L’informativa privacy di un hotel è il documento che spiega in modo chiaro quali dati personali vengono raccolti da ospiti, potenziali clienti e visitatori e come vengono trattati, in conformità al GDPR. Descrive finalità come gestione delle prenotazioni e del check-in, adempimenti legali e fiscali, sicurezza e videosorveglianza, Wi‑Fi, pagamenti, programmi fedeltà e attività promozionali, indicando basi giuridiche, tempi di conservazione e destinatari dei dati. Serve a garantire trasparenza, tutelare i diritti degli interessati e dimostrare la responsabilità del titolare, con contatti e modalità per esercitare accesso, rettifica, cancellazione, opposizione, limitazione e portabilità. Specifica inoltre eventuali trasferimenti extra UE, uso di cookie e profilazione, e le misure di sicurezza adottate. In questo modo l’ospite sa che cosa accade ai suoi dati e può scegliere consapevolmente, ad esempio prestando o negando il consenso per il marketing.
Come scrivere Informativa privacy hotel
Un’informativa privacy per un hotel, per essere conforme al Regolamento (UE) 2016/679 e alla normativa italiana, deve identificare con precisione chi tratta i dati e perché. Deve quindi indicare la denominazione completa della struttura ricettiva in qualità di titolare del trattamento, l’indirizzo, i recapiti rapidi per esercitare i diritti privacy e, se nominato, il contatto del Responsabile della Protezione dei Dati. È importante chiarire in quali momenti vengono raccolti i dati, distinguendo fra prenotazioni sul sito dell’hotel o tramite motori di prenotazione esterni, contatti via telefono o email, registrazione al check-in, iscrizione a newsletter, utilizzo del Wi‑Fi, videosorveglianza nelle aree comuni e navigazione sul sito con relative tecnologie di tracciamento.
La descrizione delle categorie di dati deve essere concreta e proporzionata allo scenario alberghiero. Oltre ai dati identificativi e di contatto, vanno considerate le informazioni sulla prenotazione e sul soggiorno, i dati di pagamento e fatturazione, le preferenze espresse per il servizio, la targa per l’accesso al parcheggio, le registrazioni di videosorveglianza ove presenti, i log tecnici di accesso al Wi‑Fi e i dati tecnici di navigazione sul sito. Qualora l’ospite comunichi esigenze legate alla salute, ad esempio allergie o disabilità per camere accessibili, tali informazioni rientrano nelle categorie particolari e richiedono una base giuridica adeguata, in genere il consenso esplicito o la necessità di erogare servizi specificamente richiesti dall’ospite.
Le finalità e le basi giuridiche devono essere spiegate con linguaggio comprensibile, evitando formule generiche. Per gestire richieste e prenotazioni e per eseguire il contratto di ospitalità, la base giuridica è l’esecuzione di misure precontrattuali e contrattuali. Per gli adempimenti di legge, come la registrazione degli alloggiati e la comunicazione all’Autorità di Pubblica Sicurezza ai sensi della normativa italiana, o per la gestione della fiscalità e della tassa di soggiorno, la base è l’obbligo legale. Per le attività di sicurezza e prevenzione di frodi, inclusa la videosorveglianza ove legittimamente installata, e per la tutela giudiziale, la base può essere il legittimo interesse del titolare, da bilanciare e motivare nell’informativa. Per marketing diretto, newsletter e offerte personalizzate è necessario il consenso, ferma restando in Italia la possibilità di inviare comunicazioni su servizi analoghi ai clienti già acquisiti utilizzando l’indirizzo email raccolto in occasione della vendita, garantendo sempre la possibilità di opposizione semplice e gratuita. Per il trattamento di dati sanitari o altre informazioni sensibili dichiarate dall’ospite, va indicato il consenso esplicito o, ove applicabile, un’altra base conforme al GDPR. In casi di emergenza medica la base può essere l’interesse vitale dell’interessato.
L’informativa deve chiarire quali dati sono obbligatori e quali facoltativi, spiegando le conseguenze del mancato conferimento. Ad esempio, senza i dati minimi di identificazione e pagamento non è possibile concludere la prenotazione o consentire il soggiorno, mentre la mancata prestazione del consenso al marketing non incide in alcun modo sull’accesso ai servizi alberghieri.
Va fornita trasparenza sui destinatari e sulle categorie di soggetti che ricevono i dati. Oltre al personale interno autorizzato, l’hotel di norma si avvale di fornitori esterni nominati responsabili del trattamento, come gestori del property management system e del booking engine, fornitori di channel manager e CRM, piattaforme di invio email e SMS, gateway di pagamento, provider di servizi IT e cloud, consulenti contabili e legali, società di vigilanza per la videosorveglianza, e partner per l’erogazione di servizi accessori come spa o transfer se richiesti dall’ospite. È opportuno distinguere i casi in cui si condividono dati con soggetti terzi autonomi, quali agenzie di viaggio, OTA e imprese che effettuano prenotazioni corporate per conto dell’ospite, spiegando se si agisce come autonomi titolari e da quali fonti possono provenire i dati quando non raccolti direttamente dall’interessato.
Se i dati vengono trasferiti fuori dallo Spazio Economico Europeo, l’informativa deve indicare i Paesi di destinazione e le garanzie adottate, come decisioni di adeguatezza o clausole contrattuali standard, e spiegare come ottenere copia di tali garanzie. Questa parte è spesso rilevante quando i sistemi di gestione dell’hotel o le piattaforme di marketing sono in cloud con server o società capogruppo extra UE.
I periodi di conservazione devono essere specificati per ciascuna finalità o, se non è possibile una data esatta, va fornito un criterio chiaro e verificabile. I dati contrattuali e di fatturazione si conservano per i termini civilistici e fiscali applicabili; i dati comunicati all’Autorità di Pubblica Sicurezza sono trattati secondo i tempi previsti dalla normativa di settore; le registrazioni di videosorveglianza, se presenti, si conservano per un periodo limitato e giustificato, tipicamente molto breve salvo esigenze particolari debitamente documentate; i dati per finalità di marketing si conservano finché perdura il consenso o, in ogni caso, per periodi coerenti con le aspettative dell’interessato e con i principi di minimizzazione e limitazione; i log tecnici del Wi‑Fi e del sito sono conservati per la sicurezza per un tempo contenuto e proporzionato.
È necessario illustrare i diritti degli interessati e le modalità pratiche per esercitarli. Devono essere menzionati il diritto di accesso, rettifica, cancellazione, limitazione, portabilità nei casi previsti, opposizione per motivi legati alla situazione particolare in presenza di legittimo interesse e opposizione al marketing in qualsiasi momento, oltre al diritto di revocare il consenso senza pregiudizi per i trattamenti già effettuati. Devono essere fornite istruzioni chiare su come presentare una richiesta, come l’hotel verifica l’identità del richiedente e in quali tempi risponde, nonché il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali.
Quando i dati non provengono direttamente dall’ospite, come nel caso di prenotazioni effettuate da agenzie, piattaforme online o aziende per dipendenti e ospiti accompagnatori, l’informativa deve indicare le fonti e quali categorie di dati sono state ottenute indirettamente. È utile spiegare come e quando l’ospite viene informato, ad esempio al primo contatto utile o al check‑in.
Se l’hotel utilizza processi di profilazione per personalizzare offerte, tariffe o servizi sulla base delle preferenze espresse o della cronologia dei soggiorni, occorre descrivere in cosa consiste la profilazione, quali logiche di base vengono utilizzate, quali effetti produce per l’interessato e quali diritti può esercitare, specificando che non vengono prese decisioni unicamente automatizzate che producano effetti giuridici significativi, salvo diversa comunicazione conforme al GDPR. In relazione al sito web e all’applicazione di proprietà dell’hotel, l’informativa deve rinviare a una cookie policy chiara, che distingua cookie tecnici e strumenti di tracciamento non essenziali, con un meccanismo di consenso granulare e revocabile in ogni momento.
È buona prassi includere una descrizione comprensibile delle misure di sicurezza adottate, senza rivelare dettagli che possano compromettere la protezione, indicando per esempio l’uso di controlli di accesso, cifratura in transito e a riposo ove pertinente, registrazione e gestione degli incidenti, formazione del personale e valutazioni periodiche dei fornitori. Per specifiche attività a maggior rischio, come la videosorveglianza o l’uso di tecnologie di tracciamento avanzato, può essere utile menzionare l’effettuazione di una valutazione d’impatto, ove richiesta.
Infine, l’informativa deve indicare se è previsto un aggiornamento periodico e come verranno comunicate le modifiche rilevanti. Tutto il testo va redatto in modo semplice e comprensibile per l’ospite, disponibile nei punti di raccolta dati come reception, camere tramite QR o materiale informativo, sito web e portali di prenotazione collegati, garantendo che le versioni in più lingue mantengano coerenza con la versione ufficiale.
Esempio Informativa privacy hotel
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e della normativa italiana applicabile, forniamo le seguenti informazioni sul trattamento dei dati personali connesso ai servizi di ospitalità.
Titolare del trattamento
– Denominazione/Ragione sociale: _______________
– Sede legale: _______________
– Sede operativa (hotel): _______________
– P. IVA/C.F.: _______________
– Telefono: _______________
– E-mail: _______________
– PEC: _______________
– Sito web: _______________
– Responsabile della protezione dei dati (DPO), se nominato: _______________ – Contatti DPO: _______________
Categorie di dati trattati
– Dati anagrafici e di contatto: nome, cognome, data e luogo di nascita, nazionalità, documento di identità, indirizzo, telefono, e-mail, targa veicolo: _______________
– Dati relativi alla prenotazione e al soggiorno: date di arrivo/partenza, numero camera, preferenze di soggiorno, numero ospiti, richieste particolari: _______________
– Dati di pagamento e garanzie: estremi carta (tokenizzati ove possibile), IBAN, importi, fatturazione: _______________
– Dati raccolti tramite canali terzi: agenzie di viaggio/OTA, aziende, tour operator, eventi: _______________
– Dati di navigazione e cookie (per il sito/app): indirizzi IP, log, identificatori online: _______________
– Categorie particolari di dati (eventuali): informazioni su salute/allergie/disabilità per esigenze di accoglienza o alimentari: _______________
– Dati da videosorveglianza nelle aree comuni (ove presenti): immagini: _______________
Fonti dei dati
– Direttamente dall’interessato o dal suo rappresentante: _______________
– Terzi autorizzati (agenzie/OTA/aziende partner): _______________
Finalità e basi giuridiche del trattamento
– Gestione di richieste, preventivi, prenotazioni, check-in/check-out, erogazione dei servizi alberghieri e accessori (spa, ristorante, eventi): esecuzione di misure precontrattuali/contratto (art. 6.1.b GDPR): _______________
– Adempimenti di pubblica sicurezza (comunicazione dati ospiti – Alloggiati Web, art. 109 TULPS e norme collegate): obbligo legale (art. 6.1.c GDPR): _______________
– Adempimenti amministrativi, contabili, fiscali e antiriciclaggio: obbligo legale (art. 6.1.c GDPR): _______________
– Gestione pagamenti, garanzie, pre-autorizzazioni, prevenzione frodi e tutela giudiziale/stragiudiziale: legittimo interesse (art. 6.1.f GDPR) e/o contratto (art. 6.1.b GDPR): _______________
– Assistenza clienti e gestione reclami: contratto (art. 6.1.b) e legittimo interesse (art. 6.1.f): _______________
– Programmi fedeltà e benefit: contratto (art. 6.1.b): _______________
– Marketing diretto (newsletter, offerte, inviti a eventi) via e-mail/SMS/telefono: consenso (art. 6.1.a). Per clienti già acquisiti, invio di comunicazioni su servizi analoghi (“soft spam”) su base di legittimo interesse e art. 130, c. 4, D.Lgs. 196/2003, con possibilità di opt-out: _______________
– Profilazione a fini marketing (analisi preferenze/abitudini per offerte personalizzate): consenso (art. 6.1.a e art. 22 GDPR): _______________
– Gestione Wi‑Fi ospiti e sicurezza della rete: legittimo interesse (art. 6.1.f): _______________
– Videosorveglianza per sicurezza di persone e beni e tutela del patrimonio: legittimo interesse (art. 6.1.f), nel rispetto delle Linee guida e della normativa applicabile: _______________
– Trattamento di categorie particolari di dati (salute) per esigenze di ospitalità: consenso esplicito (art. 9.2.a) e/o tutela di interessi vitali (art. 9.2.c): _______________
Conferimento dei dati
– Il conferimento dei dati necessari alla gestione del contratto e agli obblighi legali è obbligatorio; il mancato conferimento può rendere impossibile erogare il servizio: _______________
– Il conferimento dei dati per finalità di marketing e profilazione è facoltativo e il mancato consenso non pregiudica i servizi principali: _______________
Modalità del trattamento e sicurezza
– I dati sono trattati con strumenti cartacei e informatici da personale autorizzato, secondo principi di liceità, correttezza, trasparenza, minimizzazione e integrità/confidenzialità: _______________
– Sono adottate misure tecniche e organizzative adeguate (controlli accessi, cifratura/ pseudonimizzazione ove opportuno, backup, registri log, policy e formazione): _______________
Tempi di conservazione
– Dati di prenotazione e di contratto: per la durata del rapporto e fino a _______________ anni successivi per obblighi di legge e tutela in giudizio
– Dati di fatturazione e contabilità: _______________ anni
– Dati trasmessi per pubblica sicurezza: per il tempo previsto dalla normativa e/o dalle autorità competenti: _______________
– Dati di marketing: fino a revoca del consenso e comunque non oltre _______________ mesi/anni
– Dati di profilazione: _______________ mesi/anni
– Log Wi‑Fi: _______________ giorni
– Videosorveglianza: ordinariamente _______________ ore/giorni, salvo esigenze di ulteriore conservazione in caso di illeciti/richieste dell’Autorità
– Categorie particolari di dati (salute): per il tempo strettamente necessario all’erogazione del servizio e comunque non oltre _______________
Destinatari o categorie di destinatari
– Personale interno autorizzato del Titolare: _______________
– Responsabili del trattamento (fornitori IT, PMS/CRM, channel manager, servizi di pagamento, consulenti contabili/legali, manutentori, società di vigilanza): _______________
– Istituti bancari e assicurazioni: _______________
– Agenzie di viaggio/OTA e partner commerciali coinvolti nella prenotazione: _______________
– Autorità di pubblica sicurezza e altre autorità/enti pubblici nei limiti di legge: _______________
– Forze dell’ordine/Autorità giudiziaria, ove richiesto: _______________
– L’elenco aggiornato dei Responsabili è disponibile su richiesta a: _______________
Trasferimenti verso paesi terzi
– Eventuali trasferimenti extra SEE avvengono verso _______________ e sono legittimati da garanzie adeguate (es. Clausole Contrattuali Standard, misure supplementari) o da una decisione di adeguatezza: _______________
– Copie delle garanzie possono essere richieste a: _______________
Videosorveglianza (se presente)
– Aree coperte: _______________
– Finalità: sicurezza di persone e beni, prevenzione atti illeciti: _______________
– Base giuridica: legittimo interesse (art. 6.1.f GDPR): _______________
– Tempi di conservazione: _______________ ore/giorni
– Informative brevi sono affisse nelle aree videosorvegliate: _______________
– Destinatari: soggetti autorizzati interni e, su richiesta, Autorità competenti: _______________
Minori
– I servizi sono rivolti a maggiorenni; per minori l’erogazione avviene tramite il titolare della responsabilità genitoriale/tutore: _______________
Diritti dell’interessato
– Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso in qualsiasi momento senza pregiudizio della liceità del trattamento basata sul consenso prima della revoca: _______________
– Per esercitare i diritti: inviare richiesta a _______________ o al DPO _______________
– Reclamo all’Autorità Garante per la Protezione dei Dati Personali: www.garanteprivacy.it – Piazza Venezia 11, 00187 Roma – Tel. _______________ – PEC: _______________
Decisioni automatizzate e profilazione
– Decisioni unicamente automatizzate che producono effetti giuridici: _______________ (Sì/No). In caso affermativo, logica utilizzata e conseguenze: _______________
– Profilazione per finalità di marketing personalizzato: _______________ (Sì/No), basata su consenso, con possibilità di revoca: _______________
Cookie e tecnologie simili
– Per informazioni sul trattamento tramite cookie e strumenti di tracciamento, consultare la Cookie Policy: _______________
Aggiornamenti della presente informativa
– La presente informativa può essere aggiornata; la versione aggiornata è disponibile presso la reception e su _______________
– Data di ultimo aggiornamento: _______________
Contatti
– Per ogni richiesta inerente al trattamento dei dati personali: _______________
– Orari e modalità di risposta: _______________