Check-in biometrico nelle strutture ricettive: nuove opportunità e profili penalistici

Arriva la banca dati biometrica temporanea, che detta nuove regole per la videosorveglianza con IA. Questo mentre cercano di consolidarsi le soluzioni di check in biometrico, strumento d’eccellenza per contenere alcuni tipi di illeciti ricorrenti nel settore turistico (vedi anche https://hospitalitylawlab.net/2026/05/01/innovazione-vs-compliance-nellhospitality-il-nodo-dellidentificazione-digitale-del-guest/) e consentire un supporto all’esigenza penale di controllo degli alloggiati, di cui all’art. 109 TULPS. 

Da una parte, lo schema del primo decreto attuativo della Legge AI n. 132/2025, che introduce nuove regole sull’uso dell’intelligenza artificiale in ambito di sicurezza e videosorveglianza.

  • Riconoscimento biometrico da remoto in tempo reale: sarà consentito solo in casi eccezionali e tassativamente previsti, legati a reati gravi, previa autorizzazione motivata del giudice (o con successiva convalida nei casi urgenti).
  • Videosorveglianza con IA: potrà essere utilizzata in specifici luoghi pubblici o durante eventi con particolari esigenze di ordine e sicurezza pubblica, con raccolta temporanea di dati biometrici consultabili successivamente per finalità investigative.
  • Check-in biometrico: continua a essere considerato uno strumento utile per contrastare le frodi nel settore turistico e per supportare gli obblighi di identificazione degli alloggiati previsti dall’art. 109 TULPS.
  • Nuovi reati: vengono introdotte fattispecie penali per la mancata adozione delle misure di sicurezza richieste e per l’alterazione illecita dei sistemi di IA.
  • Tutela dei danneggiati: chi subisce un danno causato da un sistema di IA non sarà gravato da una “probatio diabolica”, ossia da un onere probatorio eccessivamente difficile per ottenere il risarcimento.

In sostanza, il decreto apre all’uso controllato della biometria e della videosorveglianza intelligente per esigenze di sicurezza, rafforzando al contempo responsabilità, sanzioni e tutele per i cittadini.

Dall’altra, il check-in da remoto e gli strumenti di identificazione dell’ospite all’ingresso stanno evolvendo verso sistemi di riconoscimento facciale o con impronte digitali, spesso supportati dall’AI, che superano i tradizionali modelli di self check-in. L’impiego della biometria aumenta l’efficienza, ma comporta rilevanti implicazioni giuridiche, poiché riguarda dati particolarmente tutelati dal diritto europeo e italiano. Sono soluzioni sempre più diffuse nelle strutture ricettive automatizzate e nello Short Term Rental, ma ci sono alcuni limiti: per esempio, occorre dimostrare che il ricorso alla biometria deve essere realmente necessario in quanto non possano essere adottate modalità meno invasive.

In questa prospettiva, rileva la sentenza della Corte di Giustizia dell’Unione europea del 19 marzo 2026 (causa C-371/24), che, pur riferita ai trattamenti biometrici da parte delle autorità di polizia, ribadisce i principi di necessità, proporzionalità e motivazione del trattamento, escludendo acquisizioni sistematiche e generalizzate fondate su automatismi.

Muovendo da queste premesse, abbiamo intervistato, oltre al team dei civilisti (vedi anche l’articolo pubblicato da Euroconference Legal qui https://www.ecnews.it/legale/mondo-professione/privacy/dati-biometrici-e-diritti-fondamentali-un-chiarimento-dalla-recente-decisione-ue/) i nostri partner penalisti Alessio Lanzi e Angelo Giuliani, offrendo agli operatori del settore alcuni nuovi spunti pratici. 

Cosa sono i dati biometrici?

L’art. 4, n. 14, del GDPR definisce i dati biometrici come dati personali ottenuti tramite specifici trattamenti tecnici relativi a caratteristiche fisiche, fisiologiche o comportamentali che consentono l’identificazione univoca di una persona. Rientrano in questa categoria, ad esempio, impronte digitali, iride e geometria del volto.

Il Considerando 51 del GDPR precisa che le fotografie non sono automaticamente dati biometrici: possono diventarlo quando sono sottoposte a specifici trattamenti tecnici che consentono o confermano l’identificazione univoca della persona. Di conseguenza, il semplice caricamento della foto di un documento d’identità non costituisce necessariamente un trattamento biometrico. Diverso è il caso di sistemi che confrontano automaticamente la foto del documento con un selfie o un video dell’utente per verificarne l’identità. In tali ipotesi il trattamento può ricadere nella nozione di dato biometrico ed essere soggetto alla disciplina prevista dall’art. 9 GDPR.


Cosa afferma la sentenza della Corte di Giustizia UE nella causa C-371/24?

Con la sentenza del 19 marzo 2026 la Corte di Giustizia ha affrontato il tema della raccolta di dati biometrici da parte delle autorità di polizia nei confronti di soggetti sospettati di aver commesso un reato. La Corte ha affermato che la raccolta sistematica dei dati biometrici è incompatibile con il diritto dell’Unione qualora non sia preceduta da una verifica concreta della stretta necessità della misura.

Secondo i giudici europei, il trattamento di tali dati presuppone, in particolare:

  • una finalità specifica e chiaramente individuata;
  • una valutazione del caso concreto;
  • la dimostrazione della stretta necessità della misura;
  • una motivazione idonea a consentire il controllo di legittimità dell’operato dell’autorità.

La Corte ha inoltre ritenuto non compatibili con il diritto dell’Unione sistemi fondati su automatismi che conducano a una raccolta generalizzata e indiscriminata di dati biometrici, in assenza di un’effettiva verifica della necessità del trattamento.

Pur trattandosi di una decisione resa nell’ambito della Direttiva 2016/680 relativa al trattamento dei dati per finalità di prevenzione, accertamento e repressione dei reati, i principi richiamati dalla Corte appaiono coerenti con quelli di necessità, proporzionalità e minimizzazione che caratterizzano anche il sistema del GDPR.

Quali sono le conseguenze dell’applicazione di questi principi nel settore Hospitality e, in particolare, del check in biometrico?

La pronuncia della Corte riveste particolare interesse anche per gli operatori del settore ricettivo, pur essendo stata resa con riferimento ai trattamenti effettuati dalle autorità di polizia nell’ambito della Direttiva (UE) 2016/680. Il passaggio dal settore pubblico a quello privato non è automatico, ma i principi richiamati dalla Corte in tema di necessità, proporzionalità e motivazione del trattamento possono offrire indicazioni utili anche nella valutazione dei sistemi biometrici adottati da soggetti privati, trattandosi di criteri coerenti con l’impianto del GDPR.

In questa prospettiva, l’adozione di procedure di riconoscimento facciale nel settore Hospitality dovrebbe essere preceduta da un’attenta valutazione, adeguatamente documentata, volta a verificare, tra l’altro:

  • la necessità effettiva del trattamento rispetto alle finalità perseguite;
  • l’assenza di strumenti alternativi meno invasivi;
  • la proporzionalità tra sacrificio della riservatezza e vantaggi perseguiti;
  • l’adeguatezza delle misure tecniche e organizzative adottate a tutela dei dati personali

In diversi contesti, procedure basate su verifica documentale, sull’utilizzo di credenziali digitali, sull’autenticazione a due fattori o sull’identificazione tramite personale della struttura potrebbero risultare sufficienti a soddisfare le medesime esigenze. Resta tuttavia necessario valutare caso per caso se tali strumenti siano effettivamente equivalenti rispetto agli obiettivi perseguiti dal titolare del trattamento.

Quali rischi a livello penale?

L’utilizzo illecito di dati biometrici può esporre gli operatori a conseguenze che, in determinate circostanze, possono travalicare il piano amministrativo delle sanzioni previste dal GDPR.

A seconda delle modalità concrete del trattamento e delle condotte poste in essere, potrebbero infatti venire in rilievo fattispecie penalmente rilevanti, tra cui quelle previste dal Codice Privacy, come modificato dal D.Lgs. 101/2018, nonché, ricorrendone i presupposti, ulteriori ipotesi di reato, anche nell’ambito dei reati informatici, da valutare caso per caso. 

Particolare attenzione merita inoltre il rischio derivante da accessi abusivi ai database biometrici e dalla compromissione dei template utilizzati per l’identificazione.

A differenza di password o codici PIN, infatti, il dato biometrico presenta caratteristiche di sostanziale immutabilità: una volta compromesso, potrebbe non essere concretamente sostituibile o rigenerabile, con effetti potenzialmente duraturi per l’interessato.

Quali strumenti di prevenzione si rendono dunque necessari?

L’implementazione di sistemi biometrici per il check-in rende, nella maggior parte dei casi, necessaria la predisposizione di una valutazione d’impatto sulla protezione dei dati (DPIA), ai sensi dell’articolo 35 GDPR, trattandosi di trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La DPIA assume un ruolo centrale non soltanto quale adempimento documentale, ma anche come strumento sostanziale di analisi preventiva dei rischi connessi al trattamento e di verifica dell’adeguatezza delle misure individuate per mitigarli. 

In tale sede il titolare del trattamento è chiamato a valutare l’effettiva necessità del ricorso alla biometria rispetto alle finalità perseguite, a individuare i rischi per i diritti e le libertà degli interessati e ad adottare adeguate misure tecniche e organizzative volte a ridurre tali rischi, secondo il principio di accountability previsto dal GDPR.

Quali consigli per l’operatore che opera nella Hospitality?

L’evoluzione tecnologica sta rendendo il check-in biometrico una soluzione sempre più diffusa nel settore Hospitality, anche in ragione delle esigenze di efficienza organizzativa, sicurezza e prevenzione delle frodi. L’adozione di tali sistemi richiede tuttavia un’attenta valutazione dei profili di protezione dei dati personali e del rispetto dei principi previsti dalla normativa europea.

La recente sentenza della Corte di Giustizia dell’Unione Europea, pur riferendosi al diverso contesto dei trattamenti effettuati dalle autorità di polizia, richiama principi – quali necessità, proporzionalità e motivazione del trattamento – che possono offrire utili criteri di valutazione anche per i soggetti privati.

Per gli operatori del settore Hospitality e del Real Estate ciò significa che l’eventuale introduzione di sistemi di riconoscimento facciale o di altre tecnologie biometriche dovrebbe essere preceduta da una verifica della loro effettiva necessità rispetto alle finalità perseguite, della disponibilità di eventuali strumenti alternativi meno invasivi e dell’adeguatezza delle misure tecniche e organizzative adottate, nell’ambito del sistema di accountability previsto dal GDPR.

L’obiettivo, in definitiva, non sembra essere quello di escludere il ricorso alla biometria, ma di assicurarne un impiego consapevole, proporzionato e adeguatamente giustificato rispetto alle specifiche esigenze del caso concreto.

Rispondi