La nota del Garante chiarisce con fermezza un aspetto cruciale della gestione dei dati personali nel settore ricettivo, ribadendo che alberghi, B&B e affittacamere non possono conservare copie o immagini dei documenti d’identità degli ospiti oltre il tempo strettamente necessario per la finalità di comunicazione alle autorità di pubblica sicurezza. Questa precisazione è fondamentale per rafforzare la cultura della protezione dei dati e prevenire comportamenti rischiosi, quali la fotografia o l’invio di copie tramite strumenti non sicuri come smartphone o applicazioni di messaggistica.
L’obbligo di identificazione e di trasmissione dei dati tramite il portale “Alloggiati Web” si configura come un adempimento normativo chiaro e limitato alla sola finalità di comunicazione, senza alcun diritto di conservare copie dei documenti. La richiesta di immediata cancellazione o distruzione di eventuali copie una volta completata la trasmissione è un principio essenziale per limitare i rischi di violazione e di utilizzo improprio dei dati.
Inoltre, il richiamo alla necessità di adottare misure di sicurezza adeguate da parte dei titolari del trattamento sottolinea l’importanza di un approccio proattivo alla protezione dei dati personali, in linea con i principi di minimizzazione e sicurezza previsti dal GDPR. La corretta formazione del personale e la predisposizione di procedure interne sono strumenti imprescindibili per garantire il rispetto della normativa.
Infine, il richiamo alle obbligazioni in caso di data breach – notifica entro 72 ore e comunicazione agli interessati – evidenzia la gravità di una gestione corretta dei dati e la responsabilità degli operatori del settore. È auspicabile che le associazioni di categoria, a cui il Garante invita a diffondere queste indicazioni, svolgano un ruolo attivo nel sensibilizzare gli operatori ricettivi, contribuendo a creare un ambiente più sicuro e conforme alle normative vigenti.
In conclusione, questa comunicazione rappresenta un importante stimolo per rafforzare le buone pratiche di gestione dei dati personali nel settore ricettivo, tutelando sia i clienti che le strutture stesse da rischi e sanzioni. È responsabilità di tutti gli attori coinvolti adottare un approccio consapevole e conforme alle norme, promuovendo la cultura della privacy come elemento imprescindibile della qualità dell’offerta ricettiva.
COMUNICATO STAMPA - Garante privacy ad albergatori: no alla conservazione di copia dei documenti degli ospiti. Dopo la comunicazione alle autorità di pubblica sicurezza i dati vanno distrutti o cancellati
Alberghi, B&B e affittacamere non possono conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza. Lo chiarisce il Garante per la protezione dei dati personali in una nota inviata alle associazioni di categoria del settore, anche alla luce dell’aumento di segnalazioni e violazioni dei dati personali registrate negli ultimi mesi.
La normativa vigente impone ai gestori delle strutture ricettive di identificare i clienti e di trasmettere i relativi dati alle autorità di pubblica sicurezza tramite il portale “Alloggiati Web”. Tale obbligo, tuttavia, non legittima la conservazione, da parte delle strutture, di fotocopie o immagini dei documenti d’identità.
Negli ultimi tempi si è diffusa, soprattutto tra B&B e affittacamere, la pratica di fotografare i documenti con smartphone o di richiederne l’invio tramite applicazioni di messaggistica, come WhatsApp. Comportamenti che, sottolinea il Garante, espongono ingiustificatamente gli interessati a rischi concreti, tra cui furti d’identità e accessi illeciti ai dati personali.
L’Autorità ribadisce che, come previsto da un obbligo normativo, una volta completata la trasmissione dei dati alle autorità di pubblica sicurezza, eventuali copie dei documenti acquisite per tale finalità devono essere immediatamente cancellate o distrutte. L’unico elemento che può essere conservato è la ricevuta dell’avvenuta comunicazione, prodotta automaticamente dal portale, da conservare per cinque anni al fine di comprovare l’adempimento.
Il Garante sottolinea, inoltre, che è preciso dovere dei titolari del trattamento garantire la sicurezza dei dati personali. Le strutture ricettive devono quindi adottare misure adeguate per la protezione dei dati e istruire correttamente il personale incaricato della loro raccolta e gestione.
È stato ricordato, infine, che in caso di violazione dei dati personali - data breach - scattano obblighi specifici, tra cui la notifica al Garante entro 72 ore e, nei casi più gravi, anche la comunicazione della violazione agli interessati.
Le associazioni di categoria sono state invitate a diffondere tra i propri iscritti le indicazioni dell’Autorità, tenuto conto che l’attività ricettiva comporta ogni anno il trattamento dei dati personali di milioni di persone.
Roma, 29 aprile 2026
Nessun commento:
Posta un commento