In un caso recentemente esaminato dall’autorità spagnola per la protezione dei dati, questa prassi (tutt’altro che eccezionale) è stata portata alle estreme conseguenze: un cliente, dopo aver rifiutato di inviare la scansione del documento in fase di pre–check-in, si è visto imporre, al momento dell’arrivo in struttura, la consegna del documento per la scansione integrale.
Di fronte al suo rifiuto, accompagnato dalla disponibilità a consentire la verifica visiva e la sola trascrizione dei dati necessari, l’hotel ha deciso di cancellare la prenotazione. La vicenda è stata sottoposta all’esame dell’autorità di controllo, che ha accertato l’illegittimità della richiesta, atteso che la copia del documento contiene un numero di informazioni nettamente superiore a quello preteso dalla normativa di pubblica sicurezza (si pensi a fotografia, data di scadenza, eventuali codici interni, talvolta ulteriori elementi identificativi); e dunque il trattamento risulta sproporzionato rispetto alla finalità perseguita, contrastando con il principio di minimizzazione sancito dall’articolo 5 del GDPR. Per la struttura è seguita una sanzione, nonchè un chiaro monito per il settore.
Il citato caso non è rimasto isolato. L’autorità spagnola (AEPD) ha successivamente adottato una nota esplicativa specifica per le strutture ricettive, chiarendo che la richiesta sistematica di copia del documento di identità degli ospiti non è conforme al GDPR. L’autorità ha sottolineato che le informazioni aggiuntive contenute nel documento di riconoscimento, incrementano il rischio di furto d’identità in caso di violazioni di sicurezza e non sono indispensabili per adempiere agli obblighi di pubblica sicurezza. Vengono invece indicati strumenti alternativi pienamente compatibili con il quadro normativo ovvero la verifica meramente visiva del documento quando l’ospite è fisicamente presente, oppure, nel caso di check-in a distanza, sistemi di autenticazione come certificati digitali, verifiche incrociate con i dati di pagamento, codici inviati al numero di telefono o all’indirizzo e-mail del cliente.
Se sposto lo sguardo sull’Italia, il riferimento normativo è l’articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza. La disposizione impone ai gestori di strutture ricettive l’obbligo di identificare gli alloggiati e di comunicarne le generalità alla questura entro termini precisi.
La norma, tuttavia, non prevede né chiede la fotocopiatura del documento, né la conservazione di copie cartacee o digitali dello stesso. Sul tema il Garante per la protezione dei dati personali si è espresso più volte, chiarendo che l’obbligo del gestore riguarda la raccolta dei dati necessari ed il loro invio all’autorità di pubblica sicurezza, non la creazione di archivi di documenti di identità. Le indicazioni operative rivolte alle strutture ricettive convergono su un modello molto lineare: registrazione degli ospiti, comunicazione tempestiva dei dati alla questura, conservazione dei registri nei limiti dovuti, ma senza allegare o trattenere immagini dei documenti.
Dal punto di vista della disciplina privacy, il nodo centrale resta il principio di minimizzazione dei dati. Come evidenziato, una copia integrale del documento contiene un insieme di informazioni che eccede quanto strettamente necessario all’identificazione dell’ospite ai soli fini di pubblica sicurezza. Inoltre, nella pratica quotidiana, tali copie finiscono spesso in archivi privi di adeguate misure di sicurezza, dai raccoglitori accessibili in reception, alle cartelle condivise in rete senza controlli puntuali, ai supporti rimovibili gestiti in modo informale.
In caso di violazione di dati, l’esposizione al rischio è immediata: con il documento completo, un terzo può tentare di costruire operazioni di furto d’identità, sottoscrivere contratti, aprire rapporti bancari o avviare truffe con un grado di verosimiglianza molto elevato. Non è un caso che le autorità europee, nelle proprie decisioni, leghino sempre più spesso la prassi di acquisire copie integrali dei documenti a scenari concreti di “identity theft”.
Per gli operatori italiani del settore ricettivo, il modello conforme è, in realtà, molto semplice: identificazione del cliente mediante documento valido, raccolta e trasmissione alla questura dei soli dati richiesti dall’articolo 109 TULPS, assenza di archivi sistematici di fotocopie o scansioni dei documenti, progettazione di eventuali procedure di pre–check-in digitale in modo da evitare la conservazione delle immagini una volta registrate le generalità. Si tratta di un approccio che riduce il rischio per gli interessati, tutela le strutture rispetto a possibili violazioni e sanzioni e si allinea al quadro europeo.
In sintesi, mostrare il documento è un dovere, pretenderne la copia integrale non lo è; e questa distinzione, oggi, non è più solo un dettaglio tecnico, ma un elemento essenziale di conformità al GDPR.
Avv. Simona Maruccio
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.