Il Garante privacy richiama gli operatori extralberghieri: conservare copie dei documenti degli ospiti è illegittimo. ANBBA spiega rischi e buone pratiche.
Di Cesare Gherardi – Direttore ANBBA
Il recente intervento del Garante per la protezione dei dati personali non è un semplice chiarimento amministrativo, ma un segnale forte e inequivocabile rivolto a tutto il comparto ricettivo italiano. Il comunicato stampa del 29 aprile 2026 nasce da un aumento concreto di segnalazioni e violazioni, e richiama con decisione gli operatori al rispetto delle regole in materia di trattamento dei dati personali degli ospiti.
Il passaggio centrale, che merita di essere evidenziato senza ambiguità, è il seguente: la conservazione di copie dei documenti di identità degli ospiti, una volta effettuata la comunicazione alle autorità di pubblica sicurezza, è illegittima e deve cessare immediatamente. Non si tratta di un’opinione, ma dell’applicazione diretta di un sistema normativo articolato e cogente.
Il riferimento primario è l’art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza (R.D. n. 773/1931), che impone agli esercenti l’obbligo di identificare gli ospiti e trasmettere i dati tramite il portale Alloggiati Web. Tale obbligo non autorizza in alcun modo la conservazione di copie documentali. A rafforzare questo principio interviene il Regolamento (UE) 2016/679 (GDPR), che costituisce oggi l’architrave della protezione dei dati personali in Europa.
[NOTA: verificare che il comunicato stampa del Garante del 29 aprile 2026 sia effettivamente pubblicato e accessibile; in caso contrario, riformulare il riferimento.]
In particolare, occorre richiamare alcuni principi fondamentali del GDPR, spesso citati ma non sempre applicati correttamente:
- art. 5, par. 1, lett. c) – principio di minimizzazione dei dati: devono essere trattati solo i dati strettamente necessari;
- art. 5, par. 1, lett. e) – limitazione della conservazione: è vietato mantenere i dati oltre il tempo necessario;
- art. 6 – liceità del trattamento: è richiesta una base giuridica precisa;
- art. 32 – sicurezza del trattamento: obbligo di adottare misure tecniche e organizzative adeguate;
- artt. 33 e 34 – obblighi in caso di violazione dei dati personali (data breach), inclusa la notifica entro 72 ore.
A questi si affiancano ulteriori riferimenti normativi europei e nazionali, tra cui la Direttiva (UE) 2016/680 e il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), come modificato dal D.Lgs. 101/2018.
Nonostante questo impianto normativo estremamente chiaro, nella pratica quotidiana si osservano comportamenti che vanno nella direzione opposta. Ed è qui che il richiamo del Garante assume un valore ancora più incisivo.
Oggi il vero problema non è solo la conservazione intenzionale dei documenti, ma quella inconsapevole e diffusa, alimentata dall’uso crescente del self check-in e di strumenti digitali non adeguatamente controllati. In molte strutture, soprattutto di piccole dimensioni, si è diffusa la prassi di richiedere documenti via applicazioni di messaggistica, di fotografarli con smartphone o di gestirli attraverso piattaforme online.
Queste modalità generano una moltiplicazione delle copie che sfugge al controllo diretto dell’operatore. Anche quando si procede alla cancellazione, il dato può permanere in forme invisibili: backup automatici, sincronizzazioni cloud, cache di sistema, archivi temporanei. È la cosiddetta “falsa cancellazione”: una condizione in cui il dato sembra eliminato ma resta tecnicamente recuperabile.
In questo contesto, il principio richiamato dal Garante diventa ancora più stringente: non basta cancellare, occorre garantire l’effettiva e definitiva eliminazione del dato. Diversamente, si configura una violazione degli obblighi di sicurezza e responsabilità previsti dal GDPR.
Il self check-in, presentato spesso come soluzione moderna ed efficiente, rischia così di trasformarsi in un punto critico del sistema. Non tanto per la tecnologia in sé, quanto per l’uso improprio e non consapevole che ne viene fatto. L’assenza di contatto diretto, l’utilizzo di dispositivi personali e la gestione non strutturata dei dati aumentano esponenzialmente i rischi.
È in questo scenario che si inserisce la posizione storica di ANBBA, che fin dalla sua nascita ha sostenuto un modello di ricettività fondato su un principio semplice ma fondamentale: l’accoglienza della persona è il vero valore distintivo delle strutture a carattere familiare. Non un passaggio burocratico, non una procedura automatizzata, ma un momento di relazione diretta, che consente anche una gestione più corretta e sicura dei dati.
Il contatto umano non è solo un elemento qualitativo dell’esperienza turistica: rappresenta anche una forma di controllo naturale e immediato sul trattamento delle informazioni personali. Ridurre tutto a un processo digitale significa perdere questo presidio e, al tempo stesso, aumentare l’esposizione a rischi normativi e operativi.
Per questo ANBBA ritiene che la risposta non possa limitarsi al rispetto formale delle norme, ma debba passare attraverso un percorso più ampio, sintetizzabile in un concetto chiave: educazione all’accoglienza. Un approccio che integra competenze normative, consapevolezza digitale e capacità relazionale.
Su queste basi, l’Associazione promuoverà un webinar dedicato, con l’obiettivo di fornire agli operatori strumenti concreti per affrontare le nuove sfide del settore, nel rispetto delle regole e nella valorizzazione del rapporto umano.
Il richiamo del Garante rappresenta dunque un punto di svolta. Non un vincolo da subire, ma un’opportunità per ripensare il modello di gestione dell’ospitalità. Perché oggi, più che mai, la tutela dei dati personali coincide con la tutela della dignità e della fiducia dell’ospite. E su questo terreno non sono ammesse scorciatoie.
