Negli ultimi tempi al Garante per la protezione dei dati personali è stata segnalata più volte la prassi, diffusa soprattutto tra gestori di strutture extra-alberghiere deputate agli affitti brevi (quali case vacanze, affittacamere e c.d. “bed & breakfast”), di acquisire e conservare immagini dei documenti di identità mediante fotografie scattate con dispositivi mobili ovvero tramite invio attraverso servizi di messaggistica istantanea, quali WhatsApp.
Per "affitto breve" — si rammenta — deve intendersi una locazione di durata inferiore ai 30 giorni, regolata da apposito contratto, detto contratto di locazione breve ad uso turistico, in cui il proprietario concede all'inquilino l'uso dell'immobile arredato, di solito con biancheria e asciugamani.
Parallelamente, si è registrato un aumento degli episodi di violazione dei dati personali (data breach) in tale ambito, talvolta caratterizzati dall’esfiltrazione di ingenti quantità di dati, inclusi quelli contenuti nelle copie dei documenti di identità degli alloggiati.
Un approccio non conforme nella raccolta e conservazione dei dati connessi all’identificazione degli ospiti può determinare rilevanti rischi per i diritti e le libertà degli interessati, aumentando in modo significativo l’esposizione a fenomeni illeciti quali il furto di identità. Di qui la necessità di fornire chiarimenti, volti a limitare la circolazione e la conservazione delle copie dei documenti di identità allo stretto necessario per l’adempimento degli obblighi di legge.
La normativa di settore — ricorda il Garante per la privacy — prevede che i gestori di esercizi alberghieri e di altre strutture ricettive possano ospitare esclusivamente persone munite di un valido documento di identità.
Tale obbligo trova fondamento nell’art. 109 del regio decreto 18 giugno 1931, n. 773, il Testo unico delle leggi di pubblica sicurezza (TULPS), che impone agli esercenti di comunicare all’autorità di pubblica sicurezza le generalità delle persone alloggiate, incluse quelle ospitate presso strutture non convenzionali.
La disposizione risponde a finalità di ordine e sicurezza pubblica: i dati raccolti mediante le cc.dd. “schedine di albergo” assumono infatti rilievo sia per attività di prevenzione generale dei reati, sia per finalità operative di polizia. In tal senso si è espressa anche la Corte Costituzionale nella sentenza 16 luglio 1970, n. 144, evidenziando come la tracciabilità dei movimenti delle persone costituisca uno strumento funzionale alle attività di vigilanza e investigazione.
Le modalità di comunicazione dei dati sono disciplinate da appositi decreti ministeriali, che prevedono l’invio delle informazioni attraverso il portale telematico “Alloggiati Web” del Ministero dell’Interno, sia mediante inserimento manuale sia tramite integrazione con i sistemi gestionali delle strutture ricettive (Property Management System).
Dopo aver trasmesso le informazioni alle autorità, le strutture sono tenute — come ribadito dal Garante — ad eliminare o distruggere eventuali copie dei documenti. Devono invece conservare esclusivamente la ricevuta che attesta l'avvenuta comunicazione, generata dal portale, per un periodo di cinque anni.
Per "affitto breve" — si rammenta — deve intendersi una locazione di durata inferiore ai 30 giorni, regolata da apposito contratto, detto contratto di locazione breve ad uso turistico, in cui il proprietario concede all'inquilino l'uso dell'immobile arredato, di solito con biancheria e asciugamani.
Parallelamente, si è registrato un aumento degli episodi di violazione dei dati personali (data breach) in tale ambito, talvolta caratterizzati dall’esfiltrazione di ingenti quantità di dati, inclusi quelli contenuti nelle copie dei documenti di identità degli alloggiati.
Un approccio non conforme nella raccolta e conservazione dei dati connessi all’identificazione degli ospiti può determinare rilevanti rischi per i diritti e le libertà degli interessati, aumentando in modo significativo l’esposizione a fenomeni illeciti quali il furto di identità. Di qui la necessità di fornire chiarimenti, volti a limitare la circolazione e la conservazione delle copie dei documenti di identità allo stretto necessario per l’adempimento degli obblighi di legge.
La normativa di settore — ricorda il Garante per la privacy — prevede che i gestori di esercizi alberghieri e di altre strutture ricettive possano ospitare esclusivamente persone munite di un valido documento di identità.
Tale obbligo trova fondamento nell’art. 109 del regio decreto 18 giugno 1931, n. 773, il Testo unico delle leggi di pubblica sicurezza (TULPS), che impone agli esercenti di comunicare all’autorità di pubblica sicurezza le generalità delle persone alloggiate, incluse quelle ospitate presso strutture non convenzionali.
La disposizione risponde a finalità di ordine e sicurezza pubblica: i dati raccolti mediante le cc.dd. “schedine di albergo” assumono infatti rilievo sia per attività di prevenzione generale dei reati, sia per finalità operative di polizia. In tal senso si è espressa anche la Corte Costituzionale nella sentenza 16 luglio 1970, n. 144, evidenziando come la tracciabilità dei movimenti delle persone costituisca uno strumento funzionale alle attività di vigilanza e investigazione.
Le modalità di comunicazione dei dati sono disciplinate da appositi decreti ministeriali, che prevedono l’invio delle informazioni attraverso il portale telematico “Alloggiati Web” del Ministero dell’Interno, sia mediante inserimento manuale sia tramite integrazione con i sistemi gestionali delle strutture ricettive (Property Management System).
Dopo aver trasmesso le informazioni alle autorità, le strutture sono tenute — come ribadito dal Garante — ad eliminare o distruggere eventuali copie dei documenti. Devono invece conservare esclusivamente la ricevuta che attesta l'avvenuta comunicazione, generata dal portale, per un periodo di cinque anni.
Il Garante richiama, inoltre, i titolari del trattamento all'obbligo di garantire la sicurezza dei dati personali: è necessario adottare misure adeguate e formare il personale sulla corretta gestione delle informazioni. In caso di violazione dei dati personali, entrano in vigore specifici obblighi, tra cui la notifica al Garante entro 72 ore e, nei casi più gravi, la comunicazione diretta agli interessati. Le associazioni di categoria, destinatarie della nota di chiarimento, sono ora chiamate a diffondere queste indicazioni tra i propri iscritti, considerando che il settore ricettivo gestisce ogni anno i dati di milioni di persone, soprattutto nelle aree a forte vocazione turistica.
