Documenti d’identità in hotel: il divieto del Garante e le sanzioni per gli albergatori

Documenti d’identità in hotel: cosa impone la normativa?

L’articolo 109 del Regio decreto 18 giugno 1931, numero 773 (Testo unico delle leggi di pubblica sicurezza, in sigla TULPS) prevede l’obbligo, per gli albergatori e i gestori di strutture ricettive (proprietari o gestori di case e di appartamenti per vacanze ed affittacamere, compresi i gestori di strutture di accoglienza non convenzionali) di trasmettere i dati identificativi degli ospiti all’autorità di pubblica sicurezza.

Si tratta, commenta la nota del Garante privacy, di un obbligo di legge che risponde a finalità di ordine e sicurezza pubblica in quanto i dati acquisiti attraverso le c.d. schedine d’albergo rivestono una intrinseca rilevanza non solo per le attività di prevenzione generale dei reati, ma per più articolati fini operativi di polizia, rivelandosi utili sia per assicurare la tutela dell’ordine e della sicurezza pubblica, sia per prevenire e reprimere fenomeni criminali.

La stessa Corte costituzionale (sentenza del 16 luglio 1970, numero 144) ha affermato che la sistematica annotazione dei movimenti e dei luoghi dove le persone soggiornano, effettuata ai sensi del citato articolo 109 del TULPS, mira ad agevolare l’autorità di pubblica sicurezza e le forze di polizia in quell’opera di vigilanza sulle persone, che è connessa al dovere di ricercare latitanti o soggetti in genere sospettati di reati.

Documenti d’identità in hotel: comunicazione dei dati alle autorità di pubblica sicurezza

In attuazione della norma di legge citata, i gestori delle strutture ricettive comunicano all’autorità di pubblica sicurezza, secondo le modalità stabilite con il decreto del Ministro dell’Interno del 7 gennaio 2013, le generalità delle persone alloggiate.

Lo svolgimento delle sopra menzionate attività di verifica dell’identità e di comunicazione giornaliera all’autorità di pubblica sicurezza comportano un trattamento da parte della struttura ricettiva dei dati personali degli ospiti, che comprendono:

• Dati anagrafici;
• Estremi del documento di identità esibito.

La comunicazione dei dati può essere effettuata:

• Manualmente da un addetto all’accoglienza che inserisce le informazioni nel portale pubblico “Alloggiati Web“ del Ministero dell’Interno;
• In modo automatizzato, attraverso un collegamento tra i sistemi gestionali delle strutture ricettive e i sistemi informatici del Ministero dell’Interno.

L’obbligo legale è limitato alla sola comunicazione dei dati

L’obbligo imposto dall’articolo 109 del TULPS attiene tuttavia alla sola comunicazione dei dati all’autorità di pubblica sicurezza, senza che ciò comporti anche la necessità della conservazione dei predetti dati, presso la struttura ricettiva.

La conservazione delle informazioni è a carico invece dello stesso Ministero dell’Interno, il quale mantiene i dati sui propri sistemi informatici per un periodo di cinque anni.

Il citato decreto ministeriale del 7 gennaio 2013, impone peraltro ai gestori delle strutture ricettive la “cancellazione dei dati digitali” e la “distruzione della copia cartacea” delle informazioni non appena generata dal sistema la ricevuta di avvenuta comunicazione dei dati.

La sola ricevuta dev’essere conservata dalla struttura interessata per un periodo di cinque anni.

Documenti d’identità in hotel: le indicazioni per le realtà del settore

Il Garante privacy sottolinea che la normativa in materia di pubblica sicurezza non contempla forme di raccolta e conservazione di copia dei documenti di identità degli ospiti.

Fanno eccezione le attività meramente strumentali all’inserimento dei dati medesimi nel sistema Alloggiati Web che si concretizzano nel rilascio, da parte della piattaforma telematica, della ricevuta di accettazione della comunicazione.

A quest’ultima deve seguire la cancellazione (digitale) o la distruzione (materiale) della copia del documento eventualmente acquisito, qualora ancora trattenuta.

Violazione dei dati personali

L’evenienza di una violazione dei dati personali, con perdita di riservatezza delle immagini dei documenti di identità della clientela, espone la struttura ricettiva alla necessità di provvedere alla notifica all’autorità di controllo, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, nonché alla comunicazione della violazione agli interessati.

Documenti d’identità in hotel: il vademecum per le strutture ricettive

Con la nota del 29 aprile 2026 il Garante privacy invita le strutture ricettive ad attuare una serie di azioni concrete, in particolare:

• Adeguata responsabilizzazione del personale addetto alla raccolta ed al trattamento dei dati personali degli ospiti, cui fornire puntuali istruzioni sul divieto di effettuare o trattenere copie (analogiche o digitali) dei documenti di identità, successivamente all’effettuazione delle comunicazioni di legge;
• Chiara rappresentazione agli ospiti delle informazioni sulla logica e le modalità di raccolta ed utilizzo del dato relativo ai documenti personali;
• Opportuna regolazione, ai sensi dell’articolo 28 del RGPD, dei rapporti con i fornitori dei servizi di gestione delle prenotazioni alberghiere e dei servizi eventualmente utilizzati per l’acquisizione dei dati relativi ai documenti di identità, prestando particolare attenzione alle modalità di trattamento di questi ultimi e definendo efficaci modalità di comunicazione in caso di violazione dei dati personali;
• Raccolta dei dati dei documenti di identità senza effettuare foto con dispositivi mobili o fare ricorso a servizi di messaggistica istantanea (ad esempio WhatsApp), evitando il ricorso a modalità che non presentano le caratteristiche idonee al rispetto della normativa richiamata.

Foto di copertina: iStock/CalypsoArt