Cerca
  • Stefania Salvatore

30mila euro di sanzione per trattamento dati non autorizzato. E se succedesse anche a te?

Nel febbraio 2022, il Garante della Privacy spagnolo ha sanzionato per 30.000 euro un hotel per aver illecitamente trattato l’immagine contenuta nei documenti di identità dei clienti. Quest'immagine, ottenuta dal sistema di scansione in OCR, serviva all’interessato per registrarsi in fase del check-in.

In poche parole, una volta arrivato in albergo, il cliente passa la carta d’identità sullo scanner che converte i dati contenuti sul form utilizzato dall’hotel per il check-in.


A scansione effettuata, l'ospite riceve una "carta di credito" sulla quale può addebitare i servizi fruiti durante il soggiorno.


Per scongiurare ipotesi di utilizzo indebito di questa carta da parte di un soggetto che non ne fosse il legittimo proprietario, l’albergo aveva impostato il sistema di scansione affinché acquisisse anche la fotografia dell’interessato presente sulla carta d’identità, resa disponibile ai dipendenti dell’hotel con un dispositivo che veniva dato loro in dotazione per effettuare le attività di verifica. Così, ogni volta che un cliente utilizzava la carta di credito fornita dall’hotel, il dipendente chiedeva l’esibizione del documento di identità e verificava che la foto contenuta sul documento corrispondesse a quella scansionata dal sistema al check-in.

Trovatosi a dover decidere sulla liceità del trattamento effettuato dall’albergo, il Garante spagnolo, premettendo che il trattamento della fotografia della carta di identità non rientrava tra i dati personali che l’hotel poteva trattare per obbligo di legge o su base contrattuale, ha ritenuto il trattamento illecito a causa della mancanza di un legitimate interest assessment (la cosiddetta LIA).

Infatti, l’albergo, che riteneva che il trattamento effettuato potesse basarsi sul suo legittimo interesse, non aveva effettuato (e tenuto traccia) del bilanciamento tra i propri interessi e quelli dei clienti-interessati, che l’articolo 6 del Regolamento Europeo sulla protezione dei dati personali (GDPR) richiede affinché possa utilizzarsi questa base giuridica. La funzione del LIA è appunto quella di consentire a chiunque di valutare se il trattamento dei dati personali effettuato sulla base del legittimo interesse possa considerarsi lecito.

La mancanza di questa valutazione, come chiarito dal Garante spagnolo, è sufficiente a determinare l’illiceità del trattamento, essendo quindi una condizione necessaria per poter “sfruttare” la base giuridica del legittimo interesse.

In ogni caso, anche in presenza del LIA, il Garante spagnolo ha affermato che il trattamento sarebbe stato comunque da considerarsi non conforme al GDPR, in quanto il trattamento della fotografia dei clienti dell’albergo non poteva ritenersi necessario per perseguire l’interesse a prevenire l’utilizzo indebito della carta di credito fornita dall’hotel per la fruizione dei propri servizi.


Infatti, l’hotel avrebbe potuto semplicemente effettuare la verifica servendosi degli altri dati contenuti nella carta d’identità (nome, cognome, data di nascita).

Questo caso dimostra come l’attenzione al corretto trattamento dei dati personali non sia mai troppa e di come il pericolo sia dietro l’angolo.

Personalmente, per rendere un servizio a 360 gradi a chi decide di affidare la strategia di acquisizione/gestione clienti a me e al mio team, ho attivato una partnership con Iubenda: una soluzione semplice, completa e professionale che aiuta ad adeguarti alle normative e che è già stata scelta da oltre 70.000 aziende. Ecco perché, per scongiurare pesanti multe e sanzioni, dovresti approfittare di questa novità. Ricorda che i documenti redatti in modo parziale o non aggiornati possono causare un grande danno alla tua azienda: non sarebbe meglio assicurare la conformità alle direttive più severe?


Per scoprire come sfruttare la nostra partnership (e accedere a soluzioni di tutela completa a prezzi vantaggiosi) ti basta scrivere a info@stefaniasalvatore.net ed indicare quale slot orario preferisci per esercitare il tuo diritto di contatto.