Protezione dei dati

GDPR per hotel e strutture ricettive: guida privacy

GDPR per hotel, B&B e agriturismi: Alloggiati Web e schedine alla Questura, limiti alla scansione documenti, videosorveglianza e marketing agli ex ospiti.

Also available in:Français·Español·Deutsch

Un hotel, un B&B o un agriturismo tratta i dati degli ospiti su tre binari giuridici diversi, e confonderli è l’errore più comune: la comunicazione delle generalità alla Questura via Alloggiati Web è un obbligo di legge (art. 109 TULPS) che non richiede il consenso; il contratto di soggiorno giustifica la gestione della prenotazione; il marketing verso gli ex ospiti richiede invece una base giuridica autonoma. Da qui derivano gli errori che il Garante sanziona più spesso nel settore: fotocopiare integralmente i documenti, riutilizzare per pubblicità i contatti raccolti per il soggiorno, installare telecamere senza cartello. Questa guida mette in fila gli obblighi privacy della struttura ricettiva, dalla reception alla newsletter.

Punti chiave

  • La comunicazione delle schedine di notifica alla Questura (Alloggiati Web) ha base giuridica nell’obbligo legale ex art. 6, par. 1, lett. c, GDPR e art. 109 TULPS: niente consenso.
  • Non si possono trattenere fotocopie integrali dei documenti d’identità oltre quanto necessario: il Garante ne limita la conservazione.
  • Il marketing agli ex ospiti può poggiare sul soft spam (art. 130, comma 4, Codice Privacy) solo per email e per servizi analoghi a quelli già acquistati; il telemarketing e gli SMS richiedono consenso.
  • La videosorveglianza in aree comuni impone cartello informativo, tempi di conservazione ridotti e finalità legittima documentata.
  • I portali di prenotazione (Booking, Expedia) sono anelli di una catena di trattamento da regolare con i corretti atti tra titolari o responsabili.

Alloggiati Web e schedine: obbligo di legge, non consenso

Ogni struttura ricettiva deve comunicare alla Questura, entro 24 ore (6 ore per soggiorni inferiori), le generalità degli alloggiati tramite il portale Alloggiati Web. Questo trattamento ha base giuridica nell’obbligo legale (art. 6, par. 1, lett. c, GDPR) previsto dall’art. 109 del TULPS (R.D. 773/1931). Non serve — e non va chiesto — il consenso dell’ospite: chiederlo sarebbe anzi fuorviante, perché suggerirebbe una scelta che non esiste.

L’informativa consegnata al check-in deve però indicare questa finalità e la relativa base giuridica, insieme ai tempi di conservazione. La struttura deve spiegare quali dati raccoglie, perché, per quanto tempo e a chi li comunica. Un modello di informativa privacy va adattato al contesto ricettivo distinguendo obblighi di legge e trattamenti contrattuali.

Documenti d’identità: acquisire i dati, non archiviare le copie

L’errore più diffuso alla reception è fotocopiare o scansionare integralmente il documento e conservarlo nel gestionale “per sicurezza”. Il Garante ha chiarito che la struttura deve acquisire i dati necessari alla schedina, ma non è autorizzata a conservare copie integrali dei documenti oltre lo stretto necessario: la conservazione sistematica di scansioni è un trattamento eccedente rispetto alla finalità. Il principio applicabile è la minimizzazione (art. 5, par. 1, lett. c, GDPR): si raccoglie ciò che serve, non ciò che è comodo.

Marketing agli ex ospiti: quando si può, quando no

Terminato il soggiorno, la tentazione è inviare offerte e newsletter. Le regole dipendono dal canale:

Canale Base giuridica Serve consenso?
Email a ex clienti, servizi analoghi Soft spam, art. 130, c. 4, Codice Privacy No, con opt-out sempre disponibile
Email per servizi diversi / terzi Consenso
SMS e messaggistica Consenso
Telefonate promozionali Consenso + verifica RPO
Profilazione delle abitudini di soggiorno Consenso specifico

Il soft spam consente di inviare email promozionali agli ex clienti senza consenso preventivo, ma solo per prodotti o servizi analoghi a quelli già acquistati, e sempre con la possibilità di opporsi fin dalla raccolta e in ogni messaggio. Superata questa cornice — SMS, telefonate, servizi diversi — serve un consenso libero, specifico e documentato. Per formulare correttamente le caselle e le informative si vedano gli esempi di consenso GDPR.

Videosorveglianza in hall, corridoi e parcheggi

Le telecamere in aree comuni sono legittime per sicurezza, ma vanno gestite secondo le regole del Garante: cartello informativo prima dell’area ripresa, informativa completa disponibile, tempi di conservazione ridotti (di norma 24-72 ore, salvo esigenze specifiche), esclusione delle riprese in aree riservate come camere e bagni. Le regole operative sono nella guida alla videosorveglianza secondo il Garante.

La catena dei portali di prenotazione

Quando un ospite prenota tramite Booking o Expedia, i dati passano attraverso più soggetti. La struttura deve inquadrare il rapporto: il portale, per molte finalità, agisce come titolare autonomo dei propri trattamenti, mentre per la trasmissione della prenotazione alla struttura il rapporto va analizzato caso per caso. Ciò che conta è mappare i flussi nel registro delle attività di trattamento e verificare i fornitori tecnologici (channel manager, gestionale, PMS cloud), ciascuno da regolare con l’atto corretto. Un modello di registro dei trattamenti aiuta a fotografare questi flussi.

Per una struttura piccola, tenere insieme informative, registro, gestione consensi e videosorveglianza con strumenti manuali è oneroso: un software GDPR pensato per le PMI mantiene la documentazione ordinata quando cresce il numero di camere e canali. Le decisioni e le FAQ ufficiali del settore sono pubblicate su garanteprivacy.it e il testo del Regolamento è consultabile su EUR-Lex.

Wi-Fi, recensioni e dati particolari

Tre trattamenti minori generano dubbi ricorrenti. Il Wi-Fi per gli ospiti comporta la registrazione di dati di connessione: la struttura deve informare gli utenti e limitare la conservazione dei log al tempo necessario, senza profilare la navigazione. Le recensioni raccolte o sollecitate dopo il soggiorno rientrano nel marketing e vanno gestite con la corretta base giuridica, evitando di inviare solleciti a chi si è opposto. Infine, capita che la struttura raccolga dati particolari — allergie e intolleranze per la ristorazione, esigenze legate a una disabilità per l’accessibilità della camera: sono dati sulla salute ex art. 9 GDPR, da trattare solo se necessari al servizio, con accesso limitato e conservazione ridotta.

Errori più frequenti e come evitarli

Nel settore ricettivo il Garante e la prassi ispettiva evidenziano un elenco ricorrente di errori. Il primo è la mancanza di informativa al check-in, o un’informativa che non distingue le finalità (obbligo di legge, contratto, marketing). Il secondo è la conservazione indeterminata dei dati degli ospiti nel gestionale, senza termini definiti per categoria. Il terzo è l’uso del consenso come base “jolly” anche dove la base corretta è un’altra: chiedere il consenso per la schedina alla Questura è tanto sbagliato quanto non chiederlo per la newsletter. Il quarto è la catena dei fornitori non regolata: channel manager, PMS in cloud, società di pulizie che accedono alle liste ospiti, tutti soggetti che trattano dati per conto della struttura e che vanno inquadrati. Correggere questi quattro punti mette una struttura ricettiva al riparo dalla gran parte delle contestazioni.

FAQ

Devo chiedere il consenso per inviare i dati degli ospiti alla Questura?

No. La comunicazione via Alloggiati Web ha base giuridica nell’obbligo legale (art. 6, par. 1, lett. c, GDPR e art. 109 TULPS). Chiedere il consenso sarebbe scorretto perché non esiste alcuna facoltà di rifiuto. Va però indicata nell’informativa consegnata al check-in.

Posso conservare la fotocopia della carta d’identità degli ospiti?

No, non in modo sistematico. Il Garante limita la conservazione delle copie integrali dei documenti: si acquisiscono i dati necessari alla schedina, ma l’archiviazione routinaria di scansioni eccede la finalità e viola il principio di minimizzazione.

Posso inviare offerte via email agli ex clienti dell’hotel?

Sì, entro i limiti del soft spam (art. 130, comma 4, Codice Privacy): solo email, solo per servizi analoghi a quelli già acquistati, con opt-out disponibile fin dalla raccolta e in ogni messaggio. Per SMS, telefonate o servizi diversi serve invece il consenso.

Un B&B a conduzione familiare deve tenere il registro dei trattamenti?

In pratica sì. Anche una piccola struttura tratta dati in modo non occasionale e comunica dati a terzi (Questura, portali): l’esenzione dell’art. 30, par. 5, non si applica. Il registro va tenuto in forma proporzionata all’attività.

Vedi anche: il GDPR per l’e-commerce, utile per la vendita e le prenotazioni online, e per le associazioni e gli enti no profit.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →