📋 Fonte ufficiale: Questo articolo si basa sulla nota di chiarimento del Garante Privacy del 29 aprile 2026 (docweb 10244289) e sul relativo comunicato stampa (docweb 10244195), pubblicati su garanteprivacy.it e inviati alle associazioni di categoria del settore ricettivo.

Documenti identita ospiti GDPR strutture ricettive: cosa dice il Garante e cosa cambia per B&B e hotel

Le regole sui documenti identita ospiti GDPR strutture ricettive sono cambiate: il 29 aprile 2026 il Garante per la protezione dei dati personali ha chiarito ufficialmente cosa puoi fare e cosa non puoi fare con i documenti dei tuoi clienti. Se gestisci un B&B, un affittacamere, un agriturismo o un piccolo hotel, probabilmente hai fotografato almeno una volta un documento con lo smartphone o chiesto all’ospite di inviartelo via WhatsApp. Queste pratiche violano il GDPR e il Garante, alla luce di un aumento di data breach nel settore, ha deciso di intervenire con una nota inviata direttamente alle associazioni di categoria.

Documenti identita ospiti GDPR strutture ricettive: cosa ha chiarito il Garante il 29 aprile 2026

La nota di chiarimento (docweb 10244289) parte da un dato di fatto: negli ultimi mesi il Garante ha registrato un aumento significativo di segnalazioni, reclami e violazioni di dati personali nel settore ricettivo. Il problema principale riguarda la conservazione non autorizzata di copie dei documenti di identità degli ospiti – carte di identità, passaporti, patenti – dopo che la comunicazione obbligatoria alle autorità di pubblica sicurezza è già stata effettuata.

La regola è semplice e non lascia margini di interpretazione:

• Puoi raccogliere i dati del documento per inserirli nel portale Alloggiati Web (il sistema della Polizia di Stato per la comunicazione degli alloggiati)
• Non puoi conservare copia del documento – né fotocopia, né scansione, né foto con smartphone – dopo aver completato la trasmissione
• Devi cancellare o distruggere immediatamente qualsiasi copia acquisita, non appena la trasmissione è avvenuta
• Puoi conservare solo la ricevuta di avvenuta comunicazione generata automaticamente dal portale Alloggiati Web, per cinque anni come prova dell’adempimento

Perché questa pratica viola il GDPR: i principi in gioco

Il Garante fonda il chiarimento su tre principi del GDPR che vengono violati dalla conservazione non autorizzata delle copie dei documenti:

1. Minimizzazione dei dati (art. 5, par. 1, lett. c GDPR) – I dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. La finalità – comunicare i dati alle autorità di pubblica sicurezza – si esaurisce nel momento in cui la trasmissione ad Alloggiati Web è completata. Dopo quel momento, conservare la copia del documento è un trattamento privo di finalità e quindi privo di base giuridica.

2. Limitazione della finalità (art. 5, par. 1, lett. b GDPR) – La base giuridica del trattamento è l’obbligo legale di comunicazione alle autorità (art. 6, par. 1, lett. c GDPR), fondato sull’art. 109 del TULPS (Testo Unico delle Leggi di Pubblica Sicurezza, R.D. 773/1931) e sul D.M. 7 gennaio 2013 che regola Alloggiati Web. Questa base giuridica copre la raccolta e la trasmissione dei dati, non la conservazione successiva della copia del documento.

3. Sicurezza dei dati (art. 32 GDPR) – Conservare immagini di documenti di identità su smartphone personali, app di messaggistica come WhatsApp, o sistemi non protetti espone i dati a rischi concreti: furti d’identità, accessi non autorizzati, esfiltrazione di dati in caso di data breach. Il Garante ha registrato un aumento degli episodi di violazione dei dati personali nel settore ricettivo proprio per questa ragione.

Le pratiche vietate: cosa fa la maggior parte dei B&B (e non dovrebbe fare)

Il Garante ha individuato alcune pratiche diffuse, soprattutto tra B&B e affittacamere, che violano il GDPR:

• Fotografare il documento con lo smartphone durante il check-in e conservare la foto nella galleria del telefono
• Chiedere all’ospite di inviare il documento via WhatsApp prima dell’arrivo per “velocizzare” il check-in
• Scansionare il documento e salvarlo in una cartella condivisa (Google Drive, Dropbox, server interno) senza cancellarlo dopo la trasmissione ad Alloggiati Web
• Usare gestionali alberghieri o app di check-in che archiviano automaticamente le copie dei documenti senza configurazione specifica per la cancellazione post-trasmissione
• Conservare fotocopie cartacee del documento in un raccoglitore o cassetto, anche se la struttura non ha sistemi digitali

Tutte queste pratiche sono vietate, indipendentemente dalla buona fede del gestore e dal fatto che siano state adottate “per abitudine” o “per sicurezza”.

Tre scenari pratici per chi gestisce una struttura ricettiva

Scenario 1 – Il B&B con check-in da remoto via WhatsApp

Lucia gestisce un B&B a Firenze con 4 camere. Avendo spesso arrivi serali senza personale in loco, ha organizzato il check-in da remoto: chiede agli ospiti di inviarle via WhatsApp la foto del documento prima dell’arrivo, in modo da poter inserire i dati in Alloggiati Web senza aspettare. Dopo la trasmissione, la foto rimane nella chat di WhatsApp sul suo smartphone.

Violazioni GDPR rilevate: WhatsApp non è un canale sicuro per la trasmissione di dati personali sensibili come i documenti di identità. La foto rimane archiviata sul server di Meta (vedi il nostro articolo su Meta AI e GDPR), sul dispositivo di Lucia e potenzialmente su backup automatici del telefono. Non esiste un DPA con Meta per questo utilizzo. La conservazione post-trasmissione viola il principio di minimizzazione.

Soluzione conforme: usare un form di pre-check-in sicuro (molti PMS – Property Management System – lo offrono) dove l’ospite inserisce direttamente i propri dati anagrafici, senza inviare l’immagine del documento. Il form deve essere configurato per non conservare i dati oltre la trasmissione ad Alloggiati Web.

Scenario 2 – L’agriturismo con gestionale che archivia le scansioni

Pietro gestisce un agriturismo in Toscana e usa un software gestionale che, durante il check-in, scansiona il documento tramite una webcam e lo archivia automaticamente nella scheda cliente per “facilitare eventuali ritorni”. Il gestionale ha anche una funzione di sincronizzazione con Alloggiati Web.

Violazioni GDPR rilevate: il gestionale conserva le scansioni dei documenti ben oltre il momento della trasmissione ad Alloggiati Web, e lo fa per una finalità (facilitare ritorni futuri) non coperta dalla base giuridica dell’obbligo legale. Pietro, come titolare del trattamento, è responsabile del funzionamento del software che usa. Deve anche verificare se ha firmato un DPA con il fornitore del gestionale ai sensi dell’art. 28 GDPR.

Soluzione conforme: contattare il fornitore del gestionale e richiedere la disattivazione dell’archiviazione automatica delle scansioni, oppure configurare la cancellazione automatica dopo la trasmissione ad Alloggiati Web. Verificare e firmare il DPA con il fornitore. Aggiornare il registro dei trattamenti con una nota sulle modifiche apportate.

Scenario 3 – L’affittacamere su Airbnb con data breach non notificato

Sara gestisce un appartamento su Airbnb a Milano. Conserva le foto dei documenti degli ospiti in una cartella su Google Drive, pensando di essere “al sicuro” perché usa un servizio cloud affidabile. Un giorno il suo account Google viene compromesso e i dati di decine di ospiti – nomi, date di nascita, numeri di documento – vengono potenzialmente esposti.

Problemi GDPR multipli: la conservazione in Google Drive non è conforme (mancanza di DPA, finalità non giustificata), ma il problema più grave è che Sara non sa di dover notificare il data breach al Garante entro 72 ore dalla scoperta (art. 33 GDPR). Se la violazione comporta un rischio elevato per i diritti degli interessati, deve anche informare direttamente gli ospiti coinvolti (art. 34 GDPR). Non farlo espone a sanzioni aggiuntive, separate dalla violazione originaria.

Cosa fare in caso di data breach: notificare al Garante su garanteprivacy.it entro 72 ore. Se il rischio è elevato (documenti di identità esposti rientrano quasi sempre in questa categoria), informare gli ospiti coinvolti senza ritardo. Documentare tutto nel registro dei trattamenti.

Gli obblighi che il Garante ricorda ai gestori: lista completa

La nota di chiarimento (docweb 10244289) elenca obblighi specifici per i gestori di strutture ricettive. Li riportiamo integralmente nella loro sostanza:

1. Informare chiaramente gli ospiti sulle modalità di raccolta e utilizzo dei dati del documento – anche verbalmente al check-in e tramite l’informativa privacy affissa in struttura o consegnata all’arrivo
2. Non fotografare i documenti con smartphone né raccoglierli tramite app di messaggistica (WhatsApp, Telegram, ecc.)
3. Cancellare immediatamente qualsiasi copia del documento dopo la trasmissione ad Alloggiati Web
4. Conservare la ricevuta di avvenuta comunicazione generata da Alloggiati Web per cinque anni
5. Firmare un DPA (accordo di responsabile del trattamento) con tutti i fornitori di software gestionali e servizi di acquisizione dati che trattano i dati degli ospiti per conto della struttura (art. 28 GDPR)
6. Formare il personale del front desk sulle procedure corrette di raccolta, trasmissione e cancellazione dei dati
7. Adottare misure tecniche e organizzative adeguate (art. 32 GDPR) per proteggere i dati raccolti durante il processo di check-in
8. Notificare eventuali data breach al Garante entro 72 ore e, se il rischio è elevato, informare anche gli ospiti coinvolti (artt. 33 e 34 GDPR)

Cosa rischi se non ti metti in regola

La nota del Garante del 29 aprile 2026 non è un provvedimento sanzionatorio diretto, ma ha valore orientativo significativo e anticipa possibili controlli nel settore. Le violazioni degli artt. 5, 6 e 32 GDPR rilevate nelle pratiche descritte sono punibili con sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (art. 83, par. 4 GDPR). In caso di violazioni dei principi fondamentali del trattamento, la soglia sale fino a 20 milioni di euro o al 4% del fatturato (art. 83, par. 5 GDPR).

Per un B&B o un affittacamere, le sanzioni concrete sono ovviamente proporzionate alle dimensioni dell’attività, ma il Garante ha già irrogato sanzioni significative a strutture ricettive di piccole dimensioni in passato. A queste si aggiunge la possibilità di richieste di risarcimento danni da parte degli ospiti lesi (art. 82 GDPR) e, in caso di data breach non notificato, sanzioni aggiuntive specifiche.

Il principio vale oltre il settore ricettivo: chi altro deve adeguarsi

Il chiarimento del Garante riguarda formalmente le strutture ricettive, ma il principio di minimizzazione applicato è generale e si estende a qualsiasi PMI o freelance che raccoglie copie di documenti di identità per adempiere a un obbligo normativo. Tra i casi analoghi:

• Studi professionali (commercialisti, avvocati, consulenti) che conservano copie dei documenti dei clienti oltre la necessità dell’adempimento specifico
• Palestre e centri sportivi che fotocopiano i documenti per l’iscrizione e li conservano indefinitamente
• Noleggi auto, bici e attrezzature che fotografano la patente o il documento del cliente e non la cancellano dopo la verifica
• Centri medici e ambulatori che acquisiscono il documento per la fatturazione e lo conservano oltre la finalità fiscale

In tutti questi casi, la regola è la stessa: raccogli i dati necessari per la finalità specifica, usali per quella finalità, poi cancella. Per costruire un processo corretto di gestione dei dati nella tua attività, consulta la nostra guida alla mappatura dei trattamenti e la guida GDPR per PMI.

Checklist operativa per B&B, hotel e affittacamere

1. Elimina subito le foto di documenti salvate sullo smartphone aziendale o personale usato per il lavoro
2. Cancella le chat WhatsApp o Telegram che contengono immagini di documenti degli ospiti
3. Controlla il tuo gestionale alberghiero – verifica se archivia le scansioni dei documenti e, se sì, disattiva questa funzione o richiedi al fornitore una configurazione conforme
4. Firma il DPA con il fornitore del gestionale se non lo hai ancora fatto
5. Predisponi o aggiorna l’informativa privacy da consegnare agli ospiti al check-in – deve spiegare che i dati del documento vengono usati solo per Alloggiati Web e poi cancellati. Uno strumento come iubenda può aiutarti a generare documenti conformi aggiornabili
6. Forma il personale sulle nuove procedure: niente foto con smartphone, niente WhatsApp, cancellazione immediata dopo Alloggiati Web
7. Conserva le ricevute di Alloggiati Web per cinque anni – sono l’unica prova dell’adempimento che il Garante ti riconosce
8. Prepara una procedura di data breach – sai cosa fare se i dati degli ospiti vengono esposti? Hai 72 ore per notificare al Garante

Domande frequenti

Posso fotografare il documento dell’ospite con lo smartphone per velocizzare il check-in?

No. Il Garante ha specificato esplicitamente che fotografare i documenti con smartphone è una pratica non conforme al GDPR. Puoi acquisire i dati necessari per Alloggiati Web durante il check-in (nome, cognome, data di nascita, numero documento, ecc.), ma non puoi conservare la fotografia del documento sul telefono dopo aver completato la trasmissione.

Posso chiedere all’ospite di inviarmi il documento via WhatsApp prima dell’arrivo?

Il Garante cita esplicitamente WhatsApp come esempio di pratica non conforme. Puoi raccogliere i dati identificativi in anticipo tramite un form sicuro o il tuo gestionale, ma non puoi conservare l’immagine del documento su app di messaggistica. Se lo fai e subisci un data breach, sei esposto a sanzioni GDPR e all’obbligo di notifica entro 72 ore.

Cosa devo conservare come prova dell’adempimento?

L’unico documento che puoi e devi conservare è la ricevuta di avvenuta comunicazione generata automaticamente dal portale Alloggiati Web. Questa ricevuta va conservata per cinque anni come prova dell’adempimento dell’obbligo di comunicazione alle autorità di pubblica sicurezza.

Se uso un gestionale alberghiero che conserva le copie dei documenti, sono in violazione?

Sì, se il gestionale archivia le immagini dei documenti dopo la trasmissione ad Alloggiati Web. Devi verificare le impostazioni del software e, se necessario, disabilitare la funzione di archiviazione delle copie. Devi anche regolare il rapporto con il fornitore tramite un accordo di responsabile del trattamento (DPA) ai sensi dell’art. 28 GDPR.

Questo obbligo vale anche per gli agriturismi e le case vacanza su Airbnb?

Sì. La nota del Garante del 29 aprile 2026 si applica a tutte le strutture ricettive soggette all’obbligo di comunicazione ad Alloggiati Web: hotel, B&B, affittacamere, agriturismi, case vacanza e strutture di accoglienza non convenzionali. Il fatto di operare tramite piattaforme come Airbnb o Booking non esonera dall’obbligo di rispettare il GDPR come titolare del trattamento.

Approfondisci

Fonti e riferimenti ufficiali

• Garante Privacy italiano – Nota di chiarimento trattamento documenti identita ospiti strutture ricettive, 29 aprile 2026 (docweb 10244289): garanteprivacy.it
• Garante Privacy italiano – Comunicato stampa, 29 aprile 2026 (docweb 10244195): garanteprivacy.it
• Regolamento (UE) 2016/679 (GDPR) – Artt. 5, 6, 28, 32, 33, 34, 82, 83: eur-lex.europa.eu
• Regio Decreto 18 giugno 1931, n. 773 (TULPS) – Art. 109 (obbligo di comunicazione alloggiati)
• D.M. 7 gennaio 2013 – Disciplina del portale Alloggiati Web della Polizia di Stato

Questo articolo non costituisce consulenza legale.