CONTENUTO ESCLUSIVO

Carta d’Identità fotografata su WhatsApp, poi conservata per mesi: il Garante stoppa gli alberghi e i b&b

Tempo lettura: 3 minuti Il Garante Privacy vieta a hotel e B&B di conservare copie dei documenti degli ospiti: stop a WhatsApp, foto e scansioni dopo il check-in.

Imprenditore?
Ecco cosa devi sapere

Imprenditore?
Ecco cosa devi sapere

Tempo lettura: 3 minuti

Carta d’Identità fotografata su WhatsApp, poi conservata per mesi: il Garante stoppa gli alberghi e i b&b

Il Garante per la protezione dei dati personali nella “Nota di chiarimento in materia di trattamento dei documenti di identità degli ospiti di esercizi alberghieri o di altre strutture ricettive” spiega il modo corretto per il trattamento dei documenti di identità degli ospiti da parte delle strutture ricettive.

 

 

Cosa dice la legge

 

L’art. 109 del TULPS obbliga i gestori a comunicare i dati anagrafici degli ospiti all’autorità di pubblica sicurezza tramite il portale “Alloggiati Web” del Ministero dell’Interno. Una volta inviata e ottenuta la ricevuta, i dati digitali vanno cancellati e le eventuali copie cartacee distrutte. Infatti, la conservazione per cinque anni spetta al Ministero dell’Interno, non alla struttura.

 

 

La situazione degli affitti e l’aumento dei reclami

 

Nella nota il Garante segnala un aumento di reclami e data breach nel settore. In particolare, molti gestori sono soliti fotografare i documenti identificativi con il proprio cellulare o chiedere agli ospiti di inviarne copia tramite WhatsApp.

Invece, alcune strutture si sono dotate di scanner che acquisiscono e conservano le immagini dei documenti al momento del check-in. Infatti, con il Comunicato stampa del 13 agosto 2025 il Garante per la protezione dei dati personali ha spiegato di aver avviato verifiche dopo aver ricevuto notizia di attacchi informatici a numerose strutture ricettive, con sottrazione di migliaia di scansioni di documenti di identità raccolti al momento del check-in. In tale comunicato le strutture colpite sono invitate a notificare immediatamente la violazione e ad avvisare i clienti interessati. Anche in questo caso il Garante raccomanda a tutti gli operatori di usare esclusivamente il portale della Polizia di Stato per il trattamento dei dati.

Fondamentale notare che la nota del Garante è calzante rispetto all’aumento attuale di affitti brevi in Italia. In particolare, piattaforme blasonate per la prenotazione di alloggi vacanza sono abitate da host non professionisti e spesso privi di formazione specifica in materia di privacy. Questo comporta non poche problematiche.

Inoltre, questo si intreccia con il quadro normativo sugli affitti brevi, il quale è ancora in evoluzione. Il decreto legislativo 18 novembre 2023, n. 145 ha introdotto il Codice Identificativo Nazionale (CIN) obbligatorio per tutte le strutture, aumentando gli adempimenti burocratici a carico dei gestori, ma senza affrontare organicamente il tema della privacy nel check-in. Nel frattempo, i comuni “più turistici”, tra cui Venezia, Firenze, Milano, stanno introducendo limitazioni al numero di appartamenti destinabili agli affitti brevi, aumentando la pressione regolatoria sul settore. In questo contesto, la nota del Garante aggiunge un ulteriore obbligo di compliance che la gran parte dei piccoli gestori probabilmente ignora.

 

 

Cosa vieta il Garante nella sua Nota

 

Il Garante, sottolineando la sensibilità del Documento di riconoscimento, vieta di conservare copie dei documenti di identità sia digitali che cartacee oltre il tempo strettamente necessario all’inserimento dei dati nel portale. Questo è in linea con i principi cardine del Regolamento GDPR 2016/679, che sottolinea l’importanza della minimizzazione, della limitazione e presenza delle finalità e della limitazione della conservazione. Infatti, in capo ai gestori non esiste alcuna base giuridica per trattare questi dati oltre la comunicazione alle competenti autorità.

Inoltre, il Garante chiede alle strutture di: formare il personale e vietare espressamente la conservazione di copie; informare gli ospiti in modo chiaro; regolare contrattualmente i rapporti con i fornitori di software gestionale; non utilizzare fotografie da smartphone per raccogliere i documenti.

 

 

Alcuni consigli pratici per gli host

 

Alla luce dei chiarimenti del Garante, sembra utile riassume le procedure da mettere in atto:

  • raccogliere esclusivamente i dati necessari per la comunicazione tramite il portale Alloggiati Web;
  • comunicare i dati ottenuti alle Autorità competenti tramite il portale Alloggiati Web e poi eliminarli immediatamente;
  • evitare di richiedere l’invio dei documenti tramite WhatsApp o altri sistemi di messaggistica;
  • non conservare fotografie o scansioni dei documenti oltre il tempo strettamente necessario all’adempimento degli obblighi di legge;
  • utilizzare software gestionali che garantiscano adeguati standard di sicurezza e conformità al GDPR.

SCARICA L’ULTIMO REPORT ESCLUSIVO IUSGATE

“Guida alla DIRETTIVA NIS 2

SCARICA L’ULTIMO REPORT ESCLUSIVO IUSGATE

In un mondo sempre più digitalizzato, la sicurezza informatica non è più un’opzione, ma una necessità strategica.
Inserisci i dati e ricevi subito la tua copia