Scansionare i documenti con il telefono o chiedere di inviarli con app di messaggistica viola le regole della privacy ed espone a rischi e multe
Nel settore dell’ospitalità alberghiera ed extra-alberghiera si sta diffondendo una prassi tanto comune quanto rischiosa per la privacy: fotografare o scansionare i documenti di identità degli ospiti, spesso accompagnata dall’invio delle immagini tramite applicazioni di messaggistica come WhatsApp. Si tratta di comportamenti che, alla luce del GDPR e delle indicazioni fornite dal Garante per la protezione dei dati personali, risultano chiaramente non conformi.
Il punto di partenza è semplice: la normativa italiana prevede l’obbligo per i gestori di strutture ricettive di identificare gli ospiti e comunicare i dati alle autorità di pubblica sicurezza tramite il portale “Alloggiati Web”. Tuttavia, tale obbligo non legittima in alcun modo la conservazione di copie dei documenti di identità. Il Garante ha più volte chiarito che la raccolta deve limitarsi ai dati strettamente necessari, senza eccedere rispetto alle finalità previste dalla legge. Fotografare il documento rappresenta quindi una forma di trattamento eccedente e non proporzionata.
In diversi provvedimenti e FAQ, l’Autorità ha ribadito che la copia del documento può essere acquisita solo in presenza di una specifica base giuridica, che nel caso delle locazioni turistiche normalmente non sussiste. La semplice esigenza organizzativa o di “comodità” non è sufficiente a giustificare tale pratica. Ne deriva che conservare immagini dei documenti espone il gestore a potenziali violazioni del GDPR, con conseguenti rischi sanzionatori.
L’INVIO DEI DOCUMENTI TRAMITE WHATSAPP
Ancora più critica è la prassi di richiedere agli ospiti di inviare il documento via WhatsApp prima dell’arrivo. Questo comportamento introduce ulteriori profili di rischio: innanzitutto, si utilizza un canale non progettato per la trasmissione di dati personali sensibili in modo strutturato e sicuro; inoltre, si perde il controllo sulla conservazione e sulla cancellazione dei dati stessi. Le immagini dei documenti finiscono spesso archiviate automaticamente nei dispositivi, nei backup cloud o nelle chat, aumentando la superficie di esposizione a eventuali accessi non autorizzati.
Il tema non è meramente teorico. Nel corso del 2025, diversi episodi di violazione dei dati (data breach) hanno coinvolto catene alberghiere internazionali, con la sottrazione di database contenenti informazioni personali degli ospiti, inclusi documenti di identità. Questi eventi dimostrano come la conservazione non necessaria di tali dati rappresenti un rischio concreto: più informazioni si accumulano, maggiore è il danno potenziale in caso di attacco informatico.
Alla luce di ciò, il principio di minimizzazione previsto dal GDPR assume un ruolo centrale: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento. Per i B&B, questo significa identificare l’ospite, registrare i dati richiesti e trasmetterli alle autorità, senza trattenere copie del documento. Qualora, in casi eccezionali, una copia venga acquisita (ad esempio per specifiche esigenze amministrative documentate), essa deve essere protetta adeguatamente e cancellata nel più breve tempo possibile.
Pertanto, fotografare o farsi inviare i documenti degli ospiti non è solo una cattiva abitudine, ma una pratica contraria ai principi del GDPR. I gestori di strutture alberghiere ed extralberghiere sono chiamati a rivedere le proprie procedure, adottando un approccio più rigoroso e consapevole alla gestione dei dati personali. Ridurre la raccolta e la conservazione delle informazioni non è solo un obbligo normativo, ma anche una misura concreta di tutela per i propri clienti e per la propria attività.
LEGGI ANCHE
Keybox, occhio alle multe per i condomini
