Parole chiave
Intelligenza artificiale – Hospitality – Settore ricettivo – Locazioni brevi – Affitti brevi – Identificazione ospiti – Art. 109 TULPS – Dati biometrici – Riconoscimento facciale – Self check-in – Intelligenza artificiale – AI Act – Regolamento (UE) 2024/1689 – GDPR – Dati personali – Sistemi ad alto rischio – Sorveglianza digitale – Compliance
L’impiego crescente di sistemi di identificazione automatizzata degli ospiti nel settore ricettivo e per le locazioni di breve periodo determina una progressiva emersione del ruolo dei Dati Biometrici, come definiti dal Regolamento (UE) 2024/1689 (AI Act). L’art. 109 TULPS impone l’obbligo di identificazione degli ospiti al Check In, interpretato da una Circolare ministeriale come verifica necessariamente de visu, ritenendo che l’utilizzo di tecnologie basate su riconoscimento facciale o verifica automatizzata dell’identità introducano profili di rischio giuridico rilevanti, sia sotto il profilo della protezione dei dati personali sia sotto quello della classificazione dei sistemi di AI come “ad alto rischio”. Il Consiglio di Stato ha tuttavia ritenuto possibile l’utilizzo delle “nuove tecnologie dell’informazione”. In tale contesto, i Dati Biometrici assumono rilievo soprattutto nei processi di self check-in e identificazione remota, legittimi (solo) se rispondono ai principi di proporzionalità, necessità e legittimità del trattamento.
L’identificazione degli ospiti tra obbligo normativo e innovazione tecnologica
Nel settore ricettivo e negli “affitti brevi”, l’identificazione degli ospiti costituisce un obbligo giuridico imposto dall’art. 109 TULPS (Testo unico delle leggi di pubblica sicurezza, RD 773/1931). Ai gestori viene richiesto il rispetto di due adempimenti: verificare l’identità degli alloggiati e comunicare i relativi dati alle autorità di pubblica sicurezza. Ratio della norma è prevenire rischi per l’ordine e la sicurezza pubblica in relazione all’eventuale alloggiamento di persone pericolose e/o legate ad organizzazioni criminali o terroristiche.
Il problema si pone con riferimento al primo obbligo, secondo cui, specificamente, “ i gestori di esercizi alberghieri e di altre strutture ricettive … comprese nonché i proprietari o gestori di case e di appartamenti per vacanze e gli affittacamere, … possono dare alloggio esclusivamente a persone munite della carta d’identità o di altro documento idoneo ad attestarne l’identità secondo le norme vigenti”. Norma su cui è intervenuto un provvedimento legislativo di interpretazione autentica con l’art. 19-bis, D-L 113/ 2018, n. 113 (come convertito) il quale spiega che l’art. 109 T.U.L.P.S. va interpretato nel senso che gli obblighi in esso previsti si applicano anche con riguardo ai locatori o sublocatori che locano immobili o parti di essi con contratti di durata inferiore a trenta giorni.
Tradizionalmente, tale obbligo è adempiuto mediante la verifica diretta di un documento di identità e la registrazione manuale dei dati. Ma l’evoluzione tecnologica e la diffusione di piattaforme digitali avevano favorito l’introduzione di sistemi di self check-in e identificazione da remoto con soluzioni come le “key box”, nei quali l’interazione fisica tra gestore e ospite viene sostituita da procedure automatizzate.
Il Ministero degli Interni, con Circolare 38138/2024, interpretava l’obbligo previsto dall’art. 109 T.U.L.P.S. a carico dei gestori di strutture ricettive di ogni genere o tipologia, nonché ai locatori di cui alla norma interpretativa, di controllare l’identità degli ospiti mediante verifica de visu della corrispondenza tra persone alloggiate e documenti forniti, escludendo la legittimità di eventuali procedure di check in remoto, ritenute non aderenti alla ratio sottesa all’art. 109 del T.U.L.P.S. A seguito di un percorso di impugnative il Consiglio di Stato chiarisce che la Circolare non tocca il tema dei Dati Biometrici. Al contrario, precisa che “la identificazione de visu al centro delle contestazioni non si esaurisce giocoforza nella verifica analogica in presenza da parte del titolare atteso che, attraverso le nuove tecnologie dell’informazione, essa potrebbe essere effettuata mediante appositi dispositivi di videocollegamento predisposti dal gestore all’ingresso della struttura purché idonei ad accertare, hic et nunc , l’effettiva corrispondenza tra ospite e titolare del documento di identità, esibito o trasmesso con altro canale telematico all’atto dell’accesso alla struttura (es. spioncino digitale o QR code che faccia un fermo immagine).”
Da allora, si stanno diffondendo anche nel settore Hospitality i sistemi di AI disciplinati dal Regolamento (UE) 2024/1689. In linea con la riflessione proposta dal Consiglio di Stato, i Dati Biometrici assumono dunque sempre più una posizione centrale in quanto funzionali all’identificazione o alla verifica dell’identità di una persona attraverso caratteristiche fisiche o comportamentali, quali il volto o la voce. Tuttavia, la rilevanza giuridica del dato biometrico non deriva dalla mera disponibilità di un’immagine, ma dal trattamento automatizzato volto a riconoscere o autenticare un individuo.
Più specificatamente, nell’ambito dell’ingresso degli ospiti, la semplice acquisizione di una copia del documento di identità o della fotografia dell’ospite non integra un trattamento biometrico rilevante ai sensi dell’AI Act. Al contrario, tale rilevanza emerge quando l’immagine viene elaborata mediante sistemi di AI per effettuare confronti, verifiche o identificazioni automatiche.
I Dati Biometrici nei processi di check-in
In generale, le tecnologie biometriche possono essere impiegate con diverse modalità operative, caratterizzate da un crescente livello di incidenza giuridica.
Una prima modalità consiste nella verifica automatizzata dell’identità (c.d. “biometric verification”), tipica dei sistemi di self check-in. In tali casi, l’ospite è chiamato a caricare su un sistema predisposto un documento di identità e un’immagine del proprio volto; il sistema procede quindi a confrontare automaticamente le due immagini al fine di verificare la corrispondenza tra soggetto e documento. Tale operazione configura un trattamento di Dati Biometrici, in quanto utilizza caratteristiche fisiche per autenticare l’identità dell’utente.
Una seconda modalità, più invasiva, riguarda l’identificazione biometrica vera e propria (c.d. “biometric identification”), nella quale il volto dell’ospite viene confrontato con un database di immagini preesistenti. Questa ipotesi può verificarsi, ad esempio, in strutture dotate di sistemi di accesso automatizzato o videosorveglianza intelligente, in grado di riconoscere gli ospiti al momento dell’ingresso.
Una terza modalità, meno diffusa ma teoricamente possibile, consiste nell’utilizzo di sistemi di analisi comportamentale o categorizzazione biometrica, che elaborano dati relativi alle caratteristiche dell’utente per finalità ulteriori rispetto alla mera identificazione, come la profilazione o l’analisi delle interazioni.
Quando l’identificazione dell’ospite avviene in modo automatizzato e senza intervento umano diretto il trattamento biometrico può dunque diventare lo strumento principale per soddisfare l’obbligo di identificazione previsto dall’art. 109 TULPS, sempre che risulti proporzionato rispetto alla finalità perseguita: per esempio, il principio di proporzionalità potrebbe venir meno negli orari in cui è operativa la Reception della struttura ricettiva, quando l’obbligo normativo può essere adempiuto attraverso modalità meno invasive, quali la verifica manuale del documento.
Da tenere presente, inoltre, che l’AI Act qualifica i sistemi di identificazione biometrica come sistemi ad alto rischio, imponendo obblighi stringenti in termini di trasparenza, documentazione, gestione del rischio e supervisione umana. Ciò richiede ulteriore compliance per gli operatori del settore.
Inoltre, l’intersezione tra il GDPR – Regolamento (UE) 2016/679 e l’art. 109 TULPS, genera da tempo una tensione tra esigenze di sicurezza e principi di protezione dei dati personali. Da un lato, il TULPS impone un obbligo di identificazione degli ospiti, funzionale a esigenze di ordine pubblico. Dall’altro lato, il GDPR, nel protegge la riservatezza dei dati, qualifica i Dati Biometrici come categorie particolari di dati personali, il cui trattamento è soggetto a condizioni particolarmente rigorose, tra cui il principio di minimizzazione e la necessità di una base giuridica adeguata.
Profili di rischio e opportunità per gli operatori
L’introduzione di sistemi di AI basati su Dati Biometrici nei processi di identificazione degli ospiti rappresenta una delle principali sfide per il settore Hospitality, che li espone a nuovi rischi sotto il profilo amministrativo, civilistico e persino penale. L’uso di sistemi di identificazione biometrica senza adeguata base giuridica o senza il rispetto dei principi di minimizzazione e proporzionalità può determinare non solo violazioni del GDPR, ma la loro qualificazione come sistemi di AI ad alto rischio comporta l’applicazione degli obblighi previsti dall’AI Act, tra cui la gestione del rischio, la tracciabilità e la supervisione umana. Gli operatori del settore Hospitality sono oggi chiamati a sviluppare modelli di compliance che tengano conto non solo degli obblighi derivanti dall’art. 109 TULPS, ma anche delle disposizioni del GDPR e del Regolamento (UE) 2024/1689.
