Identificare non significa archiviare.
Di Carmine Soldano
Il Garante torna a ribadire il divieto di conservazione delle copie dei documenti degli ospiti.
Immaginate la scena: un ospite consegna il passaporto al bancone di un B&B. Il gestore lo fotografa con lo smartphone, lo manda su WhatsApp al titolare che è fuori casa, e la foto finisce nella galleria del telefono, in una chat, forse in un backup cloud automatico di cui nessuno ricorda l’esistenza. Il documento è lì, sospeso nel digitale, senza scadenza e senza controllo. Nessuno ci pensa più… Finché qualcosa va storto.
Con la nota di chiarimento del 29 aprile 2026, indirizzata alle associazioni di categoria del settore turistico-ricettivo, il Garante per la protezione dei dati personali ricorda che questo scenario, così banale e diffuso, è illecito. Non è una novità normativa quanto, piuttosto, l’ennesima conferma di un principio che il diritto enuncia con chiarezza da anni e che la prassi continua, con ostinata sistematicità, a ignorare.
- L’OBBLIGO CHE NON AUTORIZZA
I gestori delle strutture ricettive sono tenuti, ai sensi della normativa di pubblica sicurezza, a identificare gli ospiti e a trasmettere i loro dati tramite il portale telematico “Alloggiati Web”, gestito dalla Polizia di Stato. L’obbligo trova il proprio fondamento nell’art. 109 del T.U.L.P.S. (R.D. n. 773/1931), che impone la comunicazione delle generalità delle persone alloggiate entro ventiquattro ore dall’arrivo, ovvero immediatamente per soggiorni inferiori.
Ma è qui che si annida l’equivoco. Un equivoco che non nasce dall’ignoranza della legge, ma da qualcosa di più sottile: la tendenza a trasformare una prassi operativa in una presunta necessità giuridica.
L’obbligo di identificazione e trasmissione non comporta, in nessun caso, la legittimazione a trattenere fotocopie, scansioni o immagini dei documenti di identità. Il principio è lineare, quasi elementare: il trattamento deve essere limitato a quanto strettamente necessario per adempiere all’obbligo di legge. Nulla di più. Una volta effettuata la comunicazione all’Autorità di pubblica sicurezza, l’eventuale copia acquisita per tale finalità deve essere immediatamente distrutta o cancellata. Il dato non serve più. Tenerlo è un eccesso. Un eccesso illecito.
- LA GALLERIA FOTOGRAFICA COME ARCHIVIO ABUSIVO
Negli ultimi anni si è diffusa una modalità operativa tanto comoda quanto giuridicamente problematica: fotografare i documenti degli ospiti tramite smartphone, oppure richiederne l’invio preventivo attraverso applicazioni di messaggistica istantanea. È una prassi particolarmente radicata nei B&B e negli affittacamere gestiti in forma semplificata, spesso senza una struttura amministrativa formalizzata, dove la velocità operativa prende il sopravvento su qualsiasi riflessione procedurale. Si fotografa per comodità. Si invia per praticità. Si conserva per inerzia.
Il Garante sottolinea come tali comportamenti espongano gli interessati a rischi concreti e tutt’altro che ipotetici: furto d’identità, accessi abusivi, perdita di controllo sui propri dati, utilizzi fraudolenti, data breach. Un documento d’identità fotografato su un telefono personale, archiviato in una chat non protetta o salvato in una galleria accessibile da più dispositivi, costituisce un vulnus evidente alla sicurezza del trattamento.
Non è difficile immaginarne le conseguenze: lo smartphone rubato, l’account WhatsApp compromesso, il backup cloud violato. Scenari che, nell’attuale panorama delle minacce informatiche, non appartengono alla fantascienza ma, bensì, alla cronaca quotidiana. E, quando accade, il profilo della responsabilità non è solo privacy. È civile, amministrativa, reputazionale. Una tempesta perfetta per chi aveva pensato che bastasse uno scatto per essere in regola.
- L’UNICA COSA CHE SI PUÒ TENERE: LA RICEVUTA
Il Garante chiarisce anche cosa, al contrario, può e deve essere conservato: la ricevuta dell’avvenuta comunicazione, generata automaticamente dal portale Alloggiati Web al momento della trasmissione.
Tale ricevuta rappresenta la prova documentale dell’adempimento e può essere mantenuta per cinque anni, al fine di dimostrare ex post la corretta osservanza degli obblighi di pubblica sicurezza. Diversamente, la copia del documento dell’ospite non può essere trattenuta, né in formato cartaceo né digitale.
La distinzione è netta. Da un lato, la prova che hai fatto ciò che dovevi fare: lecita, necessaria, conservabile. Dall’altro, il documento in sé, che appartiene all’ospite, non all’esercente: illecito trattenerlo una volta che ha esaurito la sua funzione.
Nihil sub sole novum, verrebbe da dire: il GDPR è in vigore dal 2018, il principio di minimizzazione dei dati è scritto a chiare lettere nell’art. 5 del Regolamento (UE) 2016/679. Eppure eccoci qui, a dover ribadire che fotografare un documento non equivale a trasmettere un dato, e che conservare non è sinonimo di adempiere. Il problema non è la norma. È la cultura.
- SICUREZZA: NON UN OPTIONAL
La nota del Garante affronta anche un aspetto spesso sottovalutato, quasi relegato sullo sfondo: il dovere del titolare del trattamento di garantire adeguate misure di sicurezza sull’intero ciclo di vita del dato.
Le strutture ricettive non possono limitarsi alla mera raccolta dell’informazione. Devono presidiare ogni fase: acquisizione, utilizzo, conservazione temporanea, cancellazione, gestione delle eventuali violazioni. Questo implica procedure interne chiare, istruzioni precise al personale, limitazione degli accessi, utilizzo di dispositivi sicuri, eliminazione tempestiva delle copie superflue, formazione specifica degli operatori. Non è, va da sé, un approccio improvvisabile. Il GDPR non tollera la logica del “si è sempre fatto così”. La conformità non è uno stato che si raggiunge una volta per tutte ma è un processo continuo, che richiede consapevolezza, organizzazione e, soprattutto, una diversa concezione del dato altrui.
- IL DATA BREACH E L’OROLOGIO CHE TICCHETTA
Il Garante ricorda, infine, che in caso di violazione dei dati personali scattano obblighi stringenti e non negoziabili: la notifica all’Autorità entro 72 ore dalla scoperta della violazione, e, nei casi più gravi, la comunicazione diretta agli interessati coinvolti.
Settantadue ore. È un orologio che ticchetta nel momento peggiore, quando l’organizzazione è nel pieno della gestione dell’emergenza e la tentazione di minimizzare è al suo massimo. Eppure il termine è quello, e ignorarlo espone a conseguenze sanzionatorie che si aggiungono al danno reputazionale già subito.
Uno smartphone rubato con le fotografie dei documenti degli ospiti. Una chat WhatsApp compromessa. Un backup cloud non cifrato accessibile da terzi. Tutti scenari che integrano una violazione rilevante ai sensi del Regolamento, con tutto ciò che ne consegue. Non è fantascienza… È la quotidianità di chi gestisce dati senza averci mai davvero riflettuto.
- IL PRESIDIO DEL TERRITORIO: IL RUOLO DELLA POLIZIA LOCALE
Per la Polizia Locale, il tema non è marginale, e meriterebbe di essere percepito come tale anche a livello operativo.
I controlli sulle strutture ricettive, infatti, non si esauriscono nella verifica urbanistica, commerciale o amministrativa. Sempre più frequentemente si estendono al corretto adempimento degli obblighi di pubblica sicurezza e, in modo indiretto ma crescente, al rispetto delle regole sul trattamento dei dati personali. Se la competenza diretta in materia di privacy resta attribuita al Garante, l’attività ispettiva sul territorio rappresenta un fondamentale presidio preventivo, capace di intercettare le distorsioni prima che si sedimentino in prassi irreversibili.
Informare gli operatori, correggere i comportamenti scorretti, favorire la compliance: in un settore che tratta ogni anno i dati personali di milioni di turisti, viaggiatori, ospiti di passaggio, questa attività di prevenzione amministrativa vale quanto, se non più, dell’accertamento sanzionatorio.
- IL PROBLEMA NON È LA NORMA
Il messaggio del Garante è privo di ambiguità: identificare non significa archiviare. La copia del documento dell’ospite non è un “paracadute” gestionale, una riserva prudenziale per eventuali contenziosi futuri. È un trattamento che, se non strettamente necessario, diventa illecito nel momento stesso in cui viene posto in essere.
Tuttavia, c’è qualcosa di più profondo, sotto la superficie tecnica di questa nota, ovvero la questione di come concepiamo il rapporto con i dati altrui nell’era digitale. Fotografare è diventato un gesto automatico, quasi privo di significato. Salvare costa zero. Archiviare è il default. E così, senza una intenzione precisa, senza un piano, ci ritroviamo a detenere informazioni sensibili di centinaia di persone, custodite con la stessa cura con cui conserviamo le foto delle vacanze.
I dati degli ospiti non appartengono agli albergatori. Appartengono agli ospiti. Questa consapevolezza, semplice e quasi ovvia, è ancora, nel 2026, rivoluzionaria.
In materia di privacy, come spesso accade, il problema non nasce dall’assenza di norme. Nasce dalla persistente tendenza a confondere la prassi con il diritto, la comodità con la legittimità, l’abitudine con l’autorizzazione.
E il diritto, in questo caso, parla con assoluta chiarezza. Da anni.
