Il Garante per la protezione dei dati personali ha emesso un chiarimento formale che riguarda direttamente ogni struttura ricettiva italiana: il GDPR strutture ricettive impone di eliminare immediatamente le copie dei documenti degli ospiti dopo la comunicazione al Portale Alloggiati Web. Niente fotocopie cartacee, niente scansioni sul pc, niente foto con lo smartphone. Se la tua struttura lo fa ancora, stai violando la normativa — e rischi sanzioni concrete.
Il comunicato (docweb 10244195, 29 aprile 2026) è stato indirizzato direttamente alle associazioni di categoria del settore ricettivo. Non è una raccomandazione generica: è un chiarimento operativo che il Garante si è sentito in dovere di emettere proprio perché le violazioni sono diffuse e documentate.
GDPR strutture ricettive: cosa dice esattamente il Garante
Il quadro normativo non è nuovo, ma la nota del 29 aprile 2026 chiarisce in modo definitivo un punto che molti gestori hanno sempre interpretato in modo errato.
L’obbligo di raccogliere i dati degli ospiti esiste per finalità di pubblica sicurezza: è previsto dall’art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) e richiede la comunicazione entro 24 ore alle autorità competenti tramite il Portale Alloggiati Web. Fin qui, tutto legittimo.
Il problema nasce dopo quella comunicazione. Una volta trasmessi i dati alla questura, la base giuridica che giustificava la raccolta viene meno. Conservare le copie dei documenti in quella fase non ha più fondamento legale — e costituisce una violazione del principio di minimizzazione dei dati (art. 5 GDPR) e del principio di limitazione della finalità (art. 5, comma 1, lett. b).
L’unica eccezione ammessa: la ricevuta di avvenuta comunicazione generata automaticamente dal portale. Quella va conservata per cinque anni come prova dell’adempimento.
Le pratiche vietate al check-in
Ecco le cinque abitudini più comuni nelle strutture ricettive italiane che configurano una violazione del GDPR:
- Fotocopiare il documento di identità dell’ospite e conservare la copia in una cartella fisica o in archivio
- Scansionare il documento e salvare il file sul computer o sul server della struttura
- Fotografare il documento con lo smartphone del receptionist o del gestore
- Richiedere l’invio del documento via WhatsApp o altra app di messaggistica prima o durante il check-in
- Conservare i dati nel gestionale PMS oltre il tempo necessario alla comunicazione alle autorità
Quest’ultima pratica merita un appunto specifico: molti Property Management System raccolgono e archiviano automaticamente le copie dei documenti. Se usi un PMS, verifica come gestisce questi dati — e assicurati che la cancellazione avvenga in modo automatico e documentabile.
I rischi concreti: sanzioni e data breach
Le violazioni del GDPR non sono una questione astratta. Il Garante italiano è tra le autorità di protezione dei dati più attive in Europa: oltre 400 provvedimenti sanzionatori emessi, con sanzioni che a livello europeo hanno superato i 6 miliardi di euro complessivi.
Per le strutture ricettive, i rischi concreti sono due:
Sanzione amministrativa del Garante. Le violazioni dei principi fondamentali del GDPR (artt. 5, 6, 32) possono comportare sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo — con il principio di proporzionalità che riduce gli importi per le micro-strutture, ma non li azzera. Anche per un piccolo B&B, una sanzione dopo un reclamo formale può raggiungere importi significativi.
Data breach e responsabilità civile. Una fotocopia conservata in modo improprio, una scansione non protetta su un computer condiviso, un documento inviato via WhatsApp: se quei dati finiscono in mani sbagliate, la struttura è responsabile del data breach e ha l’obbligo di notificarlo al Garante entro 72 ore. A questo si aggiungono le potenziali richieste di risarcimento danni da parte degli ospiti.
Il costo di un incidente — tra sanzione, notifica, gestione della crisi reputazionale — può facilmente superare di dieci volte il costo di un adeguamento preventivo.
3 azioni da fare subito
Non serve una rivoluzione procedurale. Bastano tre interventi concreti per mettersi in regola.
1. Rivedi la procedura di check-in. Forma il personale front-desk sul nuovo flusso: raccogliere i dati necessari per il Portale Alloggiati, trasmettere entro 24 ore, cancellare immediatamente le copie. La ricevuta del portale va salvata e archiviata per cinque anni — solo quella.
2. Verifica il tuo PMS. Se usi un gestionale, chiedi al fornitore come tratta i documenti degli ospiti: vengono salvati automaticamente? Per quanto tempo? Esiste una funzione di cancellazione automatica? Se il PMS non garantisce la conformità, è un problema che va risolto — non rimandato.
3. Aggiorna il Registro del Trattamento. Il Registro è il documento GDPR che descrive come tratti i dati personali nella tua struttura. Va aggiornato per riflettere le nuove procedure: finalità del trattamento, base giuridica, tempi di conservazione, misure di sicurezza adottate. Se non ne hai uno, crearlo è un obbligo — non un’opzione.
Per approfondire come proteggere i dati dei tuoi ospiti sotto tutti gli aspetti, incluse le misure tecniche di sicurezza richieste dal GDPR, consulta la nostra pagina dedicata alla sicurezza informatica per PMI e strutture ricettive.
Come Davea Studio supporta le strutture ricettive
Lavoriamo con hotel, B&B e agriturismi su tutto il territorio pugliese per rendere l’adeguamento GDPR un processo concreto — non una raccolta di documenti da dimenticare in un cassetto.
Il nostro intervento parte sempre da un’analisi gratuita del trattamento dati, che ci permette di capire esattamente dove si trovano le vulnerabilità: dalle procedure di check-in al PMS, dalla rete Wi-Fi agli archivi cartacei.
Da lì, costruiamo insieme il percorso di adeguamento: aggiornamento del Registro del Trattamento, revisione delle procedure operative, formazione del personale front-desk, implementazione delle misure tecniche richieste dall’art. 32 del GDPR.
Il risultato non è solo la conformità normativa — è la tranquillità di sapere che i dati dei tuoi ospiti sono protetti, che il tuo personale sa cosa fare, e che in caso di controllo sei in grado di dimostrarlo.
Siamo specializzati anche nel marketing turistico per strutture ricettive pugliesi: se vuoi sapere come lavoriamo con hotel e B&B anche sul fronte della visibilità online e delle prenotazioni dirette, visita la pagina marketing turistico a Lecce.
Richiedi un’analisi gratuita del trattamento dati della tua struttura — il nostro team risponde entro 24 ore.