Gli albergatori non possono conservare copia dei nostri documenti di identità. C’è un forte rischio privacy: di furti di identità, frodi digitali e non solo.
Lo ricorda il Garante Privacy in una recente nota che, bada bene, non introduce nuovi obblighi né propone letture innovative del quadro normativo. Si limita, piuttosto, a ribadire principi già chiariti da tempo. Ed è proprio questa “non novità” a rendere l’intervento significativo: quando il diritto è chiaro ma continua a non essere applicato, il problema non è più giuridico.
La nota di chiarimento del Garante per la protezione dei dati personali sul trattamento dei documenti di identità nelle strutture ricettive rappresenta la risposta a un fenomeno ormai strutturale. L’Autorità segnala un incremento significativo di reclami, segnalazioni e quesiti relativi alla gestione dei dati degli ospiti, accompagnato da un aumento dei data breach che coinvolgono copie di documenti di identità.
Indice degli argomenti
Documenti di identità negli hotel: un problema privacy concreto e persistente
La nota fotografa prassi diffuse: documenti fotocopiati o fotografati con smartphone, inviati tramite applicazioni di messaggistica, archiviati senza criteri di sicurezza o conservazione. Comportamenti che, per diffusione e ripetitività, non possono più ritenersi come errori occasionali, ma come espressione di un modello operativo consolidato.
È proprio questo il punto critico: l’intervento del Garante non introduce nuovi obblighi, poiché interviene su prassi che si sono sviluppate nonostante un quadro normativo già definito e ripetutamente chiarito dallo stesso Garante più volte negli anni.
Il quadro normativo: obbligo di comunicazione, non di conservazione
Il fulcro della disciplina è noto e, sotto il profilo giuridico, lineare. L’articolo 109 del Testo unico delle leggi di pubblica sicurezza impone ai gestori di strutture ricettive di identificare gli ospiti e di comunicare le relative generalità all’autorità di pubblica sicurezza. Si tratta di un obbligo funzionale a esigenze di ordine pubblico, che si traduce operativamente nell’invio dei dati tramite il sistema “Alloggiati Web”.
La qualificazione giuridica del trattamento è altrettanto chiara: si tratta di un trattamento necessario per adempiere un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c) del GDPR. Tuttavia, è proprio qui che si innesta l’equivoco operativo più diffuso.
L’obbligo riguarda la comunicazione dei dati e non la conservazione delle copie dei documenti. La normativa di settore non richiede, né implicitamente autorizza, la creazione di archivi di immagini di carte d’identità o passaporti. Al contrario, la disciplina prevede espressamente che, una volta effettuata la trasmissione e generata la ricevuta, i dati debbano essere cancellati e le eventuali copie distrutte. Ecco le testuali parole:
“I gestori delle strutture ricettive sono tenuti alla cancellazione dei dati digitali trasmessi […] e alla distruzione della copia cartacea degli elenchi […] non appena generata […] la ricevuta di avvenuta comunicazione dei dati”.
Il sistema è in ciò del tutto coerente, in quanto la conservazione quinquennale dei dati è già pienamente garantita dall’infrastruttura pubblica del Ministero dell’Interno e qualsiasi duplicazione presso il privato anziché rispondere a un obbligo normativo, introduce piuttosto un rischio aggiuntivo.
Documenti di identità, gli errori privacy degli hotel: quando identificare diventa archiviare
La nota del Garante, letta in controluce, evidenzia un riflesso organizzativo che travalica il settore alberghiero e dimostra che, ogni volta che una norma impone di identificare una persona o di registrare alcuni dati, molte organizzazioni operano una traslazione indebita: dall’obbligo di verifica si passa all’inesorabile conservazione integrale del documento.
Un automatismo tanto diffuso quanto giuridicamente infondato, perché privo di base normativa, dal momento che esibire un documento non equivale ad acquisirne copia; registrare determinati dati non implica la conservazione dell’intero supporto documentale; adempiere a un obbligo legale non autorizza l’espansione discrezionale del trattamento.
Nel caso delle strutture ricettive, questa distorsione si traduce nella creazione di archivi paralleli di documenti di identità, spesso gestiti con strumenti inadeguati e senza una reale valutazione del rischio. Si tratta poi di un meccanismo replicabile, e replicato, in molti altri contesti.
Documenti di identità e hotel: tra TULPS, tax free e antiriciclaggio
Un confronto puntuale tra le diverse discipline consente di isolare con precisione il dato normativo, al netto delle prassi operative che tendono a dilatarlo.
Nel caso delle strutture ricettive, l’articolo 109 del TULPS stabilisce che i gestori devono “comunicare all’autorità di pubblica sicurezza le generalità delle persone alloggiate. La sequenza normativa è lineare: identificazione, comunicazione, cancellazione.
Una struttura analoga si rinviene, con finalità diverse, nel regime del tax free shopping disciplinato dall’articolo 38-quater del DPR 633/1972 e dalle procedure OTELLO 2.0 dell’Agenzia delle Dogane. Ai fini della tracciabilità dell’operazione e al rispetto delle condizioni per il rimborso dell’IVA, il legislatore richiede che il cedente verifichi la condizione soggettiva dell’acquirente non residente, attraverso l’esibizione del passaporto, e che determinati elementi siano riportati nel documento fiscale. La prassi amministrativa è esplicita nel prevedere che il cliente debba “esibire il passaporto” e che i relativi dati siano “indicati nella fattura”. Anche qui, la terminologia è significativa: esibizione e indicazione (non acquisizione né archiviazione).
Un’impostazione coerente emerge anche nella disciplina antiriciclaggio. Il d.lgs. 231/2007, agli articoli 18 e 19, impone ai soggetti obbligati di procedere all’“identificazione del cliente e verifica della sua identità”, precisando che tale verifica avviene “sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente”. Il legislatore distingue poi chiaramente il piano dell’identificazione da quello della conservazione, disciplinato separatamente all’articolo 31, che riguarda i “documenti, dati e informazioni acquisiti nell’adempimento degli obblighi di adeguata verifica”. Anche in questo caso, la norma non autorizza una duplicazione indiscriminata dei documenti; al contrario circoscrive finalità e modalità del trattamento.
Se si isolano i verbi utilizzati dal legislatore (“comunicare”, “esibire”, “indicare”, “identificare”, “verificare”) emerge una forte coerenza sistematica: l’ordinamento costruisce obblighi funzionali alla verifica dell’identità e alla tracciabilità delle operazioni, evitando di trasformarli in meccanismi di accumulo documentale.
La conservazione, quando prevista, è oggetto di disposizioni autonome, delimitate e finalizzate. Il passaggio dall’identificazione alla creazione di archivi di copie dei documenti non è quindi un’esigenza normativa, bensì una deviazione operativa che non trova fondamento nel dato legislativo.
Il principio di minimizzazione come regola di progettazione
Il richiamo al principio di minimizzazione assume un valore che va oltre la dimensione teorica, configurandosi come un criterio concreto alla base della progettazione dei processi.
Minimizzare significa selezionare i dati strettamente necessari rispetto alla finalità perseguita, limitarne la circolazione e ridurne il tempo di conservazione. Significa, soprattutto, evitare trattamenti ridondanti che non aggiungono valore giuridico, ma, al contrario, aumentano l’esposizione al rischio.
La conservazione indiscriminata di copie di documenti di identità rappresenta l’esatto contrario di questo approccio, poiché è una forma di accumulo che viene spesso giustificata come cautela, ma che, in realtà, amplifica il rischio di violazioni e di utilizzi illeciti dei dati.
Il Garante lo evidenzia richiamando gli obblighi di sicurezza del trattamento e le conseguenze di eventuali data breach, che possono comportare la notifica all’autorità e la comunicazione agli interessati. Il punto ancora più radicale è che il rischio nasce, in molti casi, da un trattamento che non avrebbe dovuto aver luogo.
Documenti di identità, le copie abusive negli hotel: frattura tra compliance e prassi
Il quadro che si delinea è quello di una compliance che ha privilegiato la dimensione formale rispetto a quella sostanziale. Informative aggiornate, registri dei trattamenti, policy interne: l’architettura documentale esiste, e magari è anche ben costruita. Ciò che manca è la sua traduzione operativa nei processi ed è nei momenti operativi che questa frattura diventa evidente.
Il check-in in una struttura ricettiva, la gestione di una vendita tax free, l’identificazione di un cliente in un contesto commerciale, rappresentano passaggi ordinari, ma giuridicamente qualificati, in cui il trattamento dei dati dovrebbe essere calibrato con precisione. In questi snodi, il principio di minimizzazione deve essere una (o meglio “la”) regola applicativa: selezionare i dati necessari, limitarne la circolazione, escludere ciò che eccede la finalità. In questi passaggi, il principio viene sistematicamente svuotato e sostituito da prassi standardizzate che tendono all’accumulo.
Il risultato è un’espansione silenziosa del trattamento, che si manifesta nella raccolta e conservazione di dati non necessari. Questa, oltre ad essere una violazione formale della normativa, è una scelta che incide direttamente sul livello di rischio. Più dati vengono raccolti senza una base giuridica adeguata, più aumenta la superficie esposta a violazioni, accessi indebiti, utilizzi impropri. La proliferazione di trattamenti inutili non rappresenta certo una forma di cautela, bensì un fattore di vulnerabilità che finisce per riflettersi sugli interessati e, in ultima analisi, sulle stesse organizzazioni.
Una linea interpretativa consolidata e non una novità
La nota del Garante si colloca in una linea interpretativa che non presenta alcuna discontinuità. L’Autorità richiama esplicitamente precedenti interventi, pareri e provvedimenti che, nel tempo, hanno ribadito la necessità di limitare il trattamento dei dati degli ospiti allo stretto necessario, nel rispetto dei principi di liceità, minimizzazione e limitazione della conservazione.
L’Autorità richiama infatti un orientamento consolidato che attraversa oltre vent’anni di interventi: dal parere del 2005 sulle schede d’albergo, ai provvedimenti del 2012 e del 2021 resi sui decreti attuativi del sistema “Alloggiati Web”, fino al più recente comunicato del 2025 su casi di acquisizione sistematica delle copie dei documenti.
L’elemento della “non novità” è quello che merita più attenzione, poiché evidenzia che non siamo di fronte a una norma recente o a un’interpretazione evolutiva che richiede un periodo di assestamento. Il principio secondo cui non è lecito conservare copie dei documenti oltre quanto strettamente necessario è infatti noto da anni ed è stato appunto reiterato in più occasioni.
L’intervento attuale del Garante, quindi, non fa che prendere sostanzialmente atto di una distanza persistente (e profondamente radicata) tra regola e prassi.
Chiarire ancora l’ovvio: il sintomo di una compliance incompiuta
Negli ultimi anni, l’attività del Garante mostra un tratto ricorrente: accanto ai provvedimenti sanzionatori e alle linee guida su temi emergenti, si moltiplicano interventi che ribadiscono principi già consolidati e spesso si traducono in chiarimenti operativi più che in innovazioni interpretative.
La nota sulle strutture ricettive si inserisce in questa linea, così come, ad esempio, i recenti interventi in materia di controllo a distanza dei lavoratori e tracciamento delle email aziendali, nei quali l’Autorità ha richiamato suoi orientamenti consolidati e limiti già chiaramente desumibili dallo Statuto dei lavoratori e dal GDPR; o le numerose comunicazioni e provvedimenti in tema di data breach, che continuano a richiamare obblighi di notifica e gestione del rischio già espressamente previsti dagli articoli 33 e 34 del Regolamento.
Questa dinamica può essere letta in due modi. Da un lato, riflette una funzione istituzionale precisa: il Garante, oltre ad essere un’autorità sanzionatoria, è anche un soggetto chiamato a promuovere la consapevolezza e la corretta applicazione delle norme. In questo senso, il ripetersi di interventi su temi apparentemente già chiariti è coerente con il mandato di accompagnare l’evoluzione dei comportamenti organizzativi.
Dall’altro lato, tuttavia, la reiterazione di chiarimenti su principi elementari solleva una questione molto meno rassicurante.
Se, a distanza di dieci anni dall’entrata in vigore del GDPR e dopo una produzione costante di pareri, linee guida e provvedimenti, si rende ancora necessario precisare che non si devono conservare copie di documenti quando la norma ne impone la cancellazione, il problema non può essere ricondotto alla sola attività dell’Autorità.
Il recente intervento del Garante, anziché colmare una lacuna normativa, rende pienamente visibile una lacuna applicativa.
Più che innovare il diritto, questi provvedimenti finiscono per certificare la distanza tra il diritto e le prassi. Sanciscono inoltre, indirettamente, anche il limite di un modello di compliance che continua a richiedere chiarimenti esterni su ciò che il sistema normativo ha già espresso con sufficiente chiarezza.
Quando regole chiare diventano opzionali
Nel caso dei documenti di identità nelle strutture ricettive, il quadro giuridico è definito, stabile e ripetutamente chiarito.
Occorre allora chiedersi perché principi elementari e basilari continuino a essere trattati come indicazioni opzionali e perché la minimizzazione si trasformi in una sorta di raccomandazione quasi superflua, quando invece si tratta di una regola-guida fondamentale.
Insomma, se a distanza di anni è ancora necessario ribadire che non si possono conservare copie dei documenti di identità senza una base giuridica, è perché il diritto viene (troppo spesso) sistematicamente semplificato fino a diventare irrilevante. Va da sé che quando il diritto diventa irrilevante, la compliance smette di essere una garanzia per diventare mero esercizio formale.
