenti di identità.

La nota del Garante Privacy rappresenta un richiamo importante per tutto il comparto dell’ospitalità.

La digitalizzazione del check-in e la diffusione dei sistemi di self check-in hanno semplificato molte procedure operative, ma richiedono oggi maggiore attenzione nella gestione dei dati personali.

Per strutture ricettive ed affitti brevi diventa quindi fondamentale adottare procedure conformi al GDPR, riducendo l’utilizzo di strumenti non adeguati e garantendo standard più elevati di sicurezza e protezione dei dati.