Privacy e GDPR per Strutture Ricettive: Perché Sono Fondamentali

Se gestisci una struttura ricettiva, tratti ogni giorno dati personali sensibili: documenti d'identità, numeri di telefono, email, dati di pagamento, persino informazioni sanitarie per le esenzioni dall'imposta di soggiorno. Il Regolamento Europeo sulla Protezione dei Dati (GDPR) non è un optional — è un obbligo con sanzioni pesantissime. Ecco tutto quello che devi sapere per proteggere i tuoi ospiti e la tua attività.

Cos'è il GDPR e perché riguarda la tua struttura

Il GDPR (General Data Protection Regulation — Regolamento UE 2016/679) è la normativa europea che regola il trattamento dei dati personali. È in vigore dal 25 maggio 2018 e si applica a qualsiasi attività che raccoglie, conserva o utilizza dati personali — inclusi B&B, hotel, agriturismi, affittacamere e case vacanza.

Una struttura ricettiva tratta dati personali in molteplici occasioni:

Prenotazione — Nome, cognome, email, telefono, dati di pagamento
Check-in — Documento d'identità, codice fiscale, nazionalità, data di nascita
Schedine PS — Dati trasmessi alla Questura per obbligo di legge
Fatturazione — Codice fiscale, partita IVA, indirizzo di fatturazione
Marketing — Email per newsletter, offerte di ritorno, recensioni
Videosorveglianza — Se hai telecamere nelle aree comuni

Ogni singola di queste attività è un "trattamento" ai sensi del GDPR, e devi gestirlo correttamente.

I 7 obblighi chiave del GDPR per le strutture ricettive

Informativa privacy — Devi informare l'ospite, PRIMA di raccogliere i suoi dati, su: chi sei (titolare del trattamento), quali dati raccogli, perché, per quanto tempo li conservi, e quali sono i suoi diritti. L'informativa deve essere chiara, in linguaggio semplice e facilmente accessibile (ad esempio integrata nel check-in digitale)
Base giuridica — Per ogni trattamento devi avere una base legale valida:
- Esecuzione del contratto (art. 6.1.b) — per i dati necessari alla prenotazione e al soggiorno
- Obbligo di legge (art. 6.1.c) — per le schedine PS, i dati fiscali, le comunicazioni ISTAT
- Legittimo interesse (art. 6.1.f) — per la sicurezza della struttura
- Consenso esplicito (art. 6.1.a) — per il marketing, le newsletter, i cookie analitici
Registro dei trattamenti — Se tratti dati regolarmente (e una struttura ricettiva lo fa per definizione), devi tenere un registro che documenti tutti i trattamenti effettuati, le finalità, le categorie di dati e i tempi di conservazione
Sicurezza dei dati — Devi adottare misure tecniche e organizzative adeguate: password sicure, connessioni HTTPS, backup, accessi limitati al personale autorizzato
Diritti dell'ospite — L'ospite ha diritto di accesso, rettifica, cancellazione ("diritto all'oblio"), limitazione, portabilità e opposizione. Devi essere in grado di rispondere entro 30 giorni
Data breach — In caso di violazione dei dati (furto, accesso non autorizzato, perdita), devi notificare il Garante Privacy entro 72 ore e, se il rischio è elevato, anche gli interessati
Responsabile del trattamento — Se utilizzi servizi esterni (gestionale PMS, email marketing, cloud), devi stipulare un contratto che regoli il trattamento dati da parte del fornitore (art. 28 GDPR)

Le sanzioni: cosa rischi se non sei in regola

Le sanzioni GDPR sono tra le più severe mai previste in materia di privacy:

Sanzioni amministrative:

Fino a 10 milioni di euro (o il 2% del fatturato annuo mondiale) per violazioni relative al registro dei trattamenti, alla sicurezza dei dati, alla notifica dei data breach
Fino a 20 milioni di euro (o il 4% del fatturato annuo mondiale) per violazioni relative ai diritti degli interessati, ai principi del trattamento, al consenso

Sanzioni penali (previste dal D.Lgs. 196/2003 italiano):

Trattamento illecito di dati personali: reclusione da 6 mesi a 3 anni
Comunicazione e diffusione illecita di dati: reclusione da 1 a 6 anni
Acquisizione fraudolenta di dati: reclusione da 1 a 4 anni

Non pensare che il Garante si occupi solo delle grandi aziende: negli ultimi anni sono state emesse sanzioni anche a piccole strutture ricettive per mancata informativa, consenso non valido o mancata risposta alle richieste degli ospiti.

Errori comuni nelle strutture ricettive

Fotocopiare i documenti e conservarli senza criterio — Le fotocopie dei documenti d'identità devono avere una base giuridica (l'obbligo PS non richiede la fotocopia, ma solo i dati). Se le conservi, devi indicare per quanto tempo e perché
Inviare email promozionali senza consenso — L'email di conferma prenotazione è lecita (esecuzione contratto), ma la newsletter post-soggiorno richiede il consenso esplicito e separato
Non avere un'informativa privacy — Molti B&B non hanno alcuna informativa, né online né al check-in. È una violazione diretta dell'art. 13 GDPR
Condividere dati degli ospiti con terzi senza base giuridica — Ad esempio inviare la lista ospiti a un ristorante convenzionato senza che l'ospite lo sappia
Non cancellare i dati alla scadenza — I dati del check-in non devono essere conservati indefinitamente. Definisci tempi di conservazione chiari
Usare WhatsApp per trasmettere documenti — Inviare foto di documenti d'identità via WhatsApp tra personale è rischioso e non conforme

Come mettersi in regola: checklist pratica

Azione	Priorità	Stato
Redigi un'informativa privacy chiara e completa	Alta	☐
Mostra l'informativa PRIMA di raccogliere dati (check-in, sito web)	Alta	☐
Compila il registro dei trattamenti	Alta	☐
Definisci i tempi di conservazione per ogni tipo di dato	Media	☐
Raccogli il consenso separato per email marketing	Media	☐
Verifica i contratti con fornitori (PMS, email, cloud)	Media	☐
Implementa misure di sicurezza (password, HTTPS, backup)	Media	☐
Prepara una procedura per data breach	Media	☐
Forma il personale sulla gestione dei dati	Bassa	☐

Come FacileBB.it ti aiuta con la privacy

FacileBB.it è progettato con la privacy by design:

Informativa integrata nel check-in digitale — L'ospite visualizza e accetta l'informativa privacy prima di inserire i dati, con consenso tracciato e verificabile
Registro dei trattamenti — Il sistema documenta automaticamente i trattamenti effettuati
Cancellazione automatica documenti — I documenti del check-in vengono cancellati automaticamente dopo il checkout, secondo la configurazione della struttura
Export dati ospite — Per rispondere alle richieste di accesso e portabilità con un click
Database isolato per ogni struttura — I dati di ogni struttura sono completamente separati
Connessione HTTPS e password hash bcrypt — Misure di sicurezza tecniche adeguate
Backup automatici — Per prevenire la perdita di dati

Con un gestionale PMS che integra la privacy fin dalla progettazione, mettersi in regola è molto più semplice. Scopri anche tutti gli altri adempimenti obbligatori per le strutture ricettive.

Prova FacileBB.it Gratis

Nessuna carta di credito richiesta. Operativo in 5 minuti.

Inizia la Prova Gratuita