Il Garante per la protezione dei dati personali mette al sicuro l’estate di turisti italiani e internazionali nel nostro Paese con una nota che ribadisce alle associazioni di categoria del settore hospitality il divieto di conservare le copie dei documenti di identità degli ospiti oltre il tempo necessario alla comunicazione dei dati alle autorità di sicurezza competenti.
La comunicazione arriva in risposta non solo al crescente numero di segnalazioni e reclami per le pratiche scorrette seguite dalle strutture ricettive per il trattamento dei dati personali degli ospiti, ma anche alla preoccupazione relativa all’aumento di data breach nel settore, che la scorsa estate ha dovuto affrontare la vendita nel dark web di decine di migliaia di scansioni e foto di documenti trafugati dagli alberghi italiani.
La normativa di settore, infatti, impone ad alberghi, affittacamere e B&B di verificare l’identità degli ospiti al momento dell’arrivo, e trasmetterne i dati identificativi – dati anagrafici ed estremi del documento di identità – alle autorità di sicurezza attraverso la piattaforma dedicata “Alloggiati Web”.
Nessuna menzione specifica, invece, riguardo la raccolta e la conservazione delle copie dei documenti da parte delle strutture che, anzi, la legge richiede espressamente di eliminare una volta avvenuta la comunicazione alle istituzioni competenti.
A mettere a repentaglio la sicurezza dei viaggiatori italiani e stranieri, quindi, sembrano essere stati proprio i comportamenti scorretti degli albergatori e dei gestori di strutture extra-alberghiere. Come segnalato dal Garante stesso, negli ultimi tempi è cresciuta notevolmente “la pratica di fotografare i documenti con smartphone o di richiederne l’invio tramite applicazioni di messaggistica, come WhatsApp”. Un comportamento rischioso, che espone “ingiustificatamente gli interessati a rischi concreti, tra cui furti d’identità e accessi illeciti ai dati personali”.
Indice degli argomenti
Il chiarimento del Garante privacy
Dunque, l’Autorità ribadisce chiaramente che la normativa in vigore non richiede “agli esercenti delle strutture ricettive forme di raccolta e conservazione della copia del documento di identità degli ospiti, al di fuori di quelle meramente strumentali all’inserimento dei dati medesimi nel sistema ‘Alloggiati Web’ e, pertanto, al rilascio, da parte del sistema, della relativa ricevuta di accettazione, a cui deve conseguire, necessariamente, la cancellazione (digitale) o la distruzione (materiale) della copia del documento eventualmente acquisito, qualora ancora trattenuta”.
Nessuna scansione, fotografia o fotocopie dei documenti di identità degli ospiti, quindi, può essere conservata nei sistemi informatici delle strutture, che sono obbligate a istruire il personale dedicato all’accoglienza sulla corretta gestione del trattamento dei dati.
Le foto scattate con dispositivi mobili e il ricorso a servizi di messaggistica istantanea sono vivamente sconsigliati dal Garante, perché non rispettano le norme sulla protezione dei dati, secondo cui il responsabile del trattamento è tenuto ad adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Pertanto, nel caso in cui le strutture subissero una violazione, con conseguente fuga dei dati degli ospiti, spetta a loro stesse provvedere alla “notifica all’autorità di controllo […] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” (art. 33 del GDPR), nonché alla comunicazione della violazione agli interessati (art. 34 del GDPR).
“Il recente richiamo del Garante è ineccepibile sul piano formale, ma conferma una certa lontananza dalle dinamiche reali del settore”, commenta Christian Bernieri, consulente in materia di protezione dei dati personali. “Ci stiamo concentrando sugli effetti ignorando le cause. Oggi un utente è di fatto costretto a cedere la copia del proprio documento se vuole accedere a un check-in flessibile o confermare una prenotazione online; non ha alcun reale potere di opporsi. Dall’altra parte, i gestori, specialmente i più piccoli, sono intrappolati: utilizzano software gestionali a basso costo spesso incompatibili con le nostre normative e privi di adeguate misure di sicurezza, forniti da produttori che scaricano comodamente ogni responsabilità legale sul Titolare del trattamento. Se a questo aggiungiamo le grandi catene internazionali che impongono procedure standardizzate decise all’estero, è evidente che ribadire la norma in modo asettico non basta più. Serve un supporto concreto per adeguare le tecnologie dell’intera filiera”.
La normativa in vigore
L’attuale normativa vigente nel settore dell’hospitality impone ai gestori di alberghi e strutture recettive di dare alloggio solo ed esclusivamente a persone munite di carta di identità o di altro documento.
L’ art. 109 del regio decreto 18 giugno 1931, n. 773 (Testo unico delle leggi di pubblica sicurezza, di seguito “TULPS” o “T.U.”), infatti, impone loro di trasmettere i dati identificativi degli ospiti alle autorità competenti, al fine di mantenere alto il livello di sicurezza nel Paese e di “agevolare l’Autorità di pubblica sicurezza e le forze di polizia in quell’opera di vigilanza sulle persone, che è connessa al dovere di ricercare latitanti o soggetti in genere sospettati di reati” (Corte Costituzionale, sentenza del 16 luglio 1970, n. 144).
La trasmissione dei dati, secondo la normativa (decreto del Ministro dell’Interno del 7 gennaio 2013 recante “Disposizioni concernenti la comunicazione alle autorità di pubblica sicurezza dell’arrivo di persone alloggiate in strutture ricettive”, come modificato dal decreto del Ministro dell’Interno del 16 settembre 2021, può avvenire con due diverse modalità: manualmente, inserendo i dati nel portale “Alloggiati Web” del Ministero dell’Interno, oppure in modo automatizzato, tramite un collegamento tra il gestionale della struttura ricettiva e i sistemi informatici ministeriali.
In entrambi i casi, i gestori delle strutture “sono tenuti alla cancellazione dei dati digitali trasmessi […] e alla distruzione della copia cartacea degli elenchi trasmessi […], non appena generata da parte del sistema la ricevuta di avvenuta comunicazione dei dati, che deve essere conservata per la durata di cinque anni”.
Il precedente: nel dark web i documenti di turisti sottratti agli alberghi italiani
L’allarme sulla sicurezza nel settore delle strutture ricettive era scattato ad agosto dello scorso anno, quando il CERT-AgID ha notificato di aver rilevato la vendita nel dark web di “decine di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento utilizzati dai clienti durante le operazioni di check-in”.
Documenti sottratti dai sistemi informatici di una decina di alberghi italiani, tra cui alcune strutture ricettive di lusso come l’Hotel Sanpi Milano, l’Hotel Mediolanum, il Savoia Resort e l’Astoria Suite Hotel.
In quell’occasione, il Garante per la protezione dei dati personali ha subito palesato la volontà di avviare tutte le verifiche del caso per individuare eventuali violazioni delle normative da parte dei gestori delle strutture.
Da quel momento, l’autorità non è più intervenuta sulla questione, lasciando la sicurezza dei turisti alla mercè dei criminali informatici, che sono arrivati a vendere la scansione di un passaporto italiano alla cifra di 35 dollari.
Ora, alle porte dell’estate, il Garante sembra aver ripreso finalmente la situazione in mano, bacchettando gli albergatori e i gestori di strutture che fino a ora non hanno mai rispettato i protocolli di sicurezza imposti dalla normativa vigente.
“Il Garante Privacy non sta inventando nulla di nuovo, né osando interpretazioni azzardate. Piuttosto, sta ribadendo un limite normativo che dovrebbe essere chiaro, ma che viene tristemente ignorato e persino accettato da interessati o inconsapevoli o noncuranti, creando così problemi di liceità e di sicurezza”, sottolinea Stefano Gazzella, consulente Privacy & ICT Law.
“L’aspetto della liceità si riscontra, infatti, nel non dover essere assoggettato a richieste illecite di rilascio dei propri documenti di identità: cosa che viene spesso imposta come condizione per perfezionare la prenotazione, come se potesse essere oggetto di previsione contrattuale”, continua Gazzella.
Che conclude: “L’aspetto della sicurezza è chiaro quando si creano archivi di documenti di identità, spesso addirittura dispersi in comunicazioni di messaggistica o e-mail, che diventano bersagli particolarmente appetibili per i cybercriminali. La conseguenza è l’esposizione a rischi significativi per gli interessati. E dal momento che questi aspetti sono o sottostimati o ignorati, l’Authority ha dovuto produrre la nota di chiarimento direttamente nei confronti delle associazioni di categoria. Forse nell’auspicio che queste indicazioni vengano seguite, evitando così il ripetersi di un altro data breach e l’esposizione dei documenti degli ospiti delle strutture ricettive”.
