E' lecito fotocopiare o scansionare un documento di riconoscimento?
Parliamo di hotel e sicurezza!

La normativa degli hotel e strutture ricettive prevede che tutti debbano mostrare il proprio documento di identità all'arrivo o al check-in. Quando è necessario eseguire la fotocopia o scansione del documento e mantenerla in archivio cartaceo o informatico?

In questo articolo cerchiamo di rispondere a questa domanda con la normativa vigente al momento della stesura del presente testo, offrendo spunti di riflessione agli hotel, ma anche agli utenti, indicando anche quali sono i punti critici delle infrastrutture informatiche di molti hotel e strutture ricettive.

Quest'ultimo aspetto è importantissimo, considerando le notizie di questo periodo sui furti di documenti ad hotel, come da comunicato del Garante della Privacy, che ha avviato delle verifiche.

Il riconoscimento in hotel e strutture ricettive

Secondo quanto disposto da una Circolare del Ministero dell'Interno del 18/11/2024 si indica che l'identificazione delle persone ospitate presso strutture ricettive deve avvenire mediante un duplice controllo, la prima della struttura ricettiva, eseguita con la corrispondenza dell'identità degli ospiti mediante la verifica "de visu" all'ingresso della struttura con il documento di riconoscimento e da parte delle Questure territorialmente competenti con i dati ricevuti dall'hotel nei tempi previsti a seconda della durata del soggiorno con l'uso del portale Alloggiati Web della Polizia Di Stato.

Questa circolare ha fatto chiarezza sul crescente uso dei ceck-in remoti, spesso adottati dalle strutture ricettive per velocizzare le pratiche e la gestione, ma che non garantiscono le necessarie misure di sicurezza atte ad evitare l'alloggiamento di soggetti potenzialmente pericolosi o di terzi, che non corrispondono alle persone indicate in fase di prenotazione.

Cosa dice il Garante della Privacy sulle copie dei documenti?

Veniamo al nocciolo della questione, ovvero alla fotocopia o scansione dei documenti e la loro archiviazione. Quando è necessaria e lecita?

Un primo responso che risponde al medesimo quesito è stato fornito dal Garante per gli istituti bancari. Infatti, secondo quanto indicato dal Garante della Privacy il 27 ottobre del 2005, in un provvedimento antecedente all'attuale GDPR 2016/679, si indica che gli istituti di credito e postali possono conservare una copia temporanea del documento e ritenersi giustificata solo se c'è una normativa che prevede questa attività o se la banca o l'ufficio postale deve poter dimostrare di aver identificato l'interessato con modalità più accurate, stante il particolare contesto od operazioni da svolgere.

Il principio indicato è quello della pertinenza e di non eccedenza nel trattamento dei dati ed inoltre sono autorizzati a conservare i documenti esibiti o acquisiti in copia, con l'onere di assicurare una particolare preparazione in materia di protezione dei dati personali.

In ultimo il punto 5 indica che "La conservazione di tali riproduzioni – anche ai fini dell'applicazione dell'art. 15 del Codice – deve altresì svolgersi nel rispetto delle necessarie misure di sicurezza conformi a quelle prescritte dal Codice nei singoli casi (artt. 31 ss. e allegato B del Codice), anche al fine di prevenire accessi fuori dalle ipotesi consentite, e non può inoltre protrarsi oltre il tempo necessario in rapporto alle finalità perseguite."

Seppur il provvedimento del Garante è inerente agli istituti bancari, il principio attuale del GDPR vale per tutte le tipologie di aziende, imprese, PA, etc.. Il Regolamento Generale sulla Protezione dei Dati dell'Europa (GPDR) indica all'art. 13 che il titolare del trattamento deve fornire all'interessato (nel momento in cui i dati personali sono ottenuti) le finalità del trattamento, il periodo di conservazione dei dati personali, etc..

Il principio di liceità richiamato all'art. 5 comma "a" del Regolamento indica che: "i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato".

Anche l'AEPD, il Garante della Privacy della Spagna riferisce che non è consentito richiedere una copia del documento di identità presso gli alloggi.

Ma quale è il principio fondamentale su cui basarsi? La risposta è minimizzazione dei dati!

Un corretto approccio aziendale, qualsiasi esso sia dovrebbe osservare le norme sulla Privacy, che ridurrebbero il rischio di trattamento illecito ed in caso di Data Breach, come quelli che sono avvenuti negli ultimi periodi, sarebbero meno dannosi per gli hotel o aziende, ma in particolare per gli utenti, che si sono visti defraudati dei propri documenti di identità con il concreto rischio che potrebbero essere utilizzati per scopi illeciti.

Le domande da porsi sono: così come indicato dal Garante, ci sono normative per le strutture ricettive che richiedono la copia e conservazione del documento? Ci sono dimostrazioni più accurate da eseguire in un particolare contesto da svolgere? Quale è il tempo necessario della conservazione in rapporto alle finalità perseguite?

La risposta alle prime due domande è no, ovvero da quanto evidenziato anche dal seguente punto sulle info del Ministero dell'Interno, non ci sono evidenze normative per fotocopiare, scansionare ed archiviare un documento di identità degli ospiti di una struttura ricettiva. Per quanto concerne il tempo necessario in rapporto alle finalità perseguite, se proprio si vuole eseguire la scansione e fotocopia, potrebbe essere rappresentato fino al termine del soggiorno e corrispondente alla fase di check-out, ma sarebbe più appropriato e consigliato fino alla comunicazione dei dati alla Questura.

Cosa dice il Ministero dell'Interno

L'art. 109 del TULPS stabilisce che i gestori di esercizi alberghieri e di altre strutture ricettive debbano comunicare giornalmente all'autorità di pubblica sicurezza l'arrivo delle persone alloggiate, mediante consegna di copia della scheda o comunicazione, anche con mezzi informatici, secondo modalità stabilite con decreto del Ministero Interno.

Anche il Ministero dell'Interno nel Testo Unico Leggi per la Pubblica Sicurezza all'art. 109 non parla di fotocopia o conservazione dei documenti di riconoscimento. Ad oggi lo strumento utilizzato per la comunicazione è il portale Alloggiati Web. Pertanto conservare una copia stampata o scansionata del documento degli ospiti non è richiesta e come è accaduto di recente costituisce un rischio informatico che può tramutarsi in perdita di dati e Data Breach.

La sicurezza dei dati

Ancora oggi molte strutture ricettive fotocopiano o scansionano il documento di identità dell'ospite al fine di mantenerne una copia per poi trasmettere i dati alle autorità nelle modalità e tempistiche previste. Questo approccio, espone la struttura ricettiva ad un surplus di dati che possono essere oggetto di furto. Come sopra indicato, oltre a venire meno il principio di minimizzazione dei dati, c'è un rischio aggiuntivo inerente alla sicurezza informatica.

Seppur tale modus operandi di conservazione non è richiesto dalla normativa vigente, la struttura ricettiva ha l'obbligo a prescindere di massimizzare la propria sicurezza informatica, partendo dalla analisi del flusso dei dati con l'obiettivo di minimizzare il rischio che questi vengano prelevati da terzi.

Spesso l'attenzione all'aggiornamento dell'infrastruttura informatica e sulle best practices della cyber security sono disattese e si trovano PC con sistemi operativi obsoleti e/o non aggiornati, non hanno un account dedicato per ciascun utente, sono privi di antivirus, malware, autenticazione con password robusta, crittografia dei dati sull'hard disk, non è presente un firewall di rete con policy di sicurezza, non è stata eseguita adeguata formazione al personale sui rischi informatici come il phishing, furto di dati o l'utilizzo improprio delle tecnologie informatiche, non è presente una procedura automatizzata di backup conforme o se è in essere spesso la conservazione dei dati è su cloud fuori UE, mancanza di una procedura di disaster recovery, etc.. Questi sono problemi molto comuni da trovare e con l'incremento degli attacchi informatici si espongono sempre più i dati degli utenti.

I rischi si amplificano con l'alta stagione e l'aumento degli ospiti che arrecano un surplus di lavoro sotto stress con il potenziale incremento del rischio di errori.

Porre attenzione a tutti questi aspetti è necessario per massimizzare la sicurezza e tutelare le identità degli ospiti e non incorrere in Data Breach, che avranno certamente risvolti economici e reputazionali disastrosi.

Per coloro che permettono prenotazioni da remoto, oltre alla necessità di utilizzo di sistemi consoni per l'invio dei dati e pagamento degli ospiti basati su infrastrutture conforme e sicure, è fondamentale che non vengano richieste le copie dei documenti di riconoscimento via email. Questa modalità offre ulteriori vulnerabilità e possibilità di furto dei dati. Inoltre come per gli altri check-in è necessario, come richiesto dal Ministero dell'Interno eseguirlo all'arrivo in sede, con la verifica istantanea "de visu" della persona, seguita dalla relativa comunicazione online.

Anche l'utilizzo delle carte di credito a garanzia, è un aspetto da non sottovalutare che può rivelarsi una concreta fonte di frodi informatiche se non eseguita adeguatamente.

Conclusioni

I recenti fatti sui furti dei dati delle copie dei documenti di identità degli ospiti di molte strutture ricettive ha portato ad una importante riflessione, i cui dubbi sarebbero stati risolti seguendo le normative vigenti in materia di Pubblica Sicurezza e sulla tutela dei dati personali. E' chiaro che non è necessario fotocopiare o scansionare i documenti degli ospiti, ma è sufficiente una verifica al check-in in presenza con la corrispondenza "de visu" tra il documento di identità ed il volto dell'ospite, inserendo entro il termine previsto i dati nella portale Alloggiati Web.

Ancora una volta se le aziende, in questo caso hotel e strutture ricettive avessero rispettato il principio di minimizzazione dei dati personali non ci sarebbero stati i problemi di sicurezza con i relativi Data Breach e non avrebbero esposto migliaia di documenti di identità al Dark Web o ad altre organizzazioni criminali, che potrebbero utilizzarli per i loro scopi illeciti.

Nella nostra attività di consulenza ed adeguamento al GDPR, vediamo ancora molte aziende che non hanno un corretto approccio verso la sicurezza informatica, dei dati ed organizzativa, ma guardano a questo Regolamento come ad un ulteriore adempimento burocratico fatto da scartoffie inviate al cliente come prassi, invece di pensare ad ottimizzare la propria organizzazione, informare i clienti e comprendere in maniera corretta il flusso dei dati e come gestirli.

Tra l'altro le fotocopia e la conservazione di scansioni ha un costo, che è proporzionale alla quantità di spazio occupato nelle memorie, ai costi di stampa tra fotocopiatrice e toner, ma anche energetico, perché questi apparati necessitano di alimentazione elettrica e se vengono moltiplicate per le tante ore di utilizzo, si ha comunque un surplus di energia rispetto al necessario, che non collima con l'obiettivo di digitalizzazione aziendale in ottica green.

Continuiamo ogni giorno ad informare, formare e far conoscere i vantaggi di un approccio votato alla qualità del proprio lavoro, all'importanza della sicurezza informatica e dei rischi potenziali che sono sempre maggiori, visto che ogni attività è digitalizzata e tutti gli adempimenti sono sempre più smart.

Se pensi che questo articolo sia utile ai tuoi amici, condividilo sui social network.

Aggiungi Studio Tarantelli al tuo feed di Google News.

05-09-2025

Autore: Mirko Tarantelli - Ingegnere delle Telecomunicazioni - consulente informatico e SEO - Data Scientist

© Tutti i diritti sono riservati. È vietato qualsiasi utilizzo, totale o parziale dei contenuti qui pubblicati.