Il Garante Privacy, con riferimento alla raccolta dei dati personali contenuti nei documenti di identità degli alloggiati, chiarisce che il trattamento in questione trova la propria base giuridica nell’art. 6, del GDPR che individua i trattamenti di dati personali necessari a adempiere un obbligo legale a cui è soggetto il titolare del trattamento, obbligo che attiene alla "comunicazione" dei dati all'Autorità di Pubblica Sicurezza tramite il portale “Alloggiati Web”, senza che ciò comporti la necessità della conservazione dei predetti dati. 

Ne consegue l’assoluto divieto di conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla mera comunicazione dei dati alle autorità di pubblica sicurezza nonché di fotografare i documenti con dispositivi mobili oppure di richiederne l’invio attraverso servizi di messagistica istantanea come WhatsApp.

In considerazione dell’aumento significativo di segnalazioni e violazioni dei dati personali registrate nell’ambito del trattamento dei dati effettuato da parte di alberghi e, più in generale, dalle strutture ricettive, con provvedimento n. 65655 del 29.04.2026 il Garante della Protezione dei Dati Personali ha fornito importanti chiarimenti al fine limitare la circolazione delle copie di documenti di identità allo stretto necessario per adempiere agli obblighi normativi in materia di identificazione degli alloggiati, nel rispetto del Reg. UE 2016/679 “GDPR” e dei principi ivi previsti di liceità, correttezza e trasparenza, di minimizzazione dei dati nonché di limitazione della conservazione. 

Lo svolgimento delle attività di verifica dell’identità degli ospiti e di comunicazione giornaliera all’autorità di pubblica sicurezza comporta, quindi, necessariamente un trattamento, da parte della struttura ricettiva, dei dati personali di tali soggetti, che comprendono i c.d. dati anagrafici e gli estremi del documento di identità esibito. 

Per questo, il Garante Privacy, con riferimento alla raccolta dei dati contenuti nei documenti di identità degli alloggiati, chiarisce che il trattamento in questione trova la propria base giuridica nell’art. 6, par. 1, lett. c) del GDPR che individua i trattamenti di dati personali necessari a adempiere un obbligo legale a cui è soggetto il titolare del trattamento. 

Pur tuttavia, precisa l’Autorità Garante che l'obbligo legale attiene alla "comunicazione" dei dati all'Autorità di Pubblica Sicurezza tramite il portale “Alloggiati Web”  ( in Regione Lombardi ROSS1000), senza che ciò comporti anche la necessità della conservazione dei predetti dati, presso la struttura ricettiva, in quanto la conservazione dei dati comunicati è effettuata, per un periodo pari a 5 anni, sui sistemi del Ministero dell'Interno. 

Ne consegue l’assoluto divieto di conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla mera comunicazione dei dati alle autorità di pubblica sicurezza. La normativa vigente in materia di pubblica sicurezza, invero, non autorizza in alcun modo l’esercente alla conservazione di fotocopie o immagini dei documenti d’identità né tantomeno a fotografare i documenti con dispositivi mobili oppure a richiederne l’invio attraverso servizi di messagistica istantanea come WhatsApp, con esposizione ingiustificata degli interessati a rischi concreti, tra cui furti d’identità e accessi illeciti ai dati personali.

Pertanto, l’Autorità Garante della Protezione dei Dati Personali ribadisce che, come previsto da un obbligo normativo, una volta completata la trasmissione dei dati alle autorità di pubblica sicurezza, eventuali copie dei documenti acquisite per tale finalità devono essere immediatamente cancellate o distrutte.

 L’unico elemento che può essere conservato è la ricevuta dell’avvenuta comunicazione, prodotta automaticamente dal sopra richiamato portale, da conservare per cinque anni al fine di comprovare l’avvenuto adempimento: al rilascio da parte del sistema “Alloggiati Web” della relativa ricevuta di accettazione deve conseguire, necessariamente, la cancellazione (digitale) o la distruzione (materiale) della copia del documento eventualmente acquisito, qualora ancora trattenuta. 

Il Garante sottolinea, infine, che è preciso dovere dei Titolari del trattamento garantire altresì la sicurezza dei dati personali.

Si raccomandano tutte le nostre aziende del settore agrituristico con strutture turistico-ricettive al corretto adempimento della disciplina di settore e, in particolare, al rispetto della normativa in materia di protezione dei dati personali, e ciò mediante: 

• adeguata responsabilizzazione del personale addetto alla raccolta ed al trattamento dei dati personali degli ospiti, a cui, in particolare, occorre fornire puntuali istruzioni sul divieto di effettuare o trattenere copie (analogiche o digitali) dei documenti di identità, successivamente all’effettuazione delle comunicazioni di legge;
• chiara rappresentazione agli ospiti, tramite rilascio della informativa Privacy, delle informazioni sulla logica e le modalità di raccolta ed utilizzo del dato relativo ai documenti personali. Qualora le operazioni di check-in siano svolte mediante l’utilizzo di dispositivi capaci di acquisire e conservare copia digitale del documento di identità, in particolare, occorrerà chiarire che la struttura non procederà ad archiviare le immagini degli stessi;
• opportuna regolazione, ai sensi dall’art. 28 del GDPR, dei rapporti con i fornitori (debitamente nominati dal Titolare quali Responsabili del trattamento) dei servizi di gestione delle prenotazioni alberghiere e dei servizi eventualmente utilizzati per l’acquisizione dei dati relativi ai documenti d’identità, prestando particolare attenzione alle modalità di trattamento di questi ultimi e definendo efficaci modalità di comunicazione in caso di violazione dei dati personali;
• raccolta dei dati dei documenti d’identità senza effettuare foto con dispositivi mobili o fare ricorso a servizi di messagistica istantanea (ad. es. “whatsapp”), o comunque evitando il ricorso a modalità che non presentano le caratteristiche idonee al rispetto della normativa richiamata.