Non cambia la sostanza normativa, ma cambia la percezione. L’ultima nota diffusa dal Garante per la protezione dei dati personali agli operatori del turismo interviene su una prassi ormai diffusa — la raccolta e l’archiviazione delle copie dei documenti — e riporta il tema entro i confini già fissati dalla legge. Con un punto che molti titoli delle ultime ore hanno trascurato: acquisire una copia del documento è dunque possibile, purché sia strettamente funzionale all’adempimento e venga distrutta subito dopo.
Il chiarimento arriva a seguito di un aumento di segnalazioni e di casi di violazione dei dati personali nel comparto ricettivo. Alberghi, B&B e affittacamere sono obbligati a identificare gli ospiti e a trasmetterne i dati alle autorità di pubblica sicurezza. Ma questo obbligo, precisa il Garante, non implica la conservazione delle copie dei documenti.
Cosa prevede la normativa
Il riferimento resta l’articolo 109 del Testo unico delle leggi di pubblica sicurezza, che impone la comunicazione dei dati degli alloggiati tramite il portale “Alloggiati Web” del Ministero dell’Interno. La base giuridica del trattamento è quindi un obbligo di legge. Il passaggio chiave riguarda però la distinzione tra raccolta e conservazione. I dati devono essere comunicati. Non devono essere trattenuti oltre il tempo necessario a farlo. La conservazione, infatti, è già garantita dai sistemi del Ministero, che archiviano le informazioni per finalità di sicurezza.
Il punto che cambia la lettura
Nel settore è sempre stata prevalente l’idea che non fosse possibile nemmeno fotografare o farsi inviare i documenti. Il Garante non dice questo. Stabilisce invece che eventuali copie — digitali o cartacee — possono essere acquisite solo come passaggio tecnico per inserire i dati nel sistema. Una volta completata la trasmissione, quelle copie devono essere cancellate o distrutte senza ritardi.
È qui che si inserisce l’interpretazione più operativa per il settore: non un divieto assoluto di acquisizione, ma un limite rigoroso alla conservazione. In altre parole, la copia è tollerata come strumento, non come archivio.
Le pratiche sotto osservazione
La nota richiama esplicitamente alcune abitudini diffuse, soprattutto nell’extralberghiero: foto dei documenti con smartphone, invio via WhatsApp o altre app di messaggistica, archiviazione su dispositivi personali o cloud non protetti. Secondo l’Autorità, queste modalità espongono gli interessati a rischi concreti, in particolare furti di identità e accessi illeciti. Non solo. In caso di violazione dei dati, scattano obblighi stringenti per il titolare del trattamento: notifica entro 72 ore e, nei casi più gravi, comunicazione agli interessati.
Cosa può essere conservato
L’unico elemento che le strutture possono mantenere è la ricevuta generata dal sistema “Alloggiati Web”, che certifica l’avvenuta comunicazione dei dati. Questo documento va conservato per cinque anni, come prova dell’adempimento. Non è invece consentito creare archivi paralleli di documenti, nemmeno per finalità organizzative o di “comodità gestionale”.
Implicazioni operative per gli operatori
Il richiamo del Garante ha un impatto concreto sui processi di check-in. Le strutture devono:
- limitare la raccolta dei dati allo stretto necessario
- evitare strumenti non adeguati sotto il profilo della sicurezza
- formare il personale sulle corrette modalità di trattamento
- definire procedure chiare di cancellazione immediata delle copie
Per i sistemi digitali e i fornitori tecnologici — dai PMS ai software di check-in online — diventa centrale il tema della configurazione: eventuali acquisizioni automatiche di immagini devono prevedere la cancellazione immediata e non la conservazione.
Un chiarimento più che una stretta
L’intervento dell’Autorità non introduce un nuovo divieto, ma ribadisce un principio già presente nel Regolamento UE 2016/679: minimizzazione dei dati e limitazione della conservazione.
La novità sta nel perimetro applicativo, reso più esplicito alla luce delle prassi emerse negli ultimi anni. Da qui la lettura alternativa rispetto a quella prevalente in molti titoli: non un “no” alla copia in sé, ma un “no” alla sua permanenza.
Per un settore che tratta ogni anno i dati di milioni di viaggiatori, il messaggio è netto: la gestione dei documenti deve essere transitoria, tracciata e sicura. Tutto ciò che va oltre questa logica diventa un rischio, prima ancora che una violazione.
