Fotografare, scansionare o farsi inviare il documento di identità degli ospiti può violare il GDPR
Identificazione degli ospiti: l’obbligo c’è, ma non autorizza a conservare copie
Nel settore alberghiero ed extra-alberghiero si è diffusa una prassi molto comune: chiedere agli ospiti di inviare il documento di identità prima dell’arrivo, magari tramite WhatsApp o altre app di messaggistica, oppure fotografarlo o scansionarlo al momento del check-in per velocizzare le operazioni di registrazione. Una modalità apparentemente pratica, soprattutto per chi gestisce B&B, case vacanza e locazioni turistiche, ma che presenta rilevanti criticità sotto il profilo privacy. L’obbligo previsto dalla normativa italiana riguarda l’identificazione dell’ospite e la comunicazione dei dati all’autorità di pubblica sicurezza tramite il portale “Alloggiati Web”, non la conservazione della copia del documento. Il Garante Privacy ha più volte richiamato il principio di minimizzazione, secondo cui il gestore deve trattare solo i dati strettamente necessari per adempiere agli obblighi di legge, senza raccogliere informazioni ulteriori o conservarle oltre il tempo indispensabile. In questa prospettiva, fotografare o archiviare il documento di identità rischia di trasformarsi in un trattamento eccedente, non proporzionato e difficilmente giustificabile sul piano giuridico.
WhatsApp, backup e archivi digitali
La copia del documento contiene dati personali particolarmente delicati, perché consente l’identificazione diretta della persona e può esporre l’ospite a rischi di furto d’identità, accessi abusivi o utilizzi fraudolenti. Ricevere l’immagine del documento tramite WhatsApp, salvarla nella galleria del telefono o conservarla in una cartella digitale significa moltiplicare i punti di vulnerabilità: le immagini possono restare nelle chat, nei backup cloud, nella memoria del dispositivo o essere condivise involontariamente con soggetti non autorizzati. La semplice comodità organizzativa del gestore non basta a fondare una valida base giuridica per conservare tali copie. La procedura corretta dovrebbe quindi limitarsi alla visione del documento, alla registrazione dei soli dati richiesti e alla successiva trasmissione alle autorità competenti, evitando archivi paralleli, raccolte massive e conservazioni “per sicurezza”. Solo in casi eccezionali, sorretti da una specifica esigenza documentata e da un’idonea base giuridica, potrebbe essere valutata l’acquisizione di una copia, che dovrebbe comunque essere protetta con misure adeguate e cancellata nel più breve tempo possibile.
I risvolti in ambito condominiale
Il tema assume rilievo anche in ambito condominiale, soprattutto quando l’attività ricettiva si svolge all’interno di edifici residenziali. Il proprietario che concede l’immobile in locazione breve o lo utilizza come B&B deve gestire i dati degli ospiti in modo autonomo e conforme alla normativa, senza coinvolgere impropriamente l’amministratore, il portiere o altri condòmini. Non è corretto, ad esempio, trasmettere copie dei documenti degli ospiti al referente condominiale o all’amministratore se non esiste una base giuridica precisa. Allo stesso modo, eventuali esigenze di sicurezza dello stabile non legittimano la circolazione indiscriminata di dati personali all’interno del condominio. La gestione dell’ospitalità deve quindi restare distinta dalla vita condominiale, salvo specifici obblighi o regolamenti legittimi. Per i gestori, la soluzione più prudente è adottare procedure chiare, canali sicuri, istruzioni operative per collaboratori e addetti al check-in, oltre a tempi certi di cancellazione dei dati eventualmente trattati. In materia di privacy, raccogliere meno dati non è solo una cautela organizzativa: è spesso la scelta più corretta per ridurre responsabilità, contestazioni e possibili sanzioni.
