Alberghi e documenti degli ospiti il Garante dice no alle copie conservate

Alberghi e documenti degli ospiti il Garante dice no alle copie conservate

Quando arriviamo in albergo, ormai lo sappiamo: ci chiedono il documento, prendono i dati e fanno la comunicazione prevista dalla legge. Fin qui tutto normale.

Il problema nasce dopo.

Perché in molte strutture si è diffusa un’abitudine pericolosa: fare la fotocopia del documento, scattare una foto con lo smartphone, farselo mandare su WhatsApp o conservarne l’immagine “per sicurezza”. Ecco, il Garante Privacy è intervenuto proprio su questo punto, chiarendo che questa pratica non va bene.

Il messaggio è semplice: identificare l’ospite sì, conservare la copia del documento no.

Gli alberghi e le strutture ricettive hanno l’obbligo di identificare le persone alloggiate e comunicare i relativi dati alle autorità di pubblica sicurezza tramite il portale Alloggiati Web. Ma questo non significa che la struttura possa trattenere fotocopie, scansioni o immagini dei documenti degli ospiti.

Qui bisogna fare attenzione, perché spesso si confonde l’obbligo di comunicare i dati con la possibilità di conservare tutto.

Sono due cose diverse.

L’obbligo è trasmettere i dati richiesti. Non è creare un archivio di carte d’identità, passaporti o patenti.

Il Garante lo dice chiaramente: una volta completata la comunicazione alle autorità, eventuali copie acquisite devono essere immediatamente cancellate o distrutte. L’unico documento che può essere conservato è la ricevuta prodotta dal portale, che serve a dimostrare l’avvenuta comunicazione e va conservata per cinque anni.

E perché tutto questo è così importante?

Perché un documento d’identità non è un dato qualsiasi.

Dentro ci sono nome, cognome, data di nascita, luogo di nascita, fotografia, numero del documento, firma, cittadinanza. Sono informazioni che, se finiscono nelle mani sbagliate, possono essere usate per furti d’identità, truffe, aperture di account falsi, contratti non richiesti e altri problemi molto concreti.

È un po’ come lasciare le chiavi di casa sul bancone della reception e dire: “Tanto poi le riprendo”. Magari non succede nulla. Ma se qualcuno le prende, il problema diventa serio.

Negli ultimi mesi, il Garante ha rilevato un aumento di segnalazioni, reclami e violazioni dei dati personali proprio nel settore ricettivo. In alcuni casi si è parlato anche di esfiltrazione di grandi quantità di copie di documenti d’identità degli ospiti.

E qui entra in gioco il GDPR.

Perché il GDPR non dice semplicemente “non devi fare”. Dice: raccogli solo ciò che serve, conservalo solo per il tempo necessario, proteggilo in modo adeguato e spiega chiaramente alle persone cosa stai facendo con i loro dati.

Nel caso degli alberghi, il principio è abbastanza lineare: se il dato serve per adempiere a un obbligo di legge, lo tratti per quella finalità. Ma quando quella finalità è stata raggiunta, non puoi continuare a conservarlo “per comodità”, “per abitudine” o “perché abbiamo sempre fatto così”.

Il “abbiamo sempre fatto così” è uno dei peggiori nemici della privacy.

Pensiamo alla foto del documento inviata su WhatsApp. Sembra una soluzione veloce, soprattutto per check-in da remoto, case vacanza o piccoli B&B. Ma dove finisce quella foto? Resta nella chat? Viene salvata nella galleria del telefono? Finisce su un backup cloud personale? Chi può accedervi?

Il Garante invita espressamente le strutture a evitare foto con dispositivi mobili e l’uso di servizi di messaggistica istantanea, salvo modalità che garantiscano davvero il rispetto della normativa.

Questo significa che la gestione dei dati degli ospiti deve essere organizzata, non improvvisata.

Una struttura ricettiva dovrebbe avere procedure chiare per il personale: cosa chiedere, cosa inserire, cosa non copiare, cosa cancellare, cosa distruggere, cosa conservare e per quanto tempo.

Perché non basta dire “lo sa la ragazza alla reception” oppure “se ne occupa il gestionale”. Se c’è un errore, il titolare del trattamento è la struttura. E se c’è una violazione dei dati personali, possono scattare obblighi precisi, compresa la notifica al Garante entro 72 ore e, nei casi più gravi, anche la comunicazione agli interessati.

C’è poi un altro punto importante: i fornitori.

Molte strutture usano software gestionali, sistemi di prenotazione, strumenti per il check-in online, servizi esterni per acquisire o trattare i dati degli ospiti. In questi casi non basta scegliere il programma più comodo. Bisogna verificare come quel fornitore tratta i dati e regolare correttamente il rapporto, anche ai sensi dell’art. 28 del GDPR, quando il fornitore agisce come responsabile del trattamento.

La privacy, quindi, non è solo il cartello sul bancone o l’informativa stampata in fondo al modulo.

È il modo in cui lavori ogni giorno.

Per una struttura ricettiva, fare le cose bene significa:

chiedere il documento per identificare l’ospite;

inserire i dati richiesti nel portale Alloggiati Web;

non conservare copie del documento dopo la comunicazione;

cancellare eventuali immagini digitali e distruggere eventuali copie cartacee;

conservare solo la ricevuta dell’avvenuta comunicazione;

istruire il personale;

verificare i fornitori;

informare correttamente gli ospiti.

Questo non blocca il lavoro dell’albergo. Lo rende più sicuro.

Perché l’ospite non ti sta consegnando solo un documento. Ti sta affidando un pezzo della sua identità. E quando una persona ti affida qualcosa di così importante, il minimo è trattarlo con cura.

Il punto è proprio questo: la privacy non è una complicazione in più. È una forma di rispetto.

E per alberghi, B&B, affittacamere e case vacanza, oggi il messaggio del Garante è chiarissimo: i dati degli ospiti vanno raccolti quando servono, comunicati quando la legge lo impone, protetti sempre e cancellati quando non devono più essere conservati.

Perché una buona accoglienza non si vede solo dalla camera pulita o dalla colazione servita bene. Si vede anche da come tratti i dati di chi sceglie di dormire da te.

created 2026-07-09-20-38-14