Stop alle fotocopie dei documenti
in alberghi, B&B e affittacamere:
«Vietate dal Garante dopo i furti di dati»

Con una nota ufficiale pubblicata il 29 aprile scorso e indirizzata alle associazioni di categoria, il Garante per la protezione dei dati personali ha chiarito in modo definitivo un punto su cui molte strutture ricettive operavano in modo irregolare: «alberghi, B&B e affittacamere non possono conservare copie dei documenti degli ospiti, né in formato cartaceo né digitale, al di là del tempo strettamente necessario alla trasmissione dei dati alle autorità di pubblica sicurezza. L’intervento dell’Autorità non è casuale. Già nell’agosto 2025 il Garante aveva avviato verifiche a seguito di gravi episodi di furto di dati: migliaia di scansioni ad alta risoluzione erano state sottratte a strutture che le conservavano impropriamente o le condividevano attraverso canali non sicuri, con rischi concreti di furto d’identità per gli ospiti coinvolti» fa sapere una nota di Cna Ancona.

«L’identificazione degli ospiti resta un obbligo di legge previsto dall’art. 109 del Tulps, ma le modalità devono rispettare il principio di minimizzazione dei dati sancito dal Gdpr. La procedura corretta prevede che i dati vengano inseriti esclusivamente nel portale “Alloggiati Web” del Ministero dell’Interno, unico soggetto autorizzato a conservarli per cinque anni. Una volta generata la ricevuta di avvenuta comunicazione, la struttura ricettiva è tenuta a cancellare immediatamente qualsiasi file digitale e a distruggere eventuali fotocopie» prosegue l’associazione di categoria.

Il Garante ha indicato con precisione i comportamenti obbligatori. Il documento va verificato a vista, inserendo solo i dati richiesti dal decreto ministeriale. È vietato fotografarlo con lo smartphone o richiederne l’invio tramite WhatsApp o altre app di messaggistica. Non è ammessa nessuna forma di archivio di scansioni o fotocopie: le immagini temporanee devono essere eliminate subito dopo la trasmissione. L’unico documento da conservare per cinque anni è la ricevuta dell’avvenuta comunicazione al portale Alloggiati Web. È inoltre necessario informare l’ospite su come vengono gestiti i suoi dati attraverso l’informativa prevista dall’art. 13 del GDPR, formare il personale sul divieto assoluto di trattenere copie, e verificare che i software di gestione prenotazioni e check-in siano conformi all’art. 28 del Regolamento Ue. In caso di violazione dei dati (data breach), l’obbligo di notifica al Garante deve avvenire entro 72 ore.

«Le nuove indicazioni del Garante richiedono una revisione concreta delle procedure operative nelle strutture ricettive – spiega Francesca Giuliani, responsabile del servizio Privacy e Cyber Security di Cna Ancona – Non si tratta di adempimenti burocratici astratti: un data breach può causare danni seri agli ospiti e sanzioni significative per i gestori. Il nostro servizio è a disposizione per fare un’analisi della situazione e guidare le strutture verso la piena conformità, con strumenti pratici e supporto diretto». Cna Ancona mette a disposizione delle strutture ricettive associate il proprio servizio specializzato per la valutazione della conformità privacy, la redazione delle informative, la formazione del personale e la verifica dei fornitori tecnologici.