Alberghi: le foto dei clienti non si devono utilizzare

Alberghi: le foto dei clienti non si devono utilizzare

Nel febbraio 2022, il Garante spagnolo ha sanzionato per 30.000 euro un hotel per aver illecitamente trattato l’immagine contenuta nei documenti di identità dei clienti, che era ottenuta dal sistema di scansione in OCR del documento di identità che l’interessato doveva usare per registrarsi al check-in.

In altre parole, una volta arrivato in albergo, il cliente passava la carta d’identità sullo scanner, che non effettuava una vera e propria scansione del documento ma convertiva i dati in esso contenuti sul form utilizzato dall’hotel per il check-in.

A scansione effettuata, il cliente riceveva una carta di credito sulla quale poteva addebitare i servizi fruiti durante il soggiorno nell’hotel.

Per scongiurare ipotesi di utilizzo indebito di questa carta da parte di un soggetto che non ne fosse il legittimo proprietario, l’albergo aveva impostato il sistema di scansione affinché acquisisse anche la fotografia dell’interessato presente sulla carta d’identità, resa disponibile ai dipendenti dell’hotel con un dispositivo che veniva dato loro in dotazione per effettuare le attività di verifica. Così, ogni volta che un cliente utilizzava la carta di credito fornita dall’hotel, il dipendente chiedeva l’esibizione del documento di identità e verificava che la foto contenuta sul documento corrispondesse a quella scansionata dal sistema al check-in.

Trovatosi a dover decidere sulla liceità del trattamento effettuato dall’albergo, il Garante spagnolo, premettendo che il trattamento della fotografia della carta di identità non rientrava tra i dati personali che l’hotel poteva trattare per obbligo di legge o su base contrattuale, ha ritenuto il trattamento illecito a causa della mancanza di un legitimate interest assessment (la cosiddetta LIA).

Infatti, l’albergo, che riteneva che il trattamento effettuato potesse basarsi sul suo legittimo interesse, non aveva  effettuato (e tenuto traccia) del bilanciamento tra i propri interessi e quelli dei clienti-interessati, che l’articolo 6 del Regolamento Europeo sulla protezione dei dati personali (GDPR) richiede affinché possa utilizzarsi questa base giuridica.

La funzione del LIA è appunto quella di consentire a chiunque di valutare se il trattamento dei dati personali effettuato sulla base del legittimo interesse possa considerarsi lecito o meno.

La mancanza di questa valutazione, come chiarito dal Garante spagnolo, è sufficiente a determinare l’illiceità del trattamento, essendo quindi una condizione necessaria per poter “sfruttare” la base giuridica del legittimo interesse.

In ogni caso, quand’anche il LIA ci fosse stato, il Garante spagnolo ha affermato che il trattamento sarebbe stato comunque da considerarsi non conforme al GDPR, in quanto il trattamento della fotografia dei clienti dell’albergo non poteva ritenersi necessario per perseguire l’interesse a prevenire l’utilizzo indebito della carta di credito fornita dall’hotel per la fruizione dei propri servizi. Infatti, l’hotel avrebbe potuto semplicemente effettuare la verifica servendosi degli altri dati contenuti nella carta d’identità (nome, cognome, data di nascita).

Questo caso dimostra come l’attenzione al corretto trattamento dei dati personali non sia mai troppa e di come il pericolo sia dietro l’angolo.