Hotel e B&B, stop alle copie dei documenti degli ospiti

Alberghi, B&B e affittacamere non possono conservare copie dei documenti degli ospiti, né su carta né in formato digitale, oltre il tempo strettamente necessario alla trasmissione dei dati alle autorità di pubblica sicurezza. Il chiarimento arriva dal Garante per la protezione dei dati personali, con una nota ufficiale pubblicata il 29 aprile 2026 e indirizzata alle associazioni di categoria.

Il chiarimento del Garante dopo i furti di dati

L’intervento dell’Autorità nasce da una situazione diventata particolarmente delicata dopo i gravi episodi emersi nell’agosto 2025, quando migliaia di scansioni ad alta risoluzione di documenti d’identità erano state sottratte a strutture ricettive che le conservavano in modo improprio o le condividevano attraverso canali non sicuri.

Il rischio per gli ospiti è concreto: una copia del documento, se finisce nelle mani sbagliate, può essere utilizzata per furti d’identità, frodi, attivazioni indebite di servizi o altri usi illeciti. Per questo il Garante ha ribadito che l’identificazione resta obbligatoria, ma deve essere svolta rispettando il principio di minimizzazione previsto dal GDPR, cioè raccogliendo e trattando solo i dati necessari.

Cosa devono fare le strutture ricettive

L’obbligo di identificazione degli ospiti è previsto dall’articolo 109 del TULPS, ma la procedura corretta non autorizza la conservazione di fotocopie o scansioni. Il documento deve essere verificato a vista e i dati richiesti devono essere inseriti nel portale Alloggiati Web del Ministero dell’Interno, unico soggetto legittimato a conservarli per cinque anni.

Una volta trasmessi i dati e generata la ricevuta di avvenuta comunicazione, la struttura deve cancellare immediatamente eventuali file digitali e distruggere eventuali copie cartacee. È vietato fotografare il documento con lo smartphone, richiederne l’invio tramite WhatsApp o altre app di messaggistica, creare archivi interni di scansioni o mantenere immagini temporanee dopo la comunicazione.

L’unico documento che la struttura può conservare per cinque anni è la ricevuta dell’avvenuta trasmissione al portale Alloggiati Web. I gestori devono inoltre fornire agli ospiti l’informativa privacy prevista dall’articolo 13 del GDPR, formare il personale sulle corrette procedure e verificare che software di prenotazione, check-in e gestione ospiti siano conformi alle regole sui responsabili del trattamento.

Data breach e supporto alle imprese

In caso di violazione dei dati, la struttura ha l’obbligo di notificare il data breach al Garante entro 72 ore. La gestione dei documenti degli ospiti diventa quindi un passaggio operativo da rivedere con attenzione, perché errori apparentemente abituali possono trasformarsi in rischi rilevanti per clienti e gestori.

CNA Ancona mette a disposizione delle strutture ricettive associate il proprio servizio Privacy e Cyber Security per valutare la conformità delle procedure, aggiornare le informative, formare il personale e verificare i fornitori tecnologici. La responsabile del servizio, Francesca Giuliani, sottolinea che le nuove indicazioni richiedono interventi pratici e immediati, non semplici adempimenti formali.

Le strutture interessate possono richiedere un confronto diretto scrivendo a [email protected]. L’obiettivo è evitare pratiche non conformi, proteggere gli ospiti e ridurre il rischio di sanzioni, costruendo procedure di check-in più sicure, tracciabili e rispettose della normativa.