Più che una stretta, un chiarimento operativo. Una nota diffusa dal Garante per la protezione dei dati personali interviene su una delle pratiche più diffuse nell’extralberghiero — la richiesta e la gestione delle copie dei documenti di identità— e riporta il tema su un principio già noto: i dati si raccolgono per obbligo di legge, ma non si conservano. Il punto, però, è come tradurre questa regola nella quotidianità di B&B, case vacanza e affitti brevi, dove il check-in è spesso digitale, remoto o automatizzato.
Non è vietato acquisire la copia, è vietato conservarla
Il chiarimento più rilevante riguarda proprio la fase di raccolta.A dispetto di chi sostiene ci sia un divieto generalizzato di fotografare o ricevere i documenti degli ospiti arriva un chiarimento importante. Secondo il Garante la normativa consente di acquisire una copia del documento — anche tramite invio digitale — se serve a inserire i dati nel sistema “Alloggiati Web”. Quello che non è consentito è conservarla oltre il tempo necessario.
Una volta completata la comunicazione alla pubblica sicurezza, la copia deve essere cancellata o distrutta immediatamente. Per chi gestisce strutture senza reception fisica, questo passaggio è tutt’altro che secondario. Significa che il documento può essere richiesto prima dell’arrivo, ma non archiviato, ad esempio lasciandolo nella memoria di whatsapp o sul cellulare.
Il quadro normativo resta invariato
Il riferimento resta l’articolo 109 del Testo unico delle leggi di pubblica sicurezza. L’obbligo è chiaro: identificare gli ospiti e trasmettere i dati alle autorità tramite il portale del Ministero dell’Interno.
La conservazione, invece, non è richiesta. I dati vengono già mantenuti per cinque anni nei sistemi pubblici. Alle strutture spetta solo dimostrare di aver effettuato la comunicazione, conservando la ricevuta generata dal sistema.
Questo impianto è coerente con i principi del Regolamento UE 2016/679, in particolare minimizzazione e limitazione della conservazione.
Le criticità tipiche dell’extralberghiero
Il Garante richiama alcune pratiche molto diffuse nel settore:
- fotografie dei documenti con smartphone personali
- invio tramite app di messaggistica come WhatsApp
- archiviazione in gallerie, cloud o gestionali senza policy di cancellazione
Sono modalità spesso adottate per semplificare il check-in a distanza, ma che espongono a rischi concreti: accessi non autorizzati, perdita dei dati, furti di identità.
Nel caso di violazione (data breach), gli obblighi sono stringenti: notifica al Garante entro 72 ore e, nei casi più gravi, comunicazione agli ospiti coinvolti.
Impatto sui modelli di check-in digitale
Per il comparto extralberghiero il tema si sposta dai principi alle procedure. Non basta sapere cosa è consentito: serve dimostrare come viene gestito il dato.
Questo significa, in concreto:
- evitare archivi permanenti di documenti
- impostare cancellazioni automatiche nei software di check-in online
- scegliere fornitori che garantiscano conformità e sicurezza
- definire istruzioni chiare per chi gestisce le prenotazioni
Anche i sistemi di self check-in e le piattaforme che acquisiscono documenti devono essere configurati in modo coerente: la copia non può restare disponibile oltre la fase di inserimento dati.
Un tema di responsabilità, non solo di compliance
La nota del Garante insiste su un aspetto spesso sottovalutato: la responsabilizzazione del titolare del trattamento. Non si tratta solo di rispettare una regola, ma di ridurre il rischio.
Nel turismo extralberghiero, dove la gestione è spesso individuale o semi-professionale, questo implica un cambio di approccio. La comodità operativa — avere “tutti i documenti salvati” — non è più sostenibile.
Il messaggio per il settore
La linea è chiara: la copia del documento può esistere, ma solo come passaggio tecnico e temporaneo. Tutto ciò che diventa archivio è fuori perimetro.
Per un comparto che negli ultimi anni ha digitalizzato rapidamente i processi, il chiarimento rappresenta un passaggio di maturità. Non introduce nuovi obblighi, ma impone maggiore rigore nell’applicazione di quelli esistenti.
E soprattutto sposta l’attenzione su un punto concreto: il problema non è raccogliere i dati, ma cosa succede dopo.
