Monito agli albergatori: stop alla conservazione di copia dei documenti degli ospiti
Conservazione accettabile solo per il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza
Monito del ‘Garante per la privacy’ agli albergatori: no alla conservazione di copia dei documenti degli ospiti, poiché, dopo la comunicazione alle autorità di pubblica sicurezza, i dati vanno distrutti o cancellati (comunicato del 29 aprile 2026).
In sostanza, alberghi, ‘B&B’ e affittacamere non possono conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza.
Per fare chiarezza, il ‘Garante’ ha inviato una nota ad hoc alle associazioni di categoria del settore, anche alla luce dell’aumento di segnalazioni e violazioni dei dati personali registrate negli ultimi mesi.
Come noto, la normativa vigente impone ai gestori delle strutture ricettive di identificare i clienti e di trasmettere i relativi dati alle autorità di pubblica sicurezza tramite il portale ‘Alloggiati Web’. Tale obbligo, tuttavia, non legittima, precisa il ‘Garante’, la conservazione, da parte delle strutture, di fotocopie o immagini dei documenti d’identità.
Al contrario, negli ultimi tempi si è diffusa, soprattutto tra ‘B&B’ e affittacamere, la pratica di fotografare i documenti con smartphone o di richiederne l’invio tramite applicazioni di messaggistica, come ‘WhatsApp’, comportamenti, questi, che, sottolinea il Garante, espongono ingiustificatamente i soggetti a rischi concreti, tra cui furti d’identità e accessi illeciti ai dati personali.
Il ‘Garante’ ribadisce che, come previsto da un obbligo normativo, una volta completata la trasmissione dei dati alle autorità di pubblica sicurezza, eventuali copie dei documenti acquisite per tale finalità devono essere immediatamente cancellate o distrutte. L’unico elemento che può essere conservato è la ricevuta dell’avvenuta comunicazione, prodotta automaticamente dal portale, da conservare per cinque anni al fine di comprovare l’adempimento. Inoltre, è preciso dovere dei titolari del trattamento garantire la sicurezza dei dati personali, e, perciò, le strutture ricettive devono adottare misure adeguate per la protezione dei dati e istruire correttamente il personale incaricato della loro raccolta e gestione.
Alle associazioni di categoria è stato chiesto di diffondere tra i propri iscritti le indicazioni del ‘Garante’, soprattutto tenuto conto che l’attività ricettiva comporta ogni anno il trattamento dei dati personali di milioni di persone.