Agriturismo - Chiarimenti del Garante della Privacy in materia di trattamento dei documenti di identità degli ospiti di strutture ricettive

Il Garante Privacy, con riferimento alla raccolta dei dati personali contenuti nei documenti di identità degli alloggiati, chiarisce che il trattamento in questione trova la propria base giuridica nell’art. 6, par. 1, lett. c) del GDPR che individua i trattamenti di dati personali necessari a adempiere un obbligo legale a cui è soggetto il titolare del trattamento, obbligo che attiene alla "comunicazione" dei dati all'Autorità di PS tramite il portale “Alloggiati Web”, senza che ciò comporti la necessità della conservazione dei predetti dati.

Ne consegue l’assoluto divieto di conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla mera comunicazione dei dati alle autorità di pubblica sicurezza nonché di fotografare i documenti con dispositivi mobili oppure di richiederne l’invio attraverso servizi di messagistica istantanea come WhatsApp.

Alle aziende agrituristiche, con strutture turistico-ricettive, si raccomanda il corretto adempimento della disciplina di settore e il rispetto della normativa in materia di protezione dei dati personali, e ciò mediante:
•                 un’adeguata responsabilizzazione del personale addetto alla raccolta ed al trattamento dei dati personali degli ospiti, a cui, in particolare, occorre fornire puntuali istruzioni sul divieto di effettuare o trattenere copie (analogiche o digitali) dei documenti di identità, successivamente all’effettuazione delle comunicazioni di legge;
•                 tramite rilascio della informativa Privacy, informazione agli ospiti delle modalità di raccolta ed utilizzo del dato relativo ai documenti personali. Qualora le operazioni di check-in siano svolte mediante l’utilizzo di dispositivi capaci di acquisire e conservare copia digitale del documento di identità, in particolare, occorrerà chiarire che la struttura non procederà ad archiviare le immagini degli stessi;
•                 ai sensi dall’art. 28 del GDPR, opportuna regolazione dei rapporti con i fornitori (debitamente nominati dal Titolare quali Responsabili del trattamento) dei servizi di gestione delle prenotazioni e dei servizi eventualmente utilizzati per l’acquisizione dei dati relativi ai documenti d’identità, prestando particolare attenzione alle modalità di trattamento di questi ultimi e definendo efficaci modalità di comunicazione in caso di violazione dei dati personali;
•                 raccolta dei dati dei documenti d’identità senza effettuare foto con dispositivi mobili o fare ricorso a servizi di messagistica istantanea (ad. es. “whatsapp”), o comunque evitando il ricorso a modalità che non presentano le caratteristiche idonee al rispetto della normativa richiamata.