Home

Privacy, stretta del Garante su hotel e B&B

La Redazione
29 Aprile 2026

Il Garante Privacy chiarisce i limiti del trattamento dei documenti di identità degli ospiti da parte delle strutture ricettive. L’obbligo normativo riguarda esclusivamente la comunicazione dei dati alle autorità di pubblica sicurezza, escludendo la conservazione delle copie. Richiamati i principi GDPR e i rischi connessi a prassi diffuse ma illecite.

Con la nota del 29 aprile 2026, il Garante per la protezione dei dati personali interviene sul trattamento dei documenti di identità degli ospiti da parte di alberghi e strutture ricettive, a fronte dell’aumento di segnalazioni e di data breach connessi alla gestione impropria di tali informazioni.

L’Autorità evidenzia, in particolare, la diffusione di prassi non conformi, quali la raccolta e conservazione di copie dei documenti tramite fotografie o l’invio attraverso applicazioni di messaggistica istantanea. Tali modalità risultano idonee ad amplificare il rischio di violazioni dei dati personali e fenomeni di furto d’identità, in contrasto con i principi di sicurezza e minimizzazione previsti dal GDPR.

Il quadro normativo di riferimento resta ancorato all’art. 109 TULPS, che impone ai gestori l’obbligo di identificare gli ospiti e comunicarne i dati alle autorità di pubblica sicurezza mediante il sistema “Alloggiati Web”. Tale trattamento trova base giuridica nell’adempimento di un obbligo legale ex art. 6, par. 1, lett. c) GDPR. Tuttavia, il Garante chiarisce un punto centrale: l’obbligo riguarda esclusivamente la comunicazione dei dati e non si estende alla conservazione delle copie dei documenti presso la struttura ricettiva.

La disciplina di settore prevede, infatti, che i dati siano conservati nei sistemi del Ministero dell’Interno per cinque anni, mentre i gestori devono procedere alla cancellazione dei dati digitali e alla distruzione delle copie cartacee una volta ottenuta la ricevuta di avvenuta trasmissione. Ne consegue l’illegittimità di pratiche diffuse quali l’archiviazione sistematica delle immagini dei documenti degli ospiti.

La nota richiama altresì i principi generali del GDPR, in particolare quelli di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione, nonché gli obblighi di sicurezza di cui agli artt. 5 e 32. In caso di violazione dei dati personali, restano applicabili gli obblighi di notifica entro 72 ore e di comunicazione agli interessati.

Sul piano operativo, il Garante invita le strutture a rafforzare le misure organizzative: formazione del personale, divieto di trattenere copie dei documenti, adeguata informativa agli ospiti e corretta regolazione dei rapporti con i fornitori di servizi. Particolare enfasi è posta sul divieto di utilizzare strumenti non sicuri, come dispositivi mobili o app di messaggistica, per la raccolta dei dati.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.