GDPR per Hotel e Strutture Ricettive — Obblighi e Soluzioni

Perché gli hotel hanno esigenze privacy specifiche

Un hotel non è un'azienda come le altre dal punto di vista della protezione dei dati. Ogni giorno gestisce un flusso continuo di dati personali da fonti diverse: il check-in con documento di identità e comunicazione alla Questura, la carta di credito a garanzia, le preferenze alimentari (che possono rivelare dati sanitari come allergie o intolleranze), la videosorveglianza delle aree comuni, il Wi-Fi per gli ospiti con possibile tracciamento, le prenotazioni da OTA (Booking.com, Expedia) con dati provenienti da piattaforme terze, e in molti casi programmi fedeltà con profilazione.

A questo si aggiunge la dimensione internazionale: gli ospiti stranieri hanno diritto a un'informativa comprensibile, e i trasferimenti di dati verso piattaforme extra-UE devono essere gestiti con le garanzie previste dal GDPR. Senza un sistema documentale specifico per il settore, il rischio di non conformità è elevato.

I principali adempimenti GDPR per un hotel

Registro dei trattamenti per strutture ricettive

Il registro dei trattamenti di un hotel ha trattamenti specifici che non si trovano in altri settori: gestione prenotazioni, check-in/check-out con schedina PS, comunicazione dati alla Questura (Alloggiati Web), gestione carte di credito, videosorveglianza, Wi-Fi ospiti, gestione preferenze (allergie, esigenze speciali), marketing e programmi fedeltà, dati dei dipendenti con turnistica. Ogni trattamento va mappato con finalità, base giuridica, tempi di conservazione e misure di sicurezza.

Informativa ospiti

L'ospite deve essere informato al momento del check-in (o prima, via email di conferma) su come i suoi dati vengono trattati. Servono almeno due informative specifiche: una per il trattamento legato al soggiorno (check-in, Questura, fatturazione) e una per il sito web (cookie, form di prenotazione, newsletter). Per le strutture con clientela internazionale, le informative vanno prodotte in italiano e in inglese.

Videosorveglianza: regole e cartelli

La videosorveglianza nelle aree comuni (hall, parcheggio, corridoi) è legittima per finalità di sicurezza, ma richiede: cartelli informativi (informativa breve) posizionati prima dell'area videosorvegliata, un'informativa estesa disponibile alla reception, tempi di conservazione definiti (in genere 24-72 ore, massimo 7 giorni salvo casi particolari), e una DPIA se il sistema copre aree estese o utilizza tecnologie avanzate (riconoscimento targhe, analytics). Le camere non possono mai essere videosorvegliate.

Gestione dati dal booking engine

Quando un ospite prenota tramite Booking.com, Expedia o altre OTA, i dati transitano attraverso piattaforme terze. L'hotel che riceve questi dati diventa Titolare del trattamento per le proprie finalità (soggiorno, Questura, fatturazione). Serve chiarezza sui ruoli: l'OTA è Titolare autonomo per le sue finalità, l'hotel è Titolare per le proprie. Le nomine art. 28 vanno predisposte per ogni fornitore tech che tratta dati per conto dell'hotel (PMS, channel manager, software gestionale).

Wi-Fi per ospiti

Se il sistema Wi-Fi richiede una registrazione con dati personali (nome, email, numero stanza), quei dati sono un trattamento che va inserito nel registro, con informativa specifica e base giuridica. I log di navigazione, se conservati, vanno mappati come trattamento autonomo. L'accesso tramite social login (Facebook, Google) introduce ulteriori flussi di dati che richiedono attenzione.

Profilazione e programmi fedeltà

Se la struttura gestisce programmi fedeltà, raccoglie preferenze, invia comunicazioni marketing personalizzate o segmenta la clientela, si tratta di profilazione. Serve il consenso esplicito dell'ospite (non presunto, non incluso nella firma del modulo check-in), un'informativa specifica e, in caso di profilazione su larga scala, una DPIA.

Dati dei dipendenti

Il personale dell'hotel (reception, housekeeping, cucina, manutenzione) è soggetto a tutti i trattamenti HR standard: anagrafica, buste paga, turni, malattie, formazione. Serve un'informativa dipendenti specifica e designazioni per gli autorizzati al trattamento.

Il registro ospiti e la Questura: privacy e obblighi di legge

L'art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) obbliga le strutture ricettive a comunicare i dati degli ospiti alla Questura tramite il portale Alloggiati Web entro 24 ore dal check-in. Questo è un obbligo di legge che costituisce una base giuridica autonoma per il trattamento (art. 6, comma 1, lettera c del GDPR).

L'informativa deve indicare chiaramente questa finalità e la relativa base giuridica: l'ospite non può opporsi alla comunicazione alla Questura, ma ha diritto di sapere che avviene. I dati raccolti per questa finalità hanno tempi di conservazione definiti dalla legge, che possono essere diversi dai tempi di conservazione per altre finalità (fatturazione, marketing).

La nostra consulenza dedicata all'hospitality

Offro un pacchetto di consulenza GDPR costruito specificamente per le esigenze delle strutture ricettive:

• Registro dei trattamenti settoriale con tutti i trattamenti tipici dell'hospitality pre-mappati e personalizzati sulla tua struttura
• Informative ospiti (check-in e sito web) in italiano e inglese
• Informativa e cartelli videosorveglianza conformi alle linee guida EDPB
• Privacy policy e cookie policy del sito della struttura, con setup cookie banner
• Nomine art. 28 per PMS, channel manager, OTA, hosting, fornitori tech
• Informativa dipendenti e designazioni autorizzati per il personale
• Formazione specifica per il personale di reception (cosa dire all'ospite, come gestire le richieste, cosa fare in caso di data breach)
• DPIA per videosorveglianza e profilazione, dove necessaria
• Procedura data breach calibrata su scenari tipici dell'hospitality (perdita dati carte di credito, accesso non autorizzato al PMS, smarrimento chiavi elettroniche)

Domande frequenti per hotel e strutture ricettive