Gli albergatori non possono tenere la copia dei documenti degli ospiti per sempre

Albergatori, proprietari di B&B e affittacamere non possono conservare la copia dei documenti d’identità forniti dagli ospiti oltre il tempo richiesto per la comunicazione dei dati alle autorità di pubblica sicurezza. Ad accendere i riflettori sul divieto è il Garante per la protezione dei dati personali che, in una nota, si è rivolto direttamente alle associazioni di categoria del settore alla luce dell’incremento delle segnalazioni e delle violazioni dei dati personali rilevate negli ultimi mesi.

La legge impone ai gestori delle strutture ricettive di identificare i clienti e trasmetterne i dati alle autorità attraverso il portale «Alloggiati web»: si tratta di un obbligo che, tuttavia, non legittima la conservazione di fotocopie, screenshot o immagini della carta d’identità, del passaporto o della patente di guida. Eppure, nonostante le regole esplicitino nero su bianco cosa fare e cosa evitare, negli ultimi anni - soprattutto tra bed and breakfast e affittacamere, quindi prevalentemente nel comparto dello short term renting - si è diffusa la pratica di fotografare i documenti con lo smartphone o di chiederne l’invio di una copia attraverso Whatsapp e altre app di messaggistica istantanea. Tutte pratiche che, evidentemente, espongono i clienti a rischi significativi, come furto d’identità e accessi illeciti ai dati personali.

Ricalcando quanto previsto dalla legge, il Garante ha ribadito che, una volta ultimate le pratiche necessarie, le copie dei documenti forniti dagli ospiti devono essere immediatamente cancellate o distrutte. L’unica cosa che l’albergatore può tenere è la ricevuta dell’avvenuta comunicazione, prodotta automaticamente dal portale e da tenere per cinque anni per dimostrare l’avvenuto adempimento.

I titolari del trattamento - come precisa il Garante - hanno il dovere di garantire la massima sicurezza dei dati personali. E, in questo perimetro, le strutture devono adottare misure ad hoc per la protezione dei dati, formando correttamente sulle regole da seguire il personale che si occupa di raccoglierli e gestirli. Un invito rivolto soprattutto alle associazioni del comparto, che dovranno diffondere tra gli iscritti i diktat dell’Autorità.

In caso di data breach scattano obblighi specifici, tra cui la notifica al Garante entro 72 ore. E, nelle situazioni più gravi, anche la diretta comunicazione della violazione agli interessati.