Il Garante Privacy delinea le modifiche da apportare al sistema di comunicazione dei dati degli alloggiati da parte dei gestori delle strutture ricettive
Smartphone tenuto in mano

Dati alloggiati trasmissibili da mobile e conservabili per 5 anni

[Torna su]

Chi gestisce le attività ricettive potrà trasmettere i dati dei soggetti alloggiati anche con smartphone o un tablet. I dati dei soggetti inoltre continueranno a essere conservati per 5 anni, nel rispetto di quanto previsto dalla normativa più recente, a tutela della privacy.

A stabilirlo il Garante della privacy, con il parere n. 300 datato 8 luglio 2021 (sotto allegato) richiesto dal Ministero dell'Interno sullo schema di decreto con cui si va a modificare il decreto ministeriale del 7 gennaio 2013 che contiene "Disposizioni concernenti la comunicazione alle autorità di pubblica sicurezza dell'arrivo di persone alloggiate in strutture ricettive".

Vediamo nel dettaglio le ragioni della richiesta del parere e le motivazioni del Garante sulle modifiche necessarie da apportare allo schema di decreto.

Al momento dati sul portale e conservati per 5 anni

[Torna su]

L'art. 109 del R.D. 18 giugno 1931, n. 773 T.U delle leggi di pubblica sicurezza al comma 3 stabilisce che i soggetti di cui al comma 1, ovvero "I gestori di esercizi alberghieri e di altre strutture ricettive, comprese quelle che forniscono alloggio in tende, roulotte, nonché i proprietari o gestori di case e di appartamenti per vacanze e gli affittacamere, ivi compresi i gestori di strutture di accoglienza non convenzionali (…) entro le ventiquattro ore successive all'arrivo comunicano alle questure territorialmente competenti, avvalendosi di mezzi informatici o telematici o mediante fax, le generalità delle persone alloggiate, secondo modalità stabilite con decreto del Ministro dell'interno, sentito il Garante per la protezione dei dati personali."

Il Ministro ritiene che lo schema di decreto prima di tutto debba dare attuazione a quanto previsto dall'art. 5 del dlgs n. 53/2019 il quale:

  • al comma 1, nel modificare il predetto art. 109, dopo le parole "successive all'arrivo", ha inserito le seguenti "e comunque entro le sei ore successive all'arrivo nel caso di soggiorni non superiori alle ventiquattro ore;"
  • mentre al comma 1 bis prevede che le comunicazioni dei dati degli alloggiati in modalità telematica debbano essere integrate per consentire il collegamento diretto tra i sistemi informatici delle strutture ricettive e quelli delle autorità di pubblica sicurezza.

Al momento i dati acquisiti dalle strutture ricettive sono conservati e accessibili solo dal personale legittimato e autorizzato nel portale "Alloggiatiweb".

Per quanto riguarda invece i termini di conservazione dei dati, al momento gli stessi possono essere conservati all'interno del portale suddetto Alloggiatiweb per 5 anni e non per 10 anni, termine che il Ministero ha segnalato come più idoneo per le attività di prevenzione dei fenomeni criminali visto che spesso le autorità giudiziarie delegano il compimento di attività d'indagine in relazione a fatti anteriori di oltre 10 anni. Questo temine però, come emerge dal dm del 2013, è incompatibile con quello attualmente previsto di 5 anni.

Intervenire sulle modalità di trasmissione non sulla durata dell'archiviazione

[Torna su]

Il Garante privacy, dopo aver preso atto delle osservazioni e dei dubbi sollevati dal Ministero sull'adeguatezza della normativa rileva come in effetti "Il vigente decreto del Ministro dell'interno del 7 gennaio 2013 prevede che la modalità principale di trasmissione dei dati degli alloggiati si basi sull'utilizzo di mezzi informatici e/o telematici, mediante un apposito "sistema web oriented esposto su rete internet".

Un sistema non adeguato all'evoluzione tecnologica e limitato, perché non consente di utilizzare i dispositivi mobili "come palmari, cellulari, tablet e non permette di effettuare un collegamento diretto tra sistemi informatici delle autorità di pubblica sicurezza e i sistemi gestionali delle strutture ricettive."

Per questo, come spiega il Garante, al decreto ministeriale del 2013 dovranno essere apportate le modifiche necessarie per consentire l'accesso al servizio web "non più utilizzando la certificazione digitale, ma attraverso un sistema di autenticazione a due fattori, basato su credenziali fornite, in parte, dalla questura competente per territorio, ovvero:

  • una credenziale di login che identifica univocamente la struttura ricettiva, fornita dalla questura competente;
  • una password di accesso, modificabile dal gestore della struttura;
  • un codice OTP temporaneo, valido solo per una sessione di lavoro, generato combinando i caratteri da una apposita griglia fornita alla struttura ricettiva."

Per quanto riguarda invece i tempi di conservazione dei dati il Garante precisa che i gestori delle strutture ricettive, nel rispetto della normativa privacy europea (GDPR), dovranno provvedere alla cancellazione dei dati digitali trasmessi e di tutte le copie cartacee non appena generate dal sistema informatico. La ricevuta di avvenuta comunicazione dei dati invece dovrà essere conservata per 5 anni. Rigettata quindi la richiesta del ministero di estendere il termine a 10 anni perché "sproporzionato rispetto alle finalità del trattamento in questione".

Scarica pdf Garante Privacy parere n. 300/2021
Condividi
Feedback

Foto: 123rf.com
In evidenza oggi: