Stop alle foto dei documenti inviate via WhatsApp, alle scansioni archiviate nei computer e alle copie salvate sugli smartphone dei gestori. Con una nota pubblicata il 29 aprile 2026, il Garante per la Protezione dei Dati Personali interviene sulle modalità di gestione dei documenti negli affitti brevi e nelle strutture ricettive, chiarendo che la conservazione delle copie dei documenti degli ospiti, oltre il tempo strettamente necessario, viola la normativa privacy.
La decisione riguarda una pratica estremamente diffusa nel settore turistico: l’invio anticipato di carte d’identità tramite messaggi, email o applicazioni di messaggistica per velocizzare il check-in.
Identificazione obbligatoria, ma con limiti precisi
Le strutture ricettive sono obbligate per legge a identificare gli ospiti e a trasmettere i dati al portale Alloggiati Web della Polizia di Stato, come previsto dal Testo Unico delle Leggi di Pubblica Sicurezza.
Questo obbligo, però, non autorizza la conservazione permanente delle copie dei documenti. Secondo il Garante, una volta completata la comunicazione alle autorità, la copia della carta d’identità deve essere eliminata immediatamente.
La finalità del trattamento dei dati, infatti, è limitata esclusivamente all’identificazione dell’ospite e all’invio delle informazioni richieste alle autorità competenti.
Perché conservare i documenti è rischioso
Il Garante sottolinea che trattenere fotografie o scansioni dei documenti espone i dati personali a rischi elevati: accessi non autorizzati, smarrimenti, furti informatici o utilizzi impropri.
Nome, cognome, indirizzo e altri dati sensibili possono finire facilmente compromessi se conservati senza adeguate misure di sicurezza, soprattutto su dispositivi personali o sistemi non protetti.
Inoltre, manca una base giuridica che giustifichi la conservazione prolungata dei documenti dopo l’adempimento degli obblighi di legge.
Cosa può conservare il gestore
Secondo le indicazioni del Garante, l’unico documento che le strutture possono e devono conservare è la ricevuta generata dal portale Alloggiati Web, che certifica l’avvenuta trasmissione dei dati alla Polizia di Stato.
Questa ricevuta va mantenuta per cinque anni e rappresenta la prova dell’adempimento in caso di controlli.
Diversamente, archiviare copie dei documenti degli ospiti in cartelle cloud, computer aziendali o smartphone personali viene considerato illegittimo.
Le responsabilità delle strutture ricettive
La nota richiama con forza il principio di “accountability” previsto dal GDPR: i gestori devono essere in grado di dimostrare di aver trattato i dati personali in modo corretto, proporzionato e sicuro.
Per questo motivo le strutture dovranno:
- aggiornare le procedure di check-in;
- formare il personale;
- evitare l’utilizzo di dispositivi personali;
- rivedere informative privacy e registri dei trattamenti;
- adottare adeguate misure tecniche e organizzative.
Non basta quindi rispettare formalmente la normativa: è necessario dimostrare una gestione concreta e sicura dei dati raccolti.
Il rischio data breach e le sanzioni
Conservare documenti senza adeguata base giuridica aumenta anche il rischio di violazioni dei dati personali. In caso di furto o smarrimento di smartphone, computer o archivi digitali, il gestore potrebbe essere obbligato a notificare il data breach al Garante entro 72 ore e, nei casi più gravi, a informare direttamente gli ospiti coinvolti.
Le conseguenze economiche possono essere molto pesanti. Le violazioni del GDPR prevedono infatti sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale dell’impresa.
Per il settore degli affitti brevi e dell’ospitalità, il messaggio del Garante è chiaro: la gestione dei dati degli ospiti non può più essere affrontata con superficialità, ma richiede procedure strutturate e pienamente conformi alla normativa privacy.
