Il 29 aprile 2026 il Garante per la protezione dei dati personali ha diffuso una nota di chiarimento indirizzata alle associazioni di categoria del settore ricettivo, con indicazioni precise su come alberghi, B&B e affittacamere devono gestire i documenti d’identità dei propri ospiti.
Il messaggio è netto: conservare copie dei documenti — in qualsiasi forma — oltre il tempo strettamente necessario all’invio dei dati alle autorità è vietato. Non è una novità assoluta, ma la nota arriva in risposta a un aumento preoccupante di segnalazioni e violazioni registrate negli ultimi mesi, tra cui furti di migliaia di copie digitali di documenti già annunciati in un comunicato dell’agosto 2025.
Cosa dice la legge: identificazione sì, conservazione no
Le strutture ricettive hanno l’obbligo di legge di identificare i propri ospiti e di trasmettere i relativi dati alle autorità di pubblica sicurezza tramite il portale Alloggiati Web della Polizia di Stato.
Questo obbligo è previsto dall’art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) e dal Decreto del Ministero dell’Interno del 7 gennaio 2013.
Tuttavia, questo obbligo riguarda la trasmissione dei dati, non la conservazione di copie dei documenti.
Cosa si può conservare (e per quanto tempo)
L’unico elemento che la struttura ricettiva può — anzi, deve — conservare è la ricevuta dell’avvenuta comunicazione, generata automaticamente dal portale Alloggiati Web al completamento della trasmissione. Questa ricevuta va conservata per cinque anni, a dimostrazione dell’adempimento all’obbligo di legge.
Tutto il resto — scansioni, foto, fotocopie cartacee — deve essere eliminato immediatamente dopo l’invio dei dati.
Altre cattive abitudini
Negli ultimi anni si è diffusa — soprattutto tra B&B e affittacamere — la cattiva abitudine di fotografare i documenti con lo smartphone o di chiedere agli ospiti di inviarne una foto tramite app di messaggistica. Il Garante lo dice chiaramente: queste pratiche espongono le persone a rischi concreti, come furti d’identità e accessi illeciti ai dati.
Le misure operative richieste dal Garante
- Identificare gli ospiti con verifica visiva del documento e inserire nel sistema solo i dati richiesti dal decreto ministeriale.
- Non fotografare i documenti con dispositivi mobili e non richiederne l’invio via app di messaggistica.
- Cancellare immediatamente qualsiasi immagine o copia digitale acquisita, una volta completata la trasmissione. Distruggere anche eventuali copie cartacee.
- Conservare esclusivamente la ricevuta dell’avvenuta comunicazione, per cinque anni.
- Informare gli ospiti in modo chiaro su come vengono raccolti e utilizzati i loro dati.
- Formare e istruire il personale addetto al check-in sul divieto di trattenere copie dei documenti.
- Regolamentare i rapporti con i fornitori di software gestionale o sistemi di prenotazione (art. 28 GDPR), verificando le loro procedure di trattamento e violazione dei dati.
Un promemoria per le PMI del settore
Se gestite un albergo, un B&B, un agriturismo o qualsiasi altra struttura ricettiva, questo è il momento giusto per fare un check interno: verificare come il vostro personale gestisce i documenti degli ospiti al momento del check-in, rivedere i contratti con i fornitori software, e assicurarvi che nel vostro registro del trattamento sia correttamente descritta questa attività.
In caso di dubbi sulla conformità della vostra struttura, il nostro ufficio Privacy-GDPR è disponibile per supportarvi.
Per gli associati CNA, la verifica preliminare è gratuita!
Per maggiori informazioni potete contattarci all’indirizzo e-mail: gdpr@reggioemilia.cna.it o telefonicamente al numero 0522 356340.
