In qualità di autore con esperienza nel settore dell’ospitalità e della protezione dei dati, ti accompagno in questa introduzione alla redazione di un’informativa sulla privacy pensata per strutture ricettive. L’obiettivo è trasformare obblighi normativi spesso percepiti come complessi in indicazioni pratiche e utilizzabili: un testo chiaro che metta in sicurezza la tua attività, tuteli i diritti degli ospiti e crei fiducia, senza rinunciare alla semplicità comunicativa richiesta dal contesto alberghiero.
Questa guida spiegherà quali contenuti non possono mancare — identificazione del titolare, finalità del trattamento, basi giuridiche, categorie di dati (prenotazioni, pagamenti, CCTV, Wi‑Fi, marketing), tempi di conservazione, trasferimenti verso terzi e paesi terzi, misure di sicurezza e diritti degli interessati — e come presentarli con linguaggio accessibile. Troverai inoltre indicazioni pratiche per adattare l’informativa ai diversi canali (sito web, moduli di prenotazione, segnaletica in struttura) e per integrare il documento con procedure operative (consensi, registri, accordi con fornitori).
Alla fine di questa guida saprai costruire un’informativa efficace, conforme e su misura per la tua struttura, capace di ridurre i rischi legali e migliorare l’esperienza degli ospiti, oltre a fornire spunti per un controllo periodico e per l’adeguamento alle evoluzioni normative.
Come scrivere un privacy per strutture ricettive
Per scrivere una informativa privacy efficace per una struttura ricettiva è necessario coniugare precisione giuridica, chiarezza comunicativa e concretezza operativa: l’obiettivo è far capire agli ospiti quali dati vengono raccolti, perché vengono trattati, sulla base di quale fondamento giuridico, per quanto tempo restano conservati e con chi possono essere condivisi, il tutto espresso in modo che una persona non esperta possa comprendere e esercitare i propri diritti. Inizia definendo con naturalezza chi è il titolare del trattamento: il nome della società o del proprietario, l’indirizzo della struttura, eventuali riferimenti fiscali utili e un contatto diretto (email e, se presente, il nome del responsabile privacy o del DPO). Specifica immediatamente che l’informativa è resa ai sensi del Regolamento UE 2016/679 e delle norme nazionali vigenti, richiamando brevemente il quadro normativo senza però appesantire il testo con eccessive citazioni legali.
Prosegui descrivendo le categorie di dati personali che vengono raccolte durante la fase di prenotazione, il check-in e il soggiorno: dati anagrafici, contatti, documenti di identità se necessari per gli adempimenti di legge, dati di pagamento, preferenze di ospitalità, informazioni relative alla salute se l’ospite le comunica volontariamente (ad esempio esigenze dietetiche o allergie), dati di utilizzo dei servizi e dati tecnici raccolti tramite sito web e sistemi informatici. Spiega in termini pratici perché ciascuna tipologia di dato è richiesta: per adempiere agli obblighi contrattuali e fiscali, per garantire la sicurezza degli ospiti, per fornire servizi aggiuntivi come transfer o colazioni speciali, o per finalità di marketing quando l’ospite abbia espresso consenso. È importante dichiarare chiaramente quali dati sono obbligatori e quali facoltativi, e le conseguenze del rifiuto di fornire dati obbligatori (per esempio l’impossibilità di confermare una prenotazione).
Chiarisci i fondamenti giuridici del trattamento. Spiega che il trattamento dei dati ai fini dell’esecuzione del contratto o di misure precontrattuali si basa sull’articolo 6 del Regolamento, così come i trattamenti necessari per adempiere obblighi di legge (ad esempio comunicazioni alla questura o conservazione ai fini fiscali). Indica che il marketing diretto via email o sms richiede il consenso espresso dell’interessato salvo diversa base giuridica; sottolinea che il consenso deve essere libero, informato e revocabile in ogni momento. Per i trattamenti fondati sul legittimo interesse, illustra concretamente quale interesse persegue la struttura, quale bilanciamento è stato effettuato e come viene tutelato il diritto alla riservatezza dell’ospite.
Dedica un passaggio ai destinatari e ai responsabili del trattamento: nomina le categorie di soggetti cui i dati possono essere comunicati, come provider di sistemi di prenotazione (PMS), channel manager, piattaforme di pagamento, società che gestiscono il sito web, fornitori di servizi di marketing, consulenti fiscali e legali. Indica che tali soggetti operano come responsabili o titolari autonomi e che con i responsabili vengono stipulati specifici accordi contrattuali che prevedono misure di sicurezza adeguate. Se la struttura utilizza servizi cloud o fornitori extra UE, descrivi la natura dei trasferimenti internazionali e le garanzie offerte, come clausole contrattuali standard, decisioni di adeguatezza o misure tecniche di protezione.
Spiega le misure di sicurezza adottate in termini comprensibili: protezione fisica degli archivi, controllo degli accessi, crittografia dei dati sensibili, utilizzo di protocolli sicuri per i pagamenti e per il sito web, backup e procedure di disaster recovery, formazione del personale sui principi di riservatezza. È utile specificare che il trattamento dei dati di pagamento è svolto in conformità agli standard del settore (ad esempio PCI-DSS) e che la struttura non memorizza dati di carta di credito se utilizza gateway di pagamento di terze parti.
Affronta le modalità di conservazione: indica criteri e periodi di retention ragionevoli e proporzionati alle finalità (per esempio la conservazione dei dati di prenotazione e fatturazione per il periodo previsto dalla normativa fiscale, i dati di marketing fino a revoca del consenso). Se per alcune attività è prevista la conservazione “fino a” un certo evento, esponi il periodo massimo o le modalità con cui sarà determinato. Quando possibile, prevedi anche modalità di anonimizzazione o pseudonimizzazione per dati conservati a fini statistici o analitici.
Dedica attenzione ai diritti degli interessati e descrivili in modo pratico: il diritto di accesso alle informazioni che li riguardano, il diritto di rettifica di dati inesatti, il diritto alla cancellazione nei casi previsti (diritto all’oblio), il diritto di limitare il trattamento, il diritto alla portabilità dei dati quando il trattamento è basato sul consenso o su contratto, il diritto di opposizione, in particolare al marketing diretto, e il diritto di revocare il consenso. Fornisci istruzioni chiare su come esercitare tali diritti, indicando l’indirizzo email o il canale dedicato e i tempi di risposta che la struttura si impegna a rispettare. Ricorda di informare l’interessato del diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali indicando il riferimento all’Autorità italiana.
Non dimenticare di includere informazioni sulle tecnologie di tracciamento: spiega in modo semplice l’uso dei cookie sul sito web, distinguendo cookie tecnici necessari da cookie di profilazione e di terze parti, e indicando come l’utente può gestire le preferenze tramite il banner cookie e le impostazioni del browser. Se vengono svolte attività di profilazione o decisioni automatizzate che producono effetti giuridici o significativi per l’ospite, descrivile con chiarezza e fornisci le garanzie adottate, compreso il diritto di ottenere l’intervento umano.
Concludi con una nota sulle modifiche all’informativa: indica che l’informativa può essere aggiornate e che le principali variazioni saranno comunicate con mezzi appropriati. Suggerisci che il linguaggio sia sempre semplice e accessibile, evitando tecnicismi inutili, e che la struttura fornisca versioni tradotte nelle lingue più comuni dei propri ospiti. Per la redazione pratica, è consigliabile predisporre il testo diviso in paragrafi brevi e intelligibili e verificare la corrispondenza tra quanto dichiarato e le procedure operative reali; un’informativa è utile solo se supportata da record, accordi con i responsabili esterni, valutazioni del rischio e, dove necessario, da una valutazione d’impatto (DPIA) per trattamenti ad alto rischio come il monitoraggio video esteso o la raccolta di dati sensibili. Infine, mantieni aggiornato il documento e coinvolgi periodicamente consulenti legali o il DPO per adeguarlo a modifiche normative, tecnologiche o di processo; la trasparenza verso l’ospite non è solo un obbligo, ma anche un elemento di fiducia e qualità dell’accoglienza.
Fac simile privacy per strutture ricettive
INFORMATIVA SULLA PRIVACY PER STRUTTURE RICETTIVE (Regolamento UE 2016/679)
Data di aggiornamento: ______________
1. Titolare del trattamento
Titolare del trattamento: ______________
Sede legale: ______________
Partita IVA / Codice fiscale: ______________
Responsabile della protezione dei dati (DPO), se nominato: ______________
Contatti del Titolare (email): ______________
Contatti del Titolare (telefono): ______________
2. Finalità del trattamento e basi giuridiche
I dati personali raccolti sono trattati per le seguenti finalità e sulla base delle relative basi giuridiche:
– Gestione delle prenotazioni e esecuzione del contratto di soggiorno (adempimento di obblighi contrattuali) — finalità: gestione check-in/check-out, assegnazione camera, comunicazioni operative; dati trattati: nome, contatti, documenti di identità, dati di pagamento, preferenze, durata del soggiorno — base giuridica: esecuzione del contratto (art. 6(1)(b) GDPR) e obblighi normativi in materia di registrazione degli ospiti (art. 6(1)(c) GDPR).
– Adempimenti fiscali, contabili e amministrativi — finalità: emissione ricevute/fatture, conservazione documentazione fiscale — base giuridica: obbligo legale (art. 6(1)(c) GDPR).
– Sicurezza e tutela del patrimonio (inclusa videosorveglianza) — finalità: protezione degli ospiti, del personale e dei beni, prevenzione e accertamento di reati — base giuridica: legittimo interesse del Titolare e/o obblighi di legge (art. 6(1)(f) e 6(1)(c) GDPR).
– Comunicazioni commerciali e attività promozionali (newsletter, offerte) — finalità: invio di informazioni promozionali — base giuridica: consenso dell’interessato (art. 6(1)(a) GDPR) o legittimo interesse previa valutazione; scelta tra marketing diretto via email/sms/post: ______________ (indicare consenso o possibilità di opposizione).
– Gestione delle richieste prima, durante e dopo il soggiorno (assistenza clienti, gestione reclami) — base giuridica: esecuzione del contratto o consenso (se applicabile).
– Adempimenti relativi alla salute pubblica (es. obblighi sanitari, registrazioni per misure di contenimento) — base giuridica: obbligo legale o interesse pubblico (art. 6(1)(c) o art. 6(1)(e) GDPR) e, se necessario, trattamenti di dati sensibili: base giuridica aggiuntiva (es. art. 9 GDPR con consenso esplicito o disposizioni di legge).
3. Tipologie di dati trattati
– Dati identificativi e anagrafici: nome, cognome, data di nascita, sesso, cittadinanza, documenti d’identità — ______________
– Dati di contatto: indirizzo postale, email, telefono — ______________
– Dati di prenotazione e soggiorno: date di arrivo/partenza, tipo di camera, preferenze, note speciali — ______________
– Dati di pagamento: dati carta di credito, informazioni bancarie, estremi fattura — ______________
– Dati per finalità di sicurezza: immagini da sistemi di videosorveglianza, registri accessi — ______________
– Dati sensibili (salute): solo se forniti volontariamente o se richiesti da leggi sanitarie (es. informazioni su allergie, esigenze mediche) — ______________
– Dati relativi all’uso dei servizi online e cookie: indirizzo IP, dati di navigazione, preferenze di utilizzo — ______________
4. Modalità del trattamento
I trattamenti sono effettuati con strumenti manuali, informatici e telematici, adottando misure tecniche e organizzative adeguate per garantire la sicurezza e la riservatezza dei dati e prevenire accessi non autorizzati, perdita o distruzione.
5. Comunicazione e categorie di destinatari
I dati potranno essere comunicati, se necessario, alle seguenti categorie di soggetti:
– Personale interno incaricato del trattamento — ______________
– Società fornitrici di servizi IT, hosting, software gestionale e booking systemen — ______________
– Società di pagamento e istituti bancari — ______________
– Agenzie di viaggio, portali di prenotazione e intermediari (se coinvolti nella prenotazione) — ______________
– Professionisti e consulenti (commercialisti, avvocati) — ______________
– Autorità pubbliche o giudiziarie in adempimento di obblighi di legge — ______________
– Fornitori di servizi di pulizia, lavanderia, manutenzione e catering — ______________
Ulteriori categorie o nominativi specifici: ______________
6. Trasferimenti di dati verso Paesi terzi
I dati non saranno trasferiti fuori dall’Unione Europea senza adeguate garanzie. In caso di trasferimenti verso Paesi terzi, il Titolare adotterà le misure previste (decisione di adeguatezza, clausole contrattuali standard, misure di sicurezza) e informerà gli interessati indicando le garanzie adottate: ______________
7. Periodi di conservazione
I dati saranno conservati per il tempo necessario alle finalità per cui sono stati raccolti e in conformità agli obblighi di legge:
– Dati di prenotazione e documentazione del soggiorno: conservazione per il periodo di prescrizione/obbligo fiscale e per la gestione del servizio — indicativamente ______________ anni (da adattare).
– Documentazione contabile e fiscale: ______________ anni.
– Dati per finalità di marketing: fino a revoca del consenso o opposizione; conservazione per ulteriori ______________ anni salvo diversa normativa.
– Video registrazioni di sorveglianza: conservazione limitata (es. 24-72 ore) salvo eventi che richiedano conservazione prolungata per accertamenti — periodo indicativo ______________ ore/giorni.
– Dati personali relativi a reclami e contenziosi: fino a conclusione del contenzioso + prescrizione legale ______________ anni.
Specificare eventuali termini diversi per categorie particolari: ______________
8. Cookies e tecnologie simili
Per informazioni dettagliate sull’uso dei cookie e sulle preferenze di navigazione consultare la Cookie Policy: ______________
Il consenso ai cookie non necessari può essere revocato in qualsiasi momento tramite: ______________
9. Diritti dell’interessato
L’interessato ha i diritti previsti dal GDPR, tra cui:
– Diritto di accesso (art. 15 GDPR);
– Diritto di rettifica (art. 16 GDPR);
– Diritto alla cancellazione (“diritto all’oblio”) (art. 17 GDPR);
– Diritto alla limitazione del trattamento (art. 18 GDPR);
– Diritto alla portabilità dei dati (art. 20 GDPR), se applicabile;
– Diritto di opposizione al trattamento (art. 21 GDPR), compreso il diritto di opporsi al trattamento per finalità di marketing diretto;
– Diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
– Diritto di proporre reclamo all’Autorità di controllo (in Italia: Garante per la protezione dei dati personali) (art. 77 GDPR).
Per esercitare i diritti contattare il Titolare ai recapiti: email ______________, indirizzo postale ______________, telefono ______________. Le richieste saranno evase nei termini di legge e, se necessario, può essere richiesta documentazione per verificare l’identità del richiedente.
10. Modalità di esercizio dei diritti e informazioni aggiuntive
Le richieste relative all’esercizio dei diritti possono essere inviate a: email ______________, o con raccomandata a: ______________. Per motivi di sicurezza, potrebbe essere richiesto un documento di identità. Le risposte saranno fornite entro i termini previsti dal GDPR (in genere 1 mese, prorogabile in casi complessi).
11. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali contro la perdita, l’uso improprio, l’accesso non autorizzato e la divulgazione. Misure specifiche includono controlli di accesso, crittografia dove appropriato, politiche interne di sicurezza e formazione del personale.
12. Videosorveglianza
Se presente, l’impianto di videosorveglianza è finalizzato alla sicurezza degli ospiti e della struttura. Segnaletica informativa è presente nelle aree sottoposte a sorveglianza. Dati conservati per il periodo: ______________. Per richieste relative ai filmati contattare: ______________ (indicando eventuali modalità e condizioni di accesso).
13. Dati sensibili e situazioni particolari
Il trattamento di categorie particolari di dati (es. salute) avverrà solo quando necessario e secondo le basi giuridiche previste (consenso esplicito dell’interessato o disposizioni di legge). Se il trattamento di tali dati è necessario per il soggiorno (es. necessità mediche), si chiede di fornire solo le informazioni strettamente necessarie.
14. Profilazione e decisioni automatizzate
Il Titolare non adotta decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici pregiudizievoli per l’interessato, salvo diversa indicazione: ______________
Se viene effettuata profilazione, finalità, logica e conseguenze saranno descritte qui: ______________
15. Consenso e revoca
Quando il trattamento si basa sul consenso, l’interessato può revocarlo in qualsiasi momento contattando il Titolare ai recapiti sopra indicati. La revoca non pregiudica la liceità dei trattamenti effettuati prima della revoca.
16. Modifiche alla presente informativa
La presente informativa potrà essere aggiornata in qualunque momento. Eventuali modifiche saranno comunicate mediante pubblicazione sul sito web della struttura o mediante affissione in struttura e data di aggiornamento: ______________
17. Contatti per ulteriori informazioni
Per ulteriori informazioni sul trattamento dei dati personali e per l’esercizio dei diritti contattare:
Titolare: ______________
Email: ______________
Telefono: ______________
Indirizzo: ______________
Autorità di controllo competente per i reclami: Garante per la protezione dei dati personali (www.garanteprivacy.it)
Ai sensi del Regolamento (UE) 2016/679, con la presente si forniscono le informazioni minime previste. Ulteriori dettagli e documenti specifici (es. informative locali, moduli consenso, cookie policy, accordi con terzi) sono disponibili su richiesta al Titolare: ______________