VEDI ANCHE Comunicato stampa del 29 aprile 2026

Alle associazioni di categoria

Nota di chiarimento in materia di trattamento dei documenti di identità degli ospiti di esercizi alberghieri o di altre strutture ricettive

1. Premessa.

Nell’ambito dell’attività dell'Ufficio, si è osservato, negli ultimi tempi, un considerevole aumento di segnalazioni, reclami e quesiti nell’ambito del trattamento dei dati personali effettuato da parte di alberghi e, più in generale, dalle strutture ricettive, con riferimento alla raccolta dei dati contenuti nei documenti di identità degli alloggiati.

Parallelamente, si è registrato anche un incremento degli episodi di violazione dei dati personali (data breach) in questo ambito, con eventi che hanno talvolta comportato l’esfiltrazione di una rilevante quantità di dati relativi a copie di documenti d’identità degli ospiti di strutture ricettive.

È stata oggetto di segnalazione anche la prassi delle strutture ricettive (in particolare, da parte dei proprietari o gestori di case e di appartamenti per vacanze od affittacamere – cc.dd. “b&b”) di raccogliere (e archiviare) l’immagine dei documenti di identità, mediante l’effettuazione di foto con dispositivi mobili oppure l’invio attraverso servizi di messagistica istantanea (ad es. “whatsapp”).

Considerando che un approccio non corretto nella raccolta e conservazione dei dati connesso all'identificazione degli ospiti può comportare significative lesioni ai diritti e alle libertà degli interessati, in quanto aumenta considerevolmente il rischio di fenomeni illeciti connessi c.d. “furto d’identità”, appare opportuno fornire alcuni chiarimenti, al fine limitare la circolazione delle copie di documenti di identità, allo stretto necessario per adempiere agli obblighi normativi in materia di identificazione degli alloggiati.

Ciò alla luce del fatto che l’Autorità ha, tra gli altri, anche il compito di promuovere “la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento” (art. 57, par. 1, lett. d), del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 -di seguito, il “RGPD”).

2. La raccolta dei documenti di identità degli ospiti.

Come noto, sulla base di una normativa di settore, i gestori di esercizi alberghieri e di altre strutture ricettive possono dare alloggio esclusivamente a persone munite della carta d'identità o di altro documento idoneo ad attestarne l'identità secondo le norme vigenti.

Tale normativa trova fondamento, in particolare, nell’art. 109 del regio decreto 18 giugno 1931, n. 773 (Testo unico delle leggi di pubblica sicurezza, di seguito “TULPS” o “T.U.”), che prevede l’obbligo, per gli albergatori e i gestori di strutture ricettive (proprietari o gestori di case e di appartamenti per vacanze ed affittacamere “compresi i gestori di strutture di accoglienza non convenzionali”), di trasmettere i dati identificativi degli ospiti all’autorità di pubblica sicurezza.

Si tratta di un obbligo di legge che risponde a finalità di ordine e sicurezza pubblica in quanto i dati acquisiti attraverso le c.d. “schedine d’albergo” rivestono una intrinseca rilevanza non solo per le attività di "prevenzione generale" dei reati, ma per più articolati fini operativi di polizia, rivelandosi utili sia per assicurare la tutela dell'ordine e della sicurezza pubblica, sia per prevenire e reprimere fenomeni criminali.

In proposito, la Corte Costituzionale (sentenza del 16 luglio 1970, n. 144) ha infatti affermato che "la sistematica annotazione dei movimenti e dei luoghi dove le persone soggiornano, effettuata ai sensi dell'articolo 109 del TULPS mira ad agevolare l 'Autorità di pubblica sicurezza e le forze di polizia in quell'opera di vigilanza sulle persone, che è connessa al dovere di ricercare latitanti o soggetti in genere sospettati di reati... ", evocando in tal modo le attività operative tipicamente svolte dalle Forze di Polizia.

In particolare, la norma stabilisce che i gestori delle strutture ricettive sono tenuti a comunicare, all'autorità di pubblica sicurezza, le generalità delle persone alloggiate, secondo modalità stabilite con un decreto del Ministro dell’Interno (cfr. sul punto anche il decreto del Ministro dell’Interno del 7 gennaio 2013 recante “Disposizioni concernenti la comunicazione alle autorità di pubblica sicurezza dell'arrivo di persone alloggiate in strutture ricettive”, come modificato dal decreto del Ministro dell’Interno del 16 settembre 2021).

Lo svolgimento delle sopra menzionate attività di verifica dell’identità degli ospiti e di comunicazione giornaliera all’autorità di pubblica sicurezza comporta quindi necessariamente un trattamento, da parte della struttura ricettiva, dei dati personali di tali soggetti, che comprendono i c.d. dati anagrafici e gli estremi del documento di identità esibito.

Si tratta di un’attività che può essere effettuata manualmente, da un addetto all’accoglienza che inserisce tali dati nel portale pubblico “Alloggiati Web” del Ministero dell’Interno, oppure, in modo automatizzato, attraverso un collegamento tra i sistemi gestionali delle strutture ricettive (cc.dd. Property Management System) e i sistemi informatici del Ministero dell’Interno.

Il trattamento dei dati personali in questione trova la propria base giuridica, in conformità a quanto previsto dal RGPD, nell'art. 6, par. 1, lett. c) del RGPD che individua i trattamenti di dati personali necessari ad adempiere un obbligo legale a cui è soggetto il titolare del trattamento.

È opportuno, al riguardo, evidenziare però che l'obbligo legale previsto dall'art. 109 del TULPS attiene alla "comunicazione" dei dati da parte dell'esercente all'Autorità di PS, senza che ciò comporti quindi anche la necessità della conservazione dei predetti dati, presso la struttura ricettiva, in quanto la conservazione dei dati comunicati è effettuata, per un periodo pari a 5 anni, sui sistemi del Ministero dell'Interno.

Con riguardo ai profili di competenza di questa Autorità, il Garante, nell'ambito del procedimento di adozione dei citati decreti del Ministro dell’Interno del 7 gennaio 2013 e del 16 settembre 2021, ha espresso il proprio parere, con riferimento alla fattispecie del trattamento di dati personali da parte dei gestori delle strutture ricettive, chiarendo che il trattamento di cui all’art. 109 del T.U. deve avvenire, nel rispetto del RGPD (provvedimenti n. 295 del 18 ottobre 2012, doc. web n. 2099252, e n. 300 dell’8 luglio 2021, doc. web n. 9690786) e, in particolare dei principi di  liceità, correttezza e trasparenza e di minimizzazione dei dati nonché di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e), del RGPD).

Al proposito, si ricorda che il citato decreto del 7 gennaio 2013, come modificato dal decreto del 16 settembre 2021, prevede espressamente che:

“[…] le informazioni che i gestori delle strutture ricettive o i loro incaricati sono tenuti a trasmettere secondo le modalità di cui agli artt. 2 e 3 del [… decreto sono:] data di arrivo; numero giorni di permanenza; cognome; nome; sesso; data di nascita; luogo di nascita (comune e provincia se in Italia, stato se all'estero); cittadinanza; tipo documento di identità; numero documento di identità; luogo rilascio documento (comune e provincia se in Italia, stato se all'estero). […] Per i nuclei familiari è sufficiente la compilazione da parte di uno dei coniugi, che indicherà l'altro coniuge ed i figli minorenni. Per i gruppi guidati è sufficiente la compilazione da parte del capogruppo, che indicherà l'elenco degli altri componenti del gruppo. I dati da indicare per i componenti di un nucleo familiare o di un gruppo sono i seguenti: numero giorni di permanenza; cognome; nome; sesso; data di nascita; luogo di nascita (comune e provincia se in Italia, stato se all'estero); cittadinanza” (punto 2 dell’allegato tecnico);

“i gestori delle strutture ricettive sono tenuti alla cancellazione dei dati digitali trasmessi secondo le modalità di cui all'art. 2 e alla distruzione della copia cartacea degli elenchi trasmessi secondo le modalità di cui all'art. 3, non appena generata da parte del sistema la ricevuta di avvenuta comunicazione dei dati, che deve essere conservata per la durata di cinque anni” (art. 4-bis, comma 2).

Tale disciplina, frutto di un indirizzo costante del Garante (cfr. già parere del 1° giugno 2005 “Schede d'albergo e modalità di comunicazione all'autorità di pubblica sicurezza”, doc. web n. 1138725), di recente è stata richiamata anche nel comunicato stampa del 13 agosto 2025 (doc. web n. 10158043), relativo al caso -su cui è ancora in corso un’istruttoria- che ha interessato alcune strutture le quali, per adempiere agli obblighi di identificazione previsti dalla normativa vigente in materia di pubblica sicurezza, si sono avvalse di dispositivi scanner capaci di acquisire e conservare copia per immagine dei documenti di identità dei clienti, acquisita all’atto del check-in.

3. Indicazioni relative al trattamento dei documenti dei clienti sulla base della normativa richiamata.

Alla luce delle considerazioni che precedono, emerge dunque chiaramente che la normativa in materia di pubblica sicurezza non richieda agli esercenti delle strutture ricettive forme di raccolta e conservazione della copia del documento di identità degli ospiti, al di fuori di quelle meramente strumentali all’inserimento dei dati medesimi nel sistema “Alloggiati Web” e, pertanto, al rilascio, da parte del sistema, della relativa ricevuta di accettazione, a cui deve conseguire, necessariamente, la cancellazione (digitale) o la distruzione (materiale) della copia del documento eventualmente acquisito, qualora ancora trattenuta.

Si ricorda inoltre che gli artt. 5, par. 1, lett. f), e 32 del RGPD stabiliscono importanti obblighi in materia di sicurezza del trattamento “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

Da ultimo, si sottolinea che l’evenienza di una violazione dei dati personali, con perdita di riservatezza delle immagini dei documenti d’identità della clientela, espone la struttura ricettiva alla necessità di provvedere alla “notifica all’autorità di controllo […] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” (art. 33 del RGPD), nonché alla comunicazione della violazione agli interessati (art. 34 del RGPD).

Tutto quanto sopra premesso, risulta opportuno richiamare le strutture ricettive, soggette agli obblighi di comunicazione dei dati dei documenti di identità degli alloggiati, per finalità di pubblica sicurezza, al corretto adempimento della disciplina di settore e, in particolare, al rispetto della normativa in materia di protezione dei dati personali, e ciò mediante:

- adeguata responsabilizzazione del personale addetto alla raccolta ed al trattamento dei dati personali degli ospiti, a cui, in particolare, occorre fornire puntuali istruzioni sul divieto di effettuare o trattenere copie (analogiche o digitali) dei documenti di identità, successivamente all’effettuazione delle comunicazioni di legge;

- chiara rappresentazione agli ospiti delle informazioni sulla logica e le modalità di raccolta ed utilizzo del dato relativo ai documenti personali. Qualora le operazioni di check-in siano svolte mediante l’utilizzo di dispositivi capaci di acquisire e conservare copia digitale del documento di identità, in particolare, occorrerà chiarire che la struttura non procederà ad archiviare le immagini degli stessi;

- opportuna regolazione, ai sensi dall’art. 28 del RGPD, dei rapporti con i fornitori dei servizi di gestione delle prenotazioni alberghiere e dei servizi eventualmente utilizzati per l’acquisizione dei dati relativi ai documenti d’identità, prestando particolare attenzione alle modalità di trattamento di questi ultimi e definendo efficaci modalità di comunicazione in caso di violazione dei dati personali;

- raccolta dei dati dei documenti d’identità senza effettuare foto con dispositivi mobili o fare ricorso a servizi di messagistica istantanea (ad. es. “whatsapp”), o comunque evitando il ricorso a modalità che non presentano le caratteristiche idonee al rispetto della normativa richiamata.

4. Conclusioni.

In considerazione della rilevanza delle questioni sopra rilevate e dell'impatto che esse determinano sui diritti di milioni di persone che ogni anno utilizzano i servizi delle strutture ricettive in Italia, si invitano codeste Associazioni a dare la massima diffusione delle indicazioni di cui sopra ai propri iscritti.

Si rimane a disposizione per eventuali chiarimenti.

Garante per la protezione dei dati personali
Dipartimento attività economiche e lavoro
IL DIRIGENTE
Francesco Modafferi