Il Garante per la protezione dei dati personali è intervenuto con una nota di chiarimento rivolta agli albergatori, ai gestori di B&B e di affittacamere, precisando i limiti del trattamento dei documenti d’identità degli ospiti alla luce del GDPR e della normativa vigente. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. In tema, abbiamo organizzato il corso di formazione NIS 2: cosa fare entro il 2026 – Stato dell’arte, scadenze e checklist operativa per aziende e PA.
Indice
- 1. Il quadro normativo di riferimento
- 2. Il divieto di conservazione delle copie
- 3. Le prassi scorrette diffuse nel settore
- 4. L’unico documento che può essere conservato: la ricevuta
- 5. Gli obblighi del titolare del trattamento
- 6. Data breach: gli obblighi in caso di violazione
- 7. Conclusioni: profili sanzionatori e regime di responsabilità
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Il quadro normativo di riferimento
La disciplina in materia di strutture ricettive impone ai gestori l’obbligo di identificare i propri clienti e di trasmettere i relativi dati alle autorità di pubblica sicurezza attraverso il portale istituzionale “Alloggiati Web”, gestito dalla Polizia di Stato. Tale obbligo trova il proprio fondamento nelle disposizioni del Testo Unico delle Leggi di Pubblica Sicurezza (T.U.L.P.S.) e nei relativi regolamenti attuativi.
Il punto critico, su cui il Garante ha ritenuto necessario intervenire il 29 aprile 2026, riguarda la portata di tale obbligo: esso legittima la raccolta e la trasmissione dei dati identificativi degli ospiti, ma non autorizza in alcun modo la conservazione di copie — fisiche o digitali — dei documenti d’identità. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Il divieto di conservazione delle copie
Il Garante ha chiarito che alberghi, B&B e affittacamere non possono conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza.
Il principio applicato è quello di minimizzazione del trattamento, sancito dall’art. 5, par. 1, lett. c) del Regolamento (UE) 2016/679 (GDPR), secondo cui i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. La finalità — l’adempimento dell’obbligo di comunicazione alle autorità — si esaurisce nel momento in cui la trasmissione telematica viene completata. Dopo tale momento, la conservazione della copia del documento diventa priva di base giuridica.
3. Le prassi scorrette diffuse nel settore
Negli ultimi tempi si è diffusa, soprattutto tra B&B e affittacamere, la pratica di fotografare i documenti con smartphone o di richiederne l’invio tramite applicazioni di messaggistica come WhatsApp. Tali comportamenti, oltre a essere privi di fondamento normativo, espongono ingiustificatamente gli interessati a rischi concreti, tra cui furti d’identità e accessi illeciti ai dati personali.
È evidente come tali pratiche si pongano in aperto contrasto con i principi di liceità, correttezza e trasparenza del trattamento (art. 5 GDPR) e con l’obbligo di adottare misure tecniche e organizzative adeguate a garantire la sicurezza dei dati (art. 32 GDPR).
4. L’unico documento che può essere conservato: la ricevuta
Una volta completata la trasmissione dei dati alle autorità di pubblica sicurezza, eventuali copie dei documenti acquisite per tale finalità devono essere immediatamente cancellate o distrutte. L’unico elemento che può essere conservato è la ricevuta dell’avvenuta comunicazione, prodotta automaticamente dal portale, da conservare per cinque anni al fine di comprovare l’adempimento.
Questo elemento è di fondamentale importanza: la ricevuta costituisce la prova documentale dell’adempimento dell’obbligo normativo e può essere richiesta in sede di controllo da parte delle autorità competenti. La sua conservazione quinquennale è pertanto non solo lecita, ma doverosa.
5. Gli obblighi del titolare del trattamento
Il Garante sottolinea che è preciso dovere dei titolari del trattamento garantire la sicurezza dei dati personali. Le strutture ricettive devono quindi adottare misure adeguate per la protezione dei dati e istruire correttamente il personale incaricato della loro raccolta e gestione.
Questo richiamo è coerente con il principio di accountability (art. 5, par. 2, GDPR), che impone al titolare del trattamento di essere in grado di dimostrare il rispetto delle disposizioni regolamentari. Una corretta istruzione del personale — anche in forma scritta — è parte integrante di tale responsabilità.
6. Data breach: gli obblighi in caso di violazione
In caso di violazione dei dati personali (data breach) scattano obblighi specifici, tra cui la notifica al Garante entro 72 ore e, nei casi più gravi, anche la comunicazione della violazione agli interessati.
L’intervento del Garante assume rilievo anche in questa prospettiva: le strutture che conservano illegittimamente copie di documenti d’identità su dispositivi personali (smartphone, tablet) o tramite piattaforme di messaggistica sono esposte a un rischio di data breach significativamente più elevato. Tali ambienti, privi delle necessarie misure di sicurezza, possono essere facilmente compromessi, con conseguente violazione dei dati di un numero potenzialmente elevato di ospiti.
7. Conclusioni: profili sanzionatori e regime di responsabilità
L’intervento del Garante, pur assumendo formalmente la natura di nota di chiarimento e non di provvedimento sanzionatorio, non è privo di rilevanza giuridica. Esso costituisce un atto di indirizzo che cristallizza l’interpretazione dell’Autorità di controllo in materia, con immediate ricadute sul piano della responsabilità dei titolari del trattamento.
Sul versante amministrativo, la conservazione illegittima di copie di documenti d’identità integra una violazione dei principi fondamentali del trattamento — in particolare quelli di minimizzazione (art. 5, par. 1, lett. c, GDPR) e di limitazione della finalità (art. 5, par. 1, lett. b, GDPR) — nonché dell’obbligo di adottare misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR. Tali violazioni rientrano nel regime sanzionatorio più severo previsto dall’art. 83, par. 5, GDPR, che contempla sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo. Anche laddove si ritenesse applicabile la soglia inferiore di cui all’art. 83, par. 4 — fino a 10 milioni di euro o al 2% del fatturato — l’entità potenziale delle sanzioni rimane significativa, anche per operatori di dimensioni ridotte.
Sul versante della responsabilità civile, occorre considerare che l’art. 82 GDPR riconosce all’interessato il diritto al risarcimento del danno — patrimoniale e non patrimoniale — cagionato da una violazione del Regolamento. In un contesto in cui la conservazione non autorizzata di documenti d’identità può agevolare furti di identità o altri illeciti, il nesso causale tra la condotta del titolare e il danno subito dall’ospite potrebbe essere agevolmente dimostrato in sede giudiziale.
Va inoltre richiamata la disciplina del data breach: qualora i dati illegittimamente conservati dovessero essere oggetto di accesso non autorizzato, il titolare sarebbe tenuto alla notifica al Garante entro 72 ore ai sensi dell’art. 33 GDPR, e nei casi di rischio elevato per i diritti e le libertà degli interessati, anche alla comunicazione individuale agli ospiti coinvolti ex art. 34 GDPR. L’omessa o tardiva notifica costituisce autonoma violazione, sanzionabile ai sensi dell’art. 83, par. 4, GDPR.
Infine, sul piano dell’accountability, i gestori di strutture ricettive sono tenuti non solo ad adeguare le proprie procedure operative, ma anche a documentare tale adeguamento: aggiornamento del Registro delle attività di trattamento (art. 30 GDPR), revisione dell’informativa privacy resa agli ospiti (artt. 13-14 GDPR) e istruzione scritta del personale costituiscono adempimenti non rinviabili, tanto più alla luce dell’esplicito richiamo contenuto nella nota del Garante.
Formazione in materia per professionisti
NIS 2: cosa fare entro il 2026 – Stato dell’arte, scadenze e checklist operativa per aziende e PA
Secondo la comunicazione dell’ACN rilasciata in occasione dell’ottava riunione del Tavolo NIS (aprile 2026), l’elenco provvisorio dei soggetti NIS supera le 21.000 unità, di cui almeno 5.000 qualificati come essenziali.
Con le ultime determinazioni ACN, il framework della cybersecurity italiana è pienamente operativo e le organizzazioni sono chiamate a tradurre rapidamente gli obblighi in azioni concrete.
Questo webinar fornisce a tutte le organizzazioni e professionisti coinvolti una mappatura aggiornata dello “stato dell’arte”, con l’obiettivo di chiarire cosa fare entro il 2026 e come semplificare gli adempimenti.
Gli strumenti utili che mostreremo in questo webinar:
• La notifica unica: come integrare i flussi di segnalazione degli incidenti informatici verso diverse autorità con un unico processo.
• La mappatura degli adempimenti sovrapposti: per chi deve rispondere contemporaneamente a NIS 2, GDPR e Regolamento DORA.
• Gestione pratica della supply chain: come fare il censimento dei fornitori rilevanti e criteri per l’aggiornamento dei contratti (clausole cyber).
• Il portale ACN 2026: guida pratica all’uso dei Servizi NIS per il rinnovo dell’iscrizione e l’aggiornamento annuale delle attività.
• Checklist ispezioni: cosa preparare per farsi trovare pronti ai controlli dell’Agenzia (documentazione, log, processi di governance).
• Governance e modelli 231: revisione di deleghe, assetti organizzativi e modelli 231.
>>>Per info e descrizione<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento