L’informativa privacy per alberghi è il documento che spiega in modo chiaro quali dati personali degli ospiti vengono raccolti, per quali finalità e con quali basi giuridiche, come vengono protetti, con chi possono essere condivisi e per quanto tempo sono conservati, in conformità al GDPR e alle norme locali. Copre attività tipiche come prenotazioni, check-in, fatturazione, gestione del soggiorno, Wi‑Fi, videosorveglianza e comunicazioni promozionali, e indica i diritti degli interessati e i contatti per esercitarli. Serve a garantire trasparenza, ottenere eventuali consensi, dimostrare la conformità del titolare e ridurre i rischi legali, costruendo fiducia tra hotel e ospiti. In sostanza, è lo strumento con cui l’albergo rende comprensibile e verificabile il proprio trattamento dei dati personali.
Come scrivere Informativa privacy per alberghi
Un’informativa privacy per un albergo deve spiegare in modo chiaro chi è il titolare del trattamento, come contattarlo e, se nominato, come contattare il responsabile della protezione dei dati. Deve descrivere quali dati personali vengono trattati nelle diverse fasi dell’esperienza dell’ospite, dalla richiesta di informazioni alla prenotazione, dal check-in al soggiorno, fino al post‑stay. In questo rientrano dati identificativi e di contatto, estremi del documento di identità che la struttura è tenuta a verificare per legge, dati relativi alla prenotazione e al soggiorno, preferenze e richieste particolari, dati di pagamento e fatturazione, eventuale targa per il parcheggio, dati relativi all’uso dei servizi interni come ristorante, spa o palestra, immagini di videosorveglianza se presenti, log di accesso al Wi‑Fi e informazioni provenienti da programmi fedeltà o newsletter. Se la struttura richiede o riceve informazioni che possono rivelare categorie particolari di dati, come allergie, esigenze di accessibilità o certificazioni mediche per trattamenti benessere, deve chiarire che tali dati sono trattati solo se strettamente necessari per erogare il servizio richiesto e sulla base di un fondamento giuridico idoneo, tipicamente il consenso esplicito, adottando misure rafforzate di tutela. Quando il soggiorno riguarda minori, va indicato come vengono acquisiti i dati e le eventuali autorizzazioni dei titolari della responsabilità genitoriale.
È indispensabile indicare in modo specifico le finalità del trattamento e il corrispondente fondamento giuridico. Per la gestione delle prenotazioni, del contratto di ospitalità, dei pagamenti, dell’assistenza durante il soggiorno e delle richieste pre e post soggiorno, la base è l’esecuzione di misure precontrattuali o contrattuali. Per gli adempimenti di legge, come la comunicazione dei dati degli alloggiati all’autorità di pubblica sicurezza, gli obblighi fiscali e contabili e gli adempimenti in materia di antiriciclaggio ove applicabili, la base è l’obbligo legale; in questi casi il conferimento dei dati è necessario e il rifiuto impedisce la prestazione del servizio. Per le attività di marketing diretto, l’invio di newsletter, le promozioni personalizzate, le recensioni post‑soggiorno non strettamente necessarie al servizio, è richiesto il consenso libero e revocabile in ogni momento; se l’albergo si avvale dell’interesse legittimo per comunicazioni a clienti preesistenti, deve darne conto e offrire un’opzione semplice di opt‑out. Per la videosorveglianza a fini di sicurezza il fondamento di norma è l’interesse legittimo, da bilanciare con i diritti degli interessati, con informativa tramite cartelli e tempi di conservazione molto contenuti. Qualora vi siano attività di profilazione, ad esempio per personalizzare l’esperienza o proporre servizi sulla base delle preferenze, l’informativa deve descriverne logica, finalità e conseguenze, specificando se si tratta di decisioni unicamente automatizzate e indicando il diritto a ottenere intervento umano, esprimere la propria opinione e contestare la decisione.
L’informativa deve chiarire da dove provengono i dati. Oltre a quelli forniti direttamente dall’ospite o da chi prenota per suo conto, è frequente la raccolta tramite agenzie di viaggio, società partner, piattaforme di prenotazione online, sistemi GDS, datori di lavoro per viaggi corporate, organizzatori di eventi e wedding planner; in questi casi occorre indicare le categorie di dati ottenuti da terzi e il momento in cui l’informativa viene resa. Deve poi elencare i destinatari o le categorie di destinatari ai quali i dati possono essere comunicati, limitandosi a soggetti necessari e qualificati: personale interno autorizzato; fornitori di servizi informatici, property management system, channel manager e booking engine, fornitori del sito e dell’app mobile, servizi di firma elettronica per il check‑in online, gateway di pagamento e banche, consulenti fiscali e legali, società di sicurezza e manutenzione, gestori del Wi‑Fi, società del gruppo o del franchising se coinvolte, nonché autorità pubbliche legittimate alla richiesta. Quando i fornitori trattano dati per conto dell’albergo, l’informativa deve indicare che operano come responsabili del trattamento sulla base di contratti conformi al GDPR. Se i dati vengono trasferiti fuori dallo Spazio Economico Europeo, occorre segnalare i Paesi o le categorie di Paesi interessati, le garanzie utilizzate come le clausole contrattuali standard e le modalità per ottenerne copia o indicazioni.
La conservazione deve essere spiegata con termini chiari, indicando per quanto tempo i dati sono mantenuti o i criteri usati per determinarlo. I dati necessari all’esecuzione del contratto e alla gestione del rapporto con l’ospite sono conservati per il tempo del soggiorno e per un periodo successivo coerente con i termini di prescrizione per la tutela dei diritti e con gli obblighi civilistici e fiscali; i dati usati per adempimenti di pubblica sicurezza sono trattati secondo quanto richiesto dalle norme di settore; i dati di marketing sono conservati fino alla revoca del consenso o al legittimo esercizio dell’opposizione; le immagini di videosorveglianza sono di norma cancellate in pochi giorni salvo esigenze investigative; i log del Wi‑Fi, se raccolti, devono avere finalità trasparenti, tempi stretti e non essere assimilati alla data retention propria degli operatori di comunicazione elettronica. L’informativa deve chiarire che non è prassi trattenere copie dei documenti di identità se non strettamente necessario e legittimato, poiché per il check‑in è sufficiente la verifica e la registrazione dei dati obbligatori.
Devono essere illustrati in modo accessibile i diritti degli interessati: accesso ai dati, rettifica, cancellazione, limitazione del trattamento, portabilità quando applicabile, opposizione per motivi connessi alla situazione particolare e in ogni momento per finalità di marketing diretto, nonché la possibilità di revocare in qualsiasi momento i consensi prestati senza pregiudicare la liceità del trattamento antecedente. Occorre indicare come esercitare tali diritti, con un recapito dedicato e tempi di riscontro, e informare del diritto a proporre reclamo all’Autorità Garante per la protezione dei dati personali, fornendone il riferimento. Quando il conferimento dei dati è un requisito legale o contrattuale, vanno esplicitate le conseguenze dell’eventuale mancato conferimento, ad esempio l’impossibilità di perfezionare la prenotazione o di consentire il soggiorno.
Se l’albergo fa parte di una catena, di un gruppo o di un programma fedeltà gestito insieme ad altri soggetti, l’informativa deve spiegare chiaramente i rispettivi ruoli, indicando se vi è contitolarità e i punti essenziali dell’accordo di contitolarità, inclusa l’indicazione del punto di contatto per gli interessati. Deve inoltre menzionare le misure di sicurezza adottate in termini comprensibili, come controlli di accesso, crittografia, registri di accesso, formazione del personale e procedure di gestione dei data breach, senza entrare in dettagli che compromettano la sicurezza. Infine, è buona pratica che l’informativa sia resa disponibile in fase di prenotazione, al check‑in e online, in linguaggio semplice, con versioni nelle principali lingue degli ospiti, e che venga aggiornata quando cambiano finalità, basi giuridiche, fornitori o modalità di trattamento, segnalando in modo evidente le modifiche rilevanti.
Esempio Informativa privacy per alberghi
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e del D.lgs. 196/2003 e s.m.i., si forniscono le seguenti informazioni sul trattamento dei dati personali effettuato in relazione ai servizi alberghieri.
Titolare del trattamento
– Denominazione: _______________
– Sede legale/operativa: _______________
– P. IVA/C.F.: _______________
– Contatti (telefono): _______________
– E-mail: _______________
– PEC: _______________
Responsabile della Protezione dei Dati (DPO), se nominato
– Nominativo/società: _______________
– Contatti: _______________
Finalità e basi giuridiche del trattamento
– Gestione richieste di informazioni, preventivi e prenotazioni (sito, telefono, e-mail, OTA, agenzie): esecuzione di misure precontrattuali e del contratto (art. 6.1.b GDPR).
– Gestione del soggiorno e dei servizi accessori (check-in/out, ristorazione, SPA, parcheggio, navetta, eventi): esecuzione del contratto (art. 6.1.b GDPR).
– Adempimenti di legge (pubblica sicurezza, fiscali, contabili, sanitarie se applicabili): obbligo legale (art. 6.1.c GDPR).
– Pagamenti, garanzie, prevenzione frodi e gestione del contenzioso: esecuzione del contratto e legittimo interesse del Titolare (art. 6.1.b e 6.1.f GDPR).
– Videosorveglianza per sicurezza di persone e beni: legittimo interesse (art. 6.1.f GDPR).
– Fornitura e sicurezza di Wi‑Fi e servizi digitali (app concierge, TV smart): esecuzione del contratto e legittimo interesse (art. 6.1.b e 6.1.f GDPR).
– Invio di comunicazioni promozionali e newsletter: consenso dell’interessato (art. 6.1.a GDPR). Possibile “soft spam” via e-mail su servizi analoghi a quelli già acquistati, con opt-out (art. 130, c.4 Codice Privacy; art. 6.1.f GDPR).
– Programmi fedeltà, profilazione leggera di preferenze per personalizzare l’ospitalità: esecuzione del contratto e/o consenso (art. 6.1.b e/o 6.1.a GDPR).
– Gestione di esigenze particolari (es. allergie, intolleranze, disabilità): consenso esplicito per dati particolari di cui all’art. 9 GDPR (art. 9.2.a).
Categorie di dati trattati
– Dati anagrafici e di contatto (nome, cognome, data/luogo di nascita, documento, indirizzo, e-mail, telefono): _______________
– Dati di prenotazione e soggiorno (date, numero camera, preferenze, ospiti a carico, targa veicolo): _______________
– Dati di pagamento e fatturazione (estremi transazione, parzialmente mascherati; non si conservano CVV): _______________
– Dati particolari relativi alla salute comunicati dall’ospite per esigenze di soggiorno/ristorazione: _______________
– Log tecnici di accesso a Wi‑Fi/servizi digitali (MAC/IP, timestamp): _______________
– Immagini da videosorveglianza: _______________
– Corrispondenza e registrazioni di chiamate, se previste: _______________
Fonte dei dati
– Direttamente dall’interessato (anche tramite modulo online, e-mail, telefono, in loco).
– Terze parti: portali di prenotazione/OTA, agenzie di viaggio, tour operator, datori di lavoro/aziende, piattaforme eventi: _______________
Destinatari o categorie di destinatari
– Personale autorizzato dell’hotel adeguatamente istruito.
– Fornitori e “responsabili del trattamento” per servizi IT e gestionali (PMS, channel manager, booking engine, CRM, mailing, cloud), gateway di pagamento, consulenti contabili/fiscali, legali, società di sicurezza/manutenzione, provider Wi‑Fi, società del gruppo: _______________
– Autorità ed enti pubblici competenti (es. Pubblica Sicurezza, autorità fiscali) nei casi previsti dalla legge.
– Elenco aggiornato dei responsabili disponibile su richiesta a: _______________
Trasferimenti verso paesi extra UE/SEE
– Eventuali trasferimenti avvengono verso _______________ sulla base di decisioni di adeguatezza (art. 45 GDPR) e/o di garanzie adeguate (art. 46 GDPR, SCC). Copia delle garanzie è disponibile su richiesta a: _______________
Periodo di conservazione
– Dati di prenotazione e soggiorno: per la durata del rapporto contrattuale e, successivamente, per _______________ dal check‑out.
– Documentazione amministrativo-contabile: _______________ anni.
– Dati comunicati per obblighi di Pubblica Sicurezza: per il tempo previsto dalla normativa applicabile: _______________
– Dati di pagamento (token, esiti transazione): per _______________; nessuna conservazione del CVV.
– Log Wi‑Fi/servizi digitali: _______________
– Videosorveglianza: _______________ ore/giorni, salvo esigenze di ulteriore conservazione in caso di illeciti o richieste dell’Autorità.
– Marketing/newsletter: fino a revoca del consenso e/o per _______________ dall’ultimo contatto utile.
– Dati relativi a reclami/contese: per il tempo necessario alla difesa in giudizio e/o per _______________
Natura del conferimento
– Il conferimento dei dati necessari a finalità contrattuali e di legge è obbligatorio; il loro mancato conferimento può impedire la prestazione dei servizi richiesti.
– Il conferimento per finalità di marketing, newsletter, profiling e comunicazione di dati particolari è facoltativo; il mancato conferimento non pregiudica la fruizione dei servizi principali.
Modalità del trattamento e sicurezza
– Trattamenti svolti con strumenti elettronici e cartacei, secondo principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione.
– Adozione di misure tecniche e organizzative adeguate (controlli di accesso, cifratura/ pseudonimizzazione ove applicabile, backup, logging, formazione del personale, procedure di data breach): _______________
Videosorveglianza (se presente)
– Aree riprese: _______________
– Finalità: sicurezza di persone, strutture e beni; tutela e prevenzione da atti illeciti.
– Base giuridica: legittimo interesse (art. 6.1.f GDPR).
– Conservazione: _______________ ore/giorni.
– Informative essenziali esposte nelle aree riprese. Le immagini possono essere comunicate alle Autorità competenti.
Servizi Wi‑Fi e digitali
– Per l’accesso possono essere raccolti dati identificativi e log tecnici per finalità di erogazione del servizio, sicurezza e prevenzione abusi: conservazione per _______________
– Condizioni d’uso disponibili qui: _______________
Marketing, newsletter e profilazione
– Invio di comunicazioni promozionali e newsletter su prodotti/servizi dell’hotel: previo consenso. Canali: _______________
– Soft spam per servizi analoghi già acquistati, con facoltà di opposizione in ogni momento.
– Eventuale profilazione leggera delle preferenze di soggiorno per migliorare l’esperienza: conservazione per _______________; l’interessato può opporsi o revocare il consenso in ogni momento.
– Revoca/opt‑out: tramite link in calce alle e‑mail o richiesta a _______________
Programmi fedeltà, eventi e immagini
– Adesione a programmi fedeltà: finalità contrattuali; termini e condizioni disponibili qui: _______________
– Pubblicazione di foto/video degli ospiti per finalità promozionali: solo con consenso esplicito; revocabile in ogni momento.
Prenotazioni tramite intermediari e rapporti corporate
– In caso di prenotazioni tramite OTA/agenzie/aziende, queste agiscono come autonomi titolari per le rispettive attività. Si invita a consultare le loro informative privacy. L’hotel tratta i dati ricevuti per finalità contrattuali e di legge come descritto nella presente informativa.
Minori
– I dati dei minori sono trattati nel rispetto della normativa vigente. Per finalità che richiedono consenso, è necessario il consenso del titolare della responsabilità genitoriale, ove applicabile.
Diritti dell’interessato
– Accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione, revoca del consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
– Diritto di opposizione al trattamento basato su legittimo interesse, inclusa la profilazione connessa.
– Diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, salvo quanto previsto dalla legge.
Esercizio dei diritti
– Contatto per diritti/privacy: _______________
– Indirizzo postale: _______________
– E-mail/PEC: _______________
– Il Titolare risponderà entro i termini di legge.
Reclamo all’Autorità di controllo
– È fatto salvo il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it, PEC: protocollo@pec.gpdp.it, tel. +39 06 69677 1.
Decisioni automatizzate
– Non vengono adottate decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici sull’interessato o che incidano in modo analogo significativamente, salvo _______________ In tal caso: logica utilizzata, significato e conseguenze previste: _______________
Cookie e sito web
– Per informazioni sul trattamento mediante cookie e tecnologie simili si rinvia alla Cookie Policy: _______________
Aggiornamenti dell’informativa
– La presente informativa può essere soggetta a modifiche. Data ultimo aggiornamento: _______________