Quella mail di conferma ordine sta tracciando il tuo tliente (…e tu non lo sai)
9 Maggio 2026
Gestisci un B&B, un affittacamere, qualche appartamento per vacanze? Oppure hai un albergo e alla reception, quando c’è coda, il tuo collaboratore scatta una foto veloce al documento con il telefono “per fare prima”?
Fermati un secondo. Perché il Garante Privacy ha appena messo nero su bianco quello che molti temevano: questa prassi è nel mirino. E non è una questione teorica.
Il problema che nessuno ti ha spiegato davvero
La nota del 29 aprile 2025 non è il solito documento burocratico. È una reazione a qualcosa di concreto: un’impennata di segnalazioni, reclami e – soprattutto – data breach che hanno coinvolto proprio le copie dei documenti d’identità conservate dalle strutture ricettive.
Tradotto: qualcuno ha bucato i sistemi, ha rubato migliaia di carte d’identità, e il Garante si è stufato.
Ma ecco l’angolo cieco che nessun commentatore ti ha evidenziato: il Garante cita espressamente WhatsApp e i dispositivi mobili come canali problematici. Non in una nota a piè pagina. Nel corpo del documento.
Significa che se tu, come fanno in tantissimi, chiedi agli ospiti di mandarti la foto del documento via messaggio, stai usando un metodo che l’Autorità considera ad alto rischio.
Perché WhatsApp è un problema (anche se “è crittografato”)
So già cosa stai pensando: “Ma WhatsApp ha la crittografia end-to-end, è sicuro.”
Vero. Ma il problema non è il transito del messaggio. Il problema è cosa succede dopo:
– La foto resta nella galleria del telefono (tuo e del collaboratore)
– Viene backuppata automaticamente su Google Drive o iCloud
– Rimane nella chat, accessibile a chiunque prenda in mano quel telefono
– Non hai nessun controllo su quanto tempo resta lì
– Non hai nessun log di chi vi ha accesso
In pratica: stai conservando documenti d’identità su infrastrutture che non controlli, senza policy di cancellazione, senza misure di sicurezza adeguate, senza nulla.
E quando (non se, quando) qualcosa va storto, chi risponde sei tu. Il titolare del trattamento. L’imprenditore.
La trappola del “ma l’ho sempre fatto così”
Ecco il secondo angolo cieco. L’obbligo di comunicare i dati alla Questura tramite il portale Alloggiati Web non richiede che tu conservi la copia del documento.
Rileggi: non richiede che tu conservi la copia.
L’art. 109 del TULPS ti obbliga a:
1. Verificare l’identità dell’ospite
2. Comunicare le generalità all’autorità di pubblica sicurezza
Stop. Non dice “fai una foto e tienila per anni”.
Eppure questa è diventata la prassi. Perché? Per comodità. Per paura. Per “non si sa mai”.
Ma quella copia in più che conservi “per sicurezza” è esattamente ciò che:
– Ti espone a data breach
– Viola il principio di minimizzazione (art. 5 GDPR)
– Ti rende responsabile di dati che non avresti dovuto avere
Cosa devi fare concretamente
Primo: smetti immediatamente di raccogliere documenti via WhatsApp o messaggi. Se devi ricevere un documento prima dell’arrivo, usa almeno una email con cancellazione programmata o un sistema dedicato.
Secondo: verifica cosa stai davvero conservando. Hai cartelle piene di scan di documenti? Cancellale. Tieni solo i dati che comunichi ad Alloggiati Web.
Terzo: forma il tuo personale. Quel telefono personale usato per “fare prima” è una bomba a orologeria.
Quarto: documenta tutto. Se il Garante bussa, devi dimostrare di aver ragionato su questi aspetti, non di aver improvvisato.
La vera domanda
Non è “cosa rischio come multa” (anche se le multe esistono e, ormai lo sai anche tu, possono essere pesanti).
La vera domanda è: se domani ti bucano il sistema e finiscono online 500 carte d’identità dei tuoi ospiti, come lo spieghi?
Ai clienti. Ai giornali locali. Al Garante che ti chiede “perché conservavi quei documenti se non era necessario?”
Se vuoi capire come mettere in sicurezza la gestione documentale della tua struttura ricettiva – senza paranoie ma con metodo – contattami utilizzando il modulo qui sotto oppure scrivimi a: info@studiolegalecucci.net. È il momento di sistemarsi prima che qualcuno “sistemi” te.
