La normativa vigente impone ai gestori delle strutture ricettive di identificare i clienti e di trasmettere i relativi dati alle autorità di pubblica sicurezza tramite il portale “Alloggiati Web”. Tale obbligo, tuttavia, non legittima la conservazione, da parte delle strutture, di fotocopie o immagini dei documenti d’identità.

Negli ultimi tempi, invece, si è diffusa, soprattutto tra B&B e affittacamere, la pratica di fotografare i documenti con smartphone o di richiederne l’invio tramite applicazioni di messaggistica, come WhatsApp. Tali comportamenti espongono ingiustificatamente gli interessati a rischi concreti, tra cui furti d’identità e accessi illeciti ai dati personali.

Il Garante Privacy ha chiarito che alberghi, B&B e affittacamere non possono conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza.

Il Garante ribadisce che, come previsto da un obbligo normativo, una volta completata la trasmissione dei dati alle autorità di pubblica sicurezza, eventuali copie dei documenti acquisite per tale finalità devono essere immediatamente cancellate o distrutte. L’unico elemento che può essere conservato è la ricevuta dell’avvenuta comunicazione, prodotta automaticamente dal portale, da conservare per cinque anni al fine di comprovare l’adempimento.

Il Garante sottolinea, inoltre, che è preciso dovere dei titolari del trattamento garantire la sicurezza dei dati personali. Le strutture ricettive devono quindi adottare misure adeguate per la protezione dei dati e istruire correttamente il personale incaricato della loro raccolta e gestione.

In caso di violazione dei dati personali - data breach - scattano obblighi specifici, tra cui la notifica al Garante entro 72 ore e, nei casi più gravi, anche la comunicazione della violazione agli interessati.

Fonte: Com. Stampa Garante Privacy 29 aprile 2026