Documenti ospiti 2026: tutto quello che devi sapere

Alberghi, B&B e affittacamere non possono conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla trasmissione dei dati alle autorità di pubblica sicurezza. A ribadirlo è il Garante per la protezione dei dati personali, intervenuto con una comunicazione ufficiale inviata alle associazioni di categoria del settore turistico e ricettivo, anche alla luce del crescente numero di segnalazioni, violazioni e casi di gestione non corretta dei dati personali registrati negli ultimi mesi.

La normativa italiana prevede che i gestori delle strutture ricettive siano tenuti a identificare gli ospiti al momento del check-in e a comunicare i relativi dati alle autorità tramite il portale “Alloggiati Web”, il sistema utilizzato dalla Polizia di Stato per la registrazione delle presenze. Tuttavia, precisa il Garante, questo obbligo non autorizza in alcun modo la conservazione di fotocopie, scansioni o fotografie dei documenti d’identità degli ospiti, pratica che invece continua a essere molto diffusa in numerose strutture.

Negli ultimi anni, soprattutto nel settore dei B&B, delle case vacanza e degli affittacamere, si è infatti consolidata l’abitudine di fotografare i documenti con smartphone personali oppure di richiederne l’invio anticipato tramite applicazioni di messaggistica istantanea come WhatsApp, Telegram o e-mail. Si tratta di comportamenti apparentemente comodi e rapidi, ma che secondo l’Autorità espongono i clienti a rischi elevati e spesso sottovalutati.

La conservazione impropria delle immagini dei documenti può infatti favorire accessi abusivi ai dati, smarrimenti, diffusioni non autorizzate e persino fenomeni di furto d’identità. Il rischio aumenta ulteriormente quando i file vengono archiviati su dispositivi personali, cloud non protetti o chat di messaggistica prive di adeguate misure di sicurezza.

Privacy e sicurezza dei dati: gli obblighi delle strutture ricettive

Per questo motivo il Garante ribadisce che, una volta completata la comunicazione dei dati alle autorità competenti attraverso il portale dedicato, eventuali copie dei documenti raccolte esclusivamente per tale finalità devono essere immediatamente cancellate o distrutte. La conservazione successiva non trova alcuna base giuridica e rappresenta quindi un trattamento illecito dei dati personali.

L’unico elemento che può essere mantenuto dalla struttura ricettiva è la ricevuta dell’avvenuta comunicazione generata automaticamente dal sistema “Alloggiati Web”. Tale ricevuta, necessaria per dimostrare l’avvenuto adempimento degli obblighi previsti dalla legge, può essere conservata per cinque anni.

L’Autorità richiama inoltre l’attenzione dei titolari del trattamento sull’importanza di adottare adeguate misure di sicurezza nella gestione delle informazioni personali degli ospiti. Le strutture ricettive sono infatti tenute a proteggere i dati raccolti da accessi non autorizzati, perdite accidentali o utilizzi impropri, predisponendo procedure interne chiare e formando correttamente il personale incaricato del trattamento.

Particolare attenzione deve essere posta anche all’utilizzo di strumenti digitali e dispositivi mobili. Smartphone, tablet e computer utilizzati per raccogliere o trasmettere dati personali devono essere protetti con sistemi di autenticazione sicuri, aggiornamenti costanti e misure di cifratura adeguate, così da ridurre il rischio di violazioni o sottrazioni di informazioni sensibili.

Il Garante ricorda inoltre che, in caso di violazione dei dati personali — il cosiddetto data breach — i gestori delle strutture ricettive sono soggetti a precisi obblighi normativi. Tra questi rientra la notifica dell’incidente all’Autorità entro 72 ore dal momento in cui se ne viene a conoscenza e, nei casi più gravi, la comunicazione della violazione anche alle persone coinvolte, soprattutto quando esiste un rischio elevato per i loro diritti e le loro libertà.

Le associazioni di categoria sono state quindi invitate a diffondere in modo capillare queste indicazioni tra i propri iscritti, promuovendo comportamenti conformi alla normativa privacy e una maggiore consapevolezza nella gestione dei dati personali. Il settore ricettivo, infatti, tratta ogni anno le informazioni di milioni di viaggiatori italiani e stranieri, rendendo fondamentale il rispetto delle regole in materia di protezione dei dati e sicurezza informatica.