Con nota del 29 aprile 2026, il Garante per la protezione dei dati personali ha indirizzato alle associazioni di categoria del settore ricettivo un chiarimento sugli obblighi di trattamento dei documenti d’identità degli ospiti. L’intervento si inserisce in un contesto di crescente diffusione di prassi non conformi e di aumento delle violazioni di dati segnalate al Garante nei mesi precedenti.
Il quadro normativo di riferimento
La disciplina applicabile al settore ricettivo in materia di identificazione degli ospiti trova fondamento nel Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) e nel relativo regolamento di attuazione, che impongono la comunicazione dei dati anagrafici degli alloggiati alle autorità di pubblica sicurezza tramite il portale Alloggiati Web. Tale obbligo costituisce la base giuridica legittimante il trattamento ai sensi dell’art. 6, par. 1, lett. c) del GDPR.
Il Garante chiarisce che la base giuridica dell’adempimento normativo non si estende alla conservazione delle copie dei documenti acquisiti: l’obbligo si esaurisce con la trasmissione telematica dei dati, oltre la quale qualsiasi ulteriore trattamento risulta privo di fondamento giuridico.
Riferimenti normativi Art. 6 GDPR · Art. 109 TULPS (R.D. 773/1931) · D.M. 7 gennaio 2013 (Alloggiati Web) · Artt. 5, 25, 32 GDPR (principi di minimizzazione, privacy by design, sicurezza)
Le prassi censurate e i rischi correlati
L’Autorità prende atto della diffusione, soprattutto tra le strutture di piccole dimensioni (B&B, affittacamere, case vacanza), della prassi di acquisire copia dei documenti tramite fotografia con dispositivo mobile o mediante ricezione via applicazioni di messaggistica istantanea. Tali modalità determinano una violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c) GDPR) e configurano un trattamento eccedente rispetto alla finalità perseguita.
Sotto il profilo del rischio, la conservazione non strutturata di dati documentali su dispositivi personali o piattaforme di messaggistica espone i titolari del trattamento a scenari di data breach con elevata probabilità di accesso non autorizzato, furto d’identità e profilazione indebita degli interessati.
Gli adempimenti richiesti ai titolari del trattamento
Checklist di conformità
01 Trasmissione e cancellazione immediata
Completata la comunicazione ad Alloggiati Web, le eventuali copie del documento acquisite devono essere distrutte o cancellate senza indugio. Non è ammessa alcuna conservazione residuale.
02 Conservazione della ricevuta di trasmissione
L’unico documento che il titolare è tenuto a conservare è la ricevuta automatica generata dal portale, da custodire per cinque anni quale prova dell’adempimento dell’obbligo di comunicazione.
03 Misure di sicurezza e formazione del personale
Il titolare è responsabile dell’adozione di misure tecniche e organizzative adeguate ex art. 32 GDPR. Il personale addetto al front desk deve essere specificamente istruito sulle procedure di raccolta, trasmissione e cancellazione dei dati.
04 Revisione dei processi interni (privacy by design)
Le procedure operative di check-in devono essere strutturate in modo da non prevedere, ab origine, la raccolta di copie documentali non necessarie, in attuazione del principio di privacy by design ex art. 25 GDPR.
Obblighi in caso di violazione dei dati
Il Garante ribadisce che, in caso di data breach, il titolare è tenuto alla notifica all’Autorità entro 72 ore dalla conoscenza dell’evento, ai sensi dell’art. 33 GDPR. Qualora la violazione presenti un elevato rischio per i diritti e le libertà degli interessati, si aggiunge l’obbligo di comunicazione diretta agli stessi ex art. 34 GDPR. La conservazione non conforme di copie documentali su dispositivi non protetti rappresenta un fattore di rischio che aggrava sia la probabilità di violazione sia la sua potenziale gravità.
Profilo sanzionatorio
Le condotte descritte possono configurare violazioni degli artt. 5, 6 e 32 GDPR, con sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (art. 83, par. 4 GDPR), oltre all’eventuale responsabilità civile ex art. 82 GDPR nei confronti degli interessati lesi.
Osservazioni operative
L’intervento del Garante, pur nella forma della nota di chiarimento e non del provvedimento sanzionatorio, assume rilevanza orientativa significativa. Le associazioni di categoria sono state esplicitamente invitate a farsi tramite di diffusione presso gli iscritti, con ciò estendendo la portata della comunicazione all’intero settore.
Per i professionisti della compliance, la nota offre l’occasione per un audit delle procedure di check-in adottate dai propri clienti operanti nel settore hospitality, verificando in particolare la conformità dei flussi di raccolta dati, la presenza di istruzioni scritte al personale e l’adeguatezza del registro dei trattamenti relativamente a questa specifica attività.
Link al comunicato stampa “Garante privacy ad albergatori: no alla conservazione di copia dei documenti degli ospiti. Dopo la comunicazione alle autorità di pubblica sicurezza i dati vanno distrutti o cancellati”