Il Garante per la protezione dei dati personali ha richiamato l’attenzione dei gestori di strutture ricettive sulla necessità di rispettare le corrette modalità di trattamento dei documenti di identità degli ospiti, evidenziando i rischi per i diritti e le libertà degli interessati connessi con alcune modalità non corrette di raccolta e conservazione dei dati necessari all’identificazione degli ospiti.
L’Ufficio del Garante ha registrato infatti un aumento delle segnalazioni e dei reclami concernenti le modalità di raccolta dei dati contenuti nei documenti di identità degli alloggiati, oltre ad un incremento degli episodi di violazione dei dati personali (data breach) in questo ambito, con eventi che hanno talvolta comportato l’esfiltrazione di una rilevante quantità di dati relativi a copie di documenti d’identità degli ospiti di strutture ricettive.
È stata oggetto di segnalazione al Garante anche la prassi di alcune strutture ricettive (in particolare, da parte dei proprietari o gestori di case e di appartamenti per vacanze od affittacamere o b&b) di raccogliere (e archiviare) l’immagine dei documenti di identità, mediante l’effettuazione di foto con dispositivi mobili oppure l’invio attraverso servizi di messagistica istantanea (ad esempio “whatsapp”), che il Garante ritiene non corretta.
Il Garante ha quindi fornito alcune indicazioni al fine limitare la circolazione delle copie di documenti di identità allo stretto necessario per adempiere agli obblighi normativi in materia di identificazione degli alloggiati.
CORRETTE MODALITÀ DI TRATTAMENTO DEI DOCUMENTI DI IDENTITÀ DEGLI OSPITI
Il Garante ricorda come la normativa vigente (articolo 109 Tulps) stabilisce che i gestori di esercizi alberghieri e di altre strutture ricettive, comprese quelle cosiddette non convenzionali (e quindi anche le locazioni brevi e turistiche) possano dare alloggio esclusivamente a persone munite della carta d’identità o di altro documento idoneo ad attestarne l’identità secondo le norme vigenti.
I gestori hanno poi l’obbligo di trasmettere i dati identificativi degli ospiti all’autorità di pubblica sicurezza, secondo modalità stabilite con decreto del Ministro dell’Interno (decreto del Ministro dell’Interno del 7 gennaio 2013 recante “Disposizioni concernenti la comunicazione alle autorità di pubblica sicurezza dell’arrivo di persone alloggiate in strutture ricettive”, come modificato dal decreto del Ministro dell’Interno del 16 settembre 2021).
Ai sensi della normativa sulla protezione dei dati personali (articolo 6, paragrafo 1, lettera c GDPR) i gestori sono quindi legittimati ad effettuare il trattamento dei dati personali degli ospiti, che comprendono i dati anagrafici e gli estremi del documento di identità esibito.
Tale attività può essere effettuata manualmente, da un addetto all’accoglienza che inserisce tali dati nel portale pubblico “Alloggiati Web” del Ministero dell’Interno, oppure, in modo automatizzato, attraverso un collegamento tra i sistemi gestionali delle strutture ricettive e i sistemi informatici del Ministero dell’Interno.
Il Garante evidenzia però che l’obbligo legale previsto dall’articolo 109 Tulps attiene alla “comunicazione” dei dati da parte dell’esercente all’Autorità di PS, senza che ciò comporti quindi anche la necessità della conservazione dei predetti dati, presso la struttura ricettiva, in quanto la conservazione dei dati comunicati è effettuata, per un periodo pari a 5 anni, sui sistemi del Ministero dell’Interno.
Il decreto ministeriale attuativo stabilisce infatti che i gestori sono tenuti alla cancellazione dei dati digitali, e alla eventuale distruzione degli elenchi cartacei, trasmessi secondo le modalità previste, non appena generata da parte del sistema la ricevuta di avvenuta comunicazione dei dati, che deve essere conservata per la durata di cinque anni.
ADOZIONE DI MISURE DI SICUREZZA NEL TRATTAMENTO E OBBLIGO DI CANCELLAZIONE DEI DATI
La vigente normativa in materia di pubblica sicurezza non richiede quindi agli esercenti delle strutture ricettive forme di raccolta e conservazione della copia del documento di identità degli ospiti, al di fuori di quelle meramente strumentali all’inserimento dei dati medesimi nel sistema “Alloggiati Web” e, pertanto, al rilascio, da parte del sistema, della relativa ricevuta di accettazione, a cui deve conseguire, necessariamente, la cancellazione (digitale) o la distruzione (materiale) della copia del documento eventualmente acquisito, qualora ancora trattenuta.
Il Garante ricorda inoltre che il GDPR stabilisce importanti obblighi in materia di sicurezza del trattamento “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Il titolare del trattamento e il responsabile del trattamento devono infatti mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dei rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Da ultimo, il Garante ricorda che in caso di violazione dei dati personali (data breach), con perdita di riservatezza delle immagini dei documenti d’identità della clientela, la struttura ricettiva deve provvedere alla “notifica all’autorità di controllo” senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza (articolo 33 del GDPR), nonché alla comunicazione della violazione agli interessati (articolo 34 del GDPR).
INDICAZIONI DEL GARANTE PER UN CORRETTO TRATTAMENTO
Il Garante ritiene quindi opportuno richiamare le strutture ricettive, soggette agli obblighi di comunicazione dei dati dei documenti di identità degli alloggiati, per finalità di pubblica sicurezza, al corretto adempimento della disciplina di settore e, in particolare, al rispetto della normativa in materia di protezione dei dati personali, e ciò mediante:
– adeguata responsabilizzazione del personale addetto alla raccolta ed al trattamento dei dati personali degli ospiti, a cui, in particolare, occorre fornire puntuali istruzioni sul divieto di effettuare o trattenere copie (analogiche o digitali) dei documenti di identità, successivamente all’effettuazione delle comunicazioni di legge;
– chiara rappresentazione agli ospiti delle informazioni sulla logica e le modalità di raccolta ed utilizzo del dato relativo ai documenti personali. Qualora le operazioni di check-in siano svolte mediante l’utilizzo di dispositivi capaci di acquisire e conservare copia digitale del documento di identità, in particolare, occorrerà chiarire che la struttura non procederà ad archiviare le immagini degli stessi;
– opportuna regolazione, ai sensi dall’articolo 28 del GDPR, dei rapporti con i fornitori dei servizi di gestione delle prenotazioni alberghiere e dei servizi eventualmente utilizzati per l’acquisizione dei dati relativi ai documenti d’identità, prestando particolare attenzione alle modalità di trattamento di questi ultimi e definendo efficaci modalità di comunicazione in caso di violazione dei dati personali;
– raccolta dei dati dei documenti d’identità senza effettuare foto con dispositivi mobili o fare ricorso a servizi di messagistica istantanea (ad. es. “whatsapp”), o comunque evitando il ricorso a modalità che non presentano le caratteristiche idonee al rispetto della normativa richiamata.
GPDP COMUNICAZIONE CHIARIMENTI TRATTAMENTO DOCUMENTI IDENTITA’ ALLOGGIATI
