È arrivato il momento di fare chiarezza su una pratica illegale troppo diffusa
Fotocopiare la carta d'identità alla reception o chiedere una foto su WhatsApp per il pre check-in è diventata un'abitudine consolidata. Ma attenzione: il Garante per la protezione dei dati personali ha alzato un muro invalicabile contro queste procedure, inviando una nota durissima alle associazioni di categoria del turismo.
In questo articolo esploreremo nel dettaglio cosa dice la legge, quali sono i rischi reali (per noi e per i clienti) e come dobbiamo adeguare le nostre procedure per evitare sanzioni pesantissime.
Il divieto assoluto: cosa dice il Codice della Privacy
Partiamo da una regola chiara e senza deroghe: le strutture ricettive hanno il solo compito di identificare l'ospite per comunicare i dati allo Stato. Qualsiasi altra azione, come conservare fotocopie o file digitali delle carte d'identità, è un comportamento che viola apertamente il Codice della Privacy (d.lgs. 196/2003) e il regolamento europeo GDPR.
La legge ci permette esclusivamente di visionare il documento per accertarci che la persona che abbiamo davanti sia davvero chi dice di essere.
Non esiste, in nessun caso, il diritto di creare un archivio con le immagini dei documenti. Il Garante ha precisato che trattenere una copia cartacea o digitale è un abuso ingiustificato, che non trova alcun fondamento giuridico nelle attuali norme di sicurezza nazionale.
Alloggiati Web: l'unica procedura consentita
Come ben sappiamo, il T.U.L.P.S. (Testo Unico delle Leggi di Pubblica Sicurezza) ci impone di trasmettere le generalità di chi pernotta alla Polizia di Stato. L'unico scopo legale per cui raccogliamo questi dati è l'inserimento nel portale telematico Alloggiati Web.
Come agire correttamente in reception
Se il receptionist trascrive i dati su un foglio o li inserisce direttamente a computer mentre il cliente si trova davanti a lui, sta operando in totale legalità.
L'errore da non fare
Chiedere all'ospite di lasciarci il documento per "fotocopiarlo con calma" è invece una palese violazione della legge. Una volta che i dati (nome, cognome, data di nascita ed estremi del documento) sono inseriti nel sistema ministeriale, la nostra funzione di controllo termina categoricamente.
La trappola di WhatsApp e del Self Check-in
Negli ultimi anni, specialmente per chi gestisce piccoli B&B e affitti brevi, si è diffusa la pratica di richiedere la foto della carta d'identità tramite WhatsApp o altre app di messaggistica. Questa condotta è un campo minato.
Le immagini inviate via chat rimangono memorizzate nelle gallerie fotografiche dei nostri smartphone personali e sui server delle piattaforme stesse.
Se il nostro telefono subisce un furto, viene smarrito, o è vittima di un accesso illecito, i dati sensibili dei nostri ospiti diventano preziosa merce di scambio per i criminali informatici. Questo espone i cittadini a un furto d'identità quasi certo: un malintenzionato potrebbe usare quelle foto per aprire conti correnti o richiedere prestiti, lasciando l'ospite con debiti enormi e innescando battaglie legali infinite.
Distruzione immediata e conservazione: le regole da seguire
Cosa dobbiamo fare se, per esigenze operative transitorie, acquisiamo una copia temporanea per la registrazione? L'Autorità è categorica: non appena la trasmissione al portale Alloggiati Web va a buon fine, le copie acquisite devono subire una cancellazione immediata o una distruzione fisica.
Non esiste alcun "tempo di latenza" o "attesa" tollerata.
L'unica cosa che abbiamo il diritto e il preciso dovere di conservare nel nostro archivio è la ricevuta digitale prodotta automaticamente dal sistema Alloggiati Web. Questa ricevuta dimostra agli organi di controllo che abbiamo adempiuto ai nostri obblighi, ma non contiene mai le foto dei documenti dei clienti, solo la prova della corretta trasmissione.
Ricordatevi che questa certificazione va conservata per cinque anni per finalità di prova, ma senza mai allegare le fotocopie degli ospiti.
Rischio Data Breach: le sanzioni e le contromisure
La gestione superficiale di queste informazioni comporta responsabilità gravissime. Se subiamo un accesso non autorizzato ai sistemi o perdiamo lo smartphone con le foto dei clienti, si verifica un data breach (violazione dei dati).
In questo scenario catastrofico, siamo obbligati a notificare l'incidente al Garante entro 72 ore e, nei casi a rischio elevato, dobbiamo avvisare personalmente ogni singolo cliente coinvolto. Chi ignora queste regole rischia sanzioni pecuniarie pesantissime.
Le misure che ogni host deve adottare immediatamente
Per garantire la massima sicurezza e professionalità, ecco le misure tecniche e organizzative indispensabili:
Utilizzare esclusivamente sistemi di inserimento dati criptati
Evitare severamente l'uso di dispositivi o smartphone personali per scopi lavorativi (e viceversa)
Procedere periodicamente alla pulizia e bonifica dei database digitali
Formare continuamente i dipendenti e i collaboratori sulle corrette procedure di smaltimento dei documenti cartacei
Implementare un guestbook digitale conforme al GDPR per la gestione del check-in
Non conservare mai foto di documenti nelle chat o nelle gallerie fotografiche