La protezione dei dati personali nel contesto dell’accoglienza alberghiera, tema indubbiamente meritevole di attenzione nel nostro Paese a così elevata vocazione turistica, ha acquisito un ruolo di primo piano quest’anno a seguito di un press release con il quale l’Autorità Garante per la protezione dei dati personali ha reso noto di aver avviato un’indagine a seguito della segnalazione di pesanti violazioni dei sistemi informatici di alcune strutture ricettive italiane.
In Italia le strutture alberghiere sono chiamate ad acquisire, nel contesto dell’accoglienza, una notevole quantità di dati personali. La raccolta delle predette informazioni da parte delle strutture ricettive è regolata dalla normativa di pubblica sicurezza con particolare riguardo alla Legge 27 dicembre 1978, n. 677 e il Decreto Ministeriale 7 gennaio 2013 che impongono agli albergatori di registrare i dati identificativi degli ospiti e trasmetterli alle autorità di pubblica sicurezza (art. 109 TULPS).
Indice degli argomenti
Dati degli ospiti, cosa dice la normativa
Il testo dell’art. 109 del TULPS dispone le seguenti previsioni:
- I gestori di esercizi alberghieri e di altre strutture ricettive, comprese quelle che forniscono alloggio in tende, roulotte, nonché i proprietari o gestori di case e di appartamenti per vacanze e gli affittacamere, ivi compresi i gestori di strutture di accoglienza non convenzionali, ad eccezione dei rifugi alpini inclusi in apposito elenco istituito dalla regione o dalla provincia autonoma, possono dare alloggio esclusivamente a persone munite della carta d’identità o di altro documento idoneo ad attestarne l’identità secondo le norme vigenti.
- Per gli stranieri extracomunitari è sufficiente l’esibizione del passaporto o di altro documento che sia considerato ad esso equivalente in forza di accordi internazionali, purché munito della fotografia del titolare.
Grava, pertanto, su ogni gestore l’obbligo di verificare che ogni ospite sia munito di documento di identità e che questo ne attesti esattamente l’identità. Inoltre con Circolare del Ministero dell’Interno (n. 38138 del 18 novembre 2024) è stato chiarito quali siano le modalità che i gestori devono osservare per “attestare l’identità (degli ospiti) secondo le norme vigenti: ovvero l’assolvimento degli obblighi di identificazione degli ospiti gravanti sui gestori delle strutture può solo essere garantito “de visu”, ossia, mediante verifica, effettuata in presenza, della corrispondenza tra la persona alloggiata ed il documento di identità nella disponibilità di quest’ultima.
Gli ambiti di applicazione
Va rilevato che quanto richiesto dalla normativa di pubblica sicurezza si riferisce:
- alla raccolta dei dati identificativi al momento del check-in, tramite visione e annotazione degli estremi del documento di identità;
- comunicazione telematica dei dati alle autorità di pubblica sicurezza entro 24 ore dall’arrivo;
- conservazione dei dati per il tempo strettamente necessario agli obblighi di legge.
Naturalmente i predetti obblighi devono essere adempiuti nel pieno rispetto delle previsioni della protezione dei dati personali ai sensi del Reg.2016/679 “GDPR” cosi come integrato dal decreto legislativo 101/2018. A tale riguardo va rilevato che la richiesta di identificazione non implica che la struttura di ricezione alberghiera sia autorizzata a fotocopiare e conservare il documento d’identità.
La gestione dei documenti d’identità in hotel secondo la legge
Difatti con particolare riguardo alla delicatezza della raccolta dei documenti di identità, considerata la frequenza crescente di attività illecite volte alla sottrazione e vendita di tali documenti, è sempre più evidente quanto sia fondamentale che le strutture che li raccolgono e gestiscono adottino misure rigorose per la protezione e la sicurezza delle informazioni, garantendo non solo un corretto trattamento dei dati, ma anche la salvaguardia dei propri sistemi e portali digitali da accessi non autorizzati.
Tale invito è stato tra l’altro recentemente ribadito dall’AGID (Agenzia per L’Italia Digitale) nel proprio sito istituzionale, rappresentando inoltre che in tale contesto, anche i cittadini hanno un ruolo fondamentale nella protezione della propria identità, invitandoli a verificare periodicamente di non ricevere segnali di utilizzi indebiti dei propri dati – come richieste di credito o apertura di conti non autorizzati – ed evitare la condivisione di copie dei documenti personali su canali non sicuri o non necessari. Ricordando infine in caso di sospetti abusi o furti d’identità, che è sempre opportuno segnalare tempestivamente l’accaduto alle autorità competenti.
La situazione in UE
Facendo un’analisi comparata con alcuni altri Paesi europei, possiamo trovare similitudini con gli obblighi pervisti dalla normativa di Pubblica sicurezza: ad esempio in Spagna, esistono obblighi di legge assimilabili a quelli nostrani – Ley Orgánica 4/2015, de proteción de la seguridad ciudadana che impone alle strutture alberghiere, agli alloggi turistici e agli altri esercizi ricettivi di identificare i propri ospiti e di raccogliere i dati dei loro documenti di identità e – il Regio Decreto 933/2021- che regola l’obbligo di comunicazione alle autorità di pubblica sicurezza delle informazioni relative agli ospiti di alloggi e veicoli a noleggio.
A tale riguardo si precisa che recentemente il Garante per la protezione dei dati spagnolo (AEPD), ha pubblicato una nota informativa che affronta proprio gli aspetti relativi all’identificazione delle persone che devono prenotare una camera d’albergo o affittare un alloggio. Nel documento, l’autorità iberica conferma che la prassi di fotocopiare il documento d’identità del cliente rappresenta una raccolta di informazioni non autorizzata, poiché viola il principio di minimizzazione dei dati previsto dal GDPR e comporta un trattamento di dati personali eccessivo.
Diversamente in Francia, gli albergatori sono tenuti a compilare una fiche d’hôtel per ogni cliente, che va conservata per sei mesi e resa disponibile alle autorità in caso di richiesta (Code de l’entrée et du séjour des étrangers). Tuttavia, la copia del documento non è generalmente richiesta: è sufficiente la registrazione dei dati identificativi. La CNIL (Commission Nationale de l’Informatique et des Libertés) raccomanda di limitare la raccolta ai dati essenziali e di informare sempre il cliente sulle modalità di trattamento.
Altrettanto in Germania, la registrazione degli ospiti è disciplinata dal Meldegesetz, che impone la raccolta di dati identificativi, inclusi nome, indirizzo e nazionalità. La copia del documento di identità non è richiesta, salvo casi eccezionali (es. sospetto di frode). La conservazione dei dati deve essere limitata al periodo previsto dalla legge, generalmente fino alla fine del soggiorno. Le autorità tedesche sottolineano l’importanza di misure tecniche e organizzative per la sicurezza dei dati.
Gestione documenti d’identità in hotel, le indicazioni del Gdpr
Concludendo questa panoramica in merito alla raccolta e alla conservazione dei documenti di identità nelle predette strutture di ricezione alberghiere, si rappresenta che il trattamento rappresenta un equilibrio delicato tra esigenze di sicurezza pubblica e tutela della privacy. Mentre la normativa italiana e spagnola impongono obblighi stringenti, il confronto con Francia, Germania evidenzia un approccio comune alla minimizzazione del dato e alla trasparenza verso il cliente.
Il GDPR costituisce il riferimento fondamentale per tutta l’Unione Europea, imponendo standard elevati di protezione e responsabilità. Per il futuro, si auspica una maggiore armonizzazione tra le legislazioni nazionali e una crescente digitalizzazione dei processi di registrazione, nel rispetto dei principi di privacy by design e privacy by default. Le strutture alberghiere devono continuare a investire in formazione e sicurezza, adottando le best practice indicate e mantenendo alta l’attenzione sulle evoluzioni normative.
