Il Garante stoppa la copia dei documenti negli hotel: cosa devono fare subito alberghi, B&B e affittacamere

Con una nota ufficiale pubblicata il 29 aprile 2026 e indirizzata alle associazioni di categoria, il Garante per la protezione dei dati personali ha chiarito in modo definitivo un punto su cui molte strutture ricettive operavano in modo irregolare: alberghi, B&B e affittacamere non possono conservare copie dei documenti degli ospiti, né in formato cartaceo né digitale, al di là del tempo strettamente necessario alla trasmissione dei dati alle autorità di pubblica sicurezza.

L'intervento dell'Autorità non è casuale. Già nell'agosto 2025 il Garante aveva avviato verifiche a seguito di gravi episodi di furto di dati: migliaia di scansioni ad alta risoluzione erano state sottratte a strutture che le conservavano impropriamente o le condividevano attraverso canali non sicuri, con rischi concreti di furto d'identità per gli ospiti coinvolti.

Cosa dice la normativa

L'identificazione degli ospiti resta un obbligo di legge previsto dall'art. 109 del TULPS, ma le modalità devono rispettare il principio di minimizzazione dei dati sancito dal GDPR. La procedura corretta prevede che i dati vengano inseriti esclusivamente nel portale "Alloggiati Web" del Ministero dell'Interno, unico soggetto autorizzato a conservarli per cinque anni. Una volta generata la ricevuta di avvenuta comunicazione, la struttura ricettiva è tenuta a cancellare immediatamente qualsiasi file digitale e a distruggere eventuali fotocopie.

Le regole operative per i gestori

Il Garante ha indicato con precisione i comportamenti obbligatori. Il documento va verificato a vista, inserendo solo i dati richiesti dal decreto ministeriale. È vietato fotografarlo con lo smartphone o richiederne l'invio tramite WhatsApp o altre app di messaggistica. Non è ammessa nessuna forma di archivio di scansioni o fotocopie: le immagini temporanee devono essere eliminate subito dopo la trasmissione. L'unico documento da conservare per cinque anni è la ricevuta dell'avvenuta comunicazione al portale Alloggiati Web. È inoltre necessario informare l'ospite su come vengono gestiti i suoi dati attraverso l'informativa prevista dall'art. 13 del GDPR, formare il personale sul divieto assoluto di trattenere copie, e verificare che i software di gestione prenotazioni e check-in siano conformi all'art. 28 del Regolamento UE.

In caso di violazione dei dati (data breach), l'obbligo di notifica al Garante deve avvenire entro 72 ore.

Il servizio Privacy di CNA Ancona

"Le nuove indicazioni del Garante richiedono una revisione concreta delle procedure operative nelle strutture ricettive", afferma la dott.ssa Francesca Giuliani, responsabile del servizio Privacy e Cyber Security di CNA Ancona. "Non si tratta di adempimenti burocratici astratti: un data breach può causare danni seri agli ospiti e sanzioni significative per i gestori. Il nostro servizio è a disposizione per fare un'analisi della situazione e guidare le strutture verso la piena conformità, con strumenti pratici e supporto diretto."

CNA Ancona mette a disposizione delle strutture ricettive associate il proprio servizio specializzato per la valutazione della conformità privacy, la redazione delle informative, la formazione del personale e la verifica dei fornitori tecnologici.

Per un confronto diretto con la dott.ssa Francesca Giuliani: fgiuliani@an.cna.it
Ulteriori informazioni sul Servizio Privacy e Cyber Security di CNA Ancona: www.an.cna.it/servizi-2/imprese/privacy/