Privacy e GDPR negli affitti brevi: la guida pratica per host

June 23, 2026

Ogni prenotazione che accetti porta con sé un piccolo dossier di dati personali: nome, documento d'identità, telefono, email, gli estremi di una carta. Dal 2018 il GDPR (Reg. UE 2016/679) si applica anche a te che gestisci una sola casa, non solo alle grandi aziende. E le sanzioni del Garante Privacy arrivano fino a 20 milioni di euro o il 4% del fatturato annuo, con la possibilità, in alcuni casi, di rispondere anche sul piano penale.

La parte rassicurante: per stare in regola con una singola unità non serve diventare giuristi. Bastano poche regole chiare, applicate con metodo.

Quali dati tratti (e perché conta)

Quando dico «dati personali» non intendo solo l'anagrafica. Nella gestione di un affitto breve ne raccogli almeno quattro tipi:

  • Dati anagrafici e documenti: nome, cognome, data di nascita, numero del documento, necessari per la comunicazione obbligatoria alla Questura tramite Alloggiati Web (art. 109 TULPS).
  • Dati di contatto: email e telefono, per confermare la prenotazione e seguire il soggiorno.
  • Dati di pagamento: carte, IBAN, transazioni su Stripe o PayPal.
  • Dati comportamentali: le recensioni che scrivi sull'ospite, le note interne (il classico «ospite difficile»), lo storico dei soggiorni.

Ogni trattamento ha bisogno di una base giuridica legittima. Quelle che ti riguardano sono tre.

Le tre basi giuridiche

  • Obbligo di legge (art. 6 c. 1 lett. c): comunicazione ad Alloggiati Web, tassa di soggiorno.
  • Esecuzione del contratto (art. 6 c. 1 lett. b): gestione della prenotazione, contatti durante il soggiorno.
  • Consenso esplicito (art. 6 c. 1 lett. a): newsletter, profilazione marketing, foto dell'ospite.

Un errore frequente è usare il consenso come passepartout. Non serve: se una comunicazione è già obbligatoria per legge, la fai e basta, senza chiedere nulla. Il consenso entra in gioco solo quando vuoi usare i dati per scopi che vanno oltre l'obbligo o il contratto, tipicamente il marketing.

L'informativa privacy: quando e come darla

Prima di raccogliere qualsiasi dato, l'ospite deve ricevere un'informativa privacy (art. 13 GDPR). Non è il testo che nascondi in fondo al sito sperando che nessuno lo apra: deve essere chiara, accessibile e consegnata prima del trattamento.

Dentro ci vanno sei elementi: chi sei tu come titolare del trattamento (nome e contatto), quali dati raccogli e per quale finalità, la base giuridica di ciascuna finalità, per quanto tempo conservi i dati, a chi li comunichi (piattaforme di prenotazione, commercialista, portale Alloggiati Web) e i diritti dell'ospite (accesso, rettifica, cancellazione, opposizione).

Il canale più comodo è il form di pre-check-in digitale, oppure l'allegato alla mail di conferma. Se lavori solo tramite Airbnb o Booking.com, le piattaforme coprono in parte il trattamento, ma la comunicazione ad Alloggiati Web resta una tua responsabilità diretta, e con essa l'obbligo di informativa.

In pratica

Consegna l'informativa prima del check-in, trasmetti i dati ad Alloggiati Web entro 24 ore e poi elimina la copia del documento, usa canali sicuri e cifrati, metti i cartelli dove hai telecamere esterne. E ricorda: negli spazi privati dell'ospite le telecamere, anche nascoste, sono un reato penale, non una semplice irregolarità.

Per quanto conservare i dati, e come proteggerli

Il principio guida del GDPR è la minimizzazione: tieni i dati solo per il tempo strettamente necessario allo scopo per cui li hai raccolti. Tradotto nella tua operatività:

  • Dati Alloggiati Web (nome, documento, nazionalità): li trasmetti entro 24 ore dall'arrivo, poi elimini la copia del documento. Il Garante ha chiarito che l'obbligo riguarda la trasmissione, non una conservazione prolungata da parte tua.
  • Dati contrattuali (email, telefono, pagamento): si conservano per il tempo necessario agli adempimenti fiscali e contabili, in genere 10 anni per le scritture contabili (art. 2220 c.c.), ma limitati ai dati fiscalmente rilevanti.
  • Note interne e recensioni private: non hanno una base giuridica illimitata. Se non le usi più, cancellale.

Sulla sicurezza, alcune scelte non sono negoziabili. Non usare WhatsApp, Telegram o l'email personale come archivio di documenti d'identità. Preferisci piattaforme con cifratura end-to-end e server in UE. Proteggi con password gli archivi digitali (anche i fogli Excel). E se deleghi la gestione a un co-host o a un'agenzia, metti per iscritto un accordo di responsabile del trattamento (art. 28 GDPR): una stretta di mano non basta.

Videosorveglianza: la linea da non superare

Le telecamere sono il terreno più scivoloso, perché mettono in tensione due diritti: la tua esigenza di sicurezza e la privacy di chi soggiorna. La regola si divide nettamente in due.

Sono ammesse nelle aree esterne di tua proprietà (ingresso, giardino, parcheggio privato) e nelle parti comuni interne non date in uso esclusivo all'ospite (un corridoio condominiale, ma solo se autorizzato dall'assemblea). In questi casi devi esporre un cartello ben visibile con i tuoi dati di titolare, inserire la videosorveglianza nell'informativa, conservare le immagini per un periodo breve (il Garante raccomanda 24-72 ore, al massimo 7 giorni salvo esigenze documentate) e limitare l'accesso ai filmati a te o a soggetti autorizzati per iscritto.

Sono vietate in modo assoluto, visibili o nascoste, negli spazi in uso esclusivo all'ospite: camere da letto, bagni, e i saloni o le cucine quando costituiscono l'intero appartamento affittato.

Attenzione

Una telecamera in uno spazio privato dell'ospite non è «solo» una violazione del GDPR (sanzioni fino a 20 milioni di euro): è un reato penale ai sensi dell'art. 615-bis del Codice Penale (interferenze illecite nella vita privata), punito con la reclusione da sei mesi a quattro anni. Non conta la buona fede («era solo per sicurezza»), non conta se l'ospite non l'ha trovata: la sola installazione configura il reato.

Gli errori più comuni

  • Documenti via WhatsApp: fotografare il passaporto e mandarlo sulla chat personale non è un archivio, è una violazione. Chiedere la copia senza aver prima dato l'informativa è una doppia violazione (canale non sicuro più mancanza di informativa). Usa un sistema di pre-check-in con upload cifrato.
  • Copie tenute a tempo indeterminato: dopo la trasmissione ad Alloggiati Web, la copia del documento va eliminata. Non serve archiviarla.
  • Nessuna informativa: «i tuoi dati sono al sicuro» nel messaggio di benvenuto non è un'informativa GDPR.
  • Co-host senza accordo scritto: chi gestisce la casa al posto tuo e accede ai dati ha bisogno di un accordo formale di responsabile del trattamento.

Per una singola unità, con un po' di attenzione gestisci da solo la compliance di base. Se invece hai più unità, collaboratori, o sistemi automatizzati di raccolta dati (PMS, CRM, campagne marketing), conviene rivolgersi a un consulente privacy o a un DPO per una valutazione d'impatto e una documentazione solida: il costo è contenuto rispetto al rischio di una sanzione. Compliance solida e prenotazioni dirette vanno nella stessa direzione, raccogliere i dati sul tuo canale, in modo sicuro, ti rende meno dipendente dalle OTA e più padrone della relazione con l'ospite.

Testo divulgativo, per la propria situazione rivolgersi a un professionista qualificato.

Vuoi più prenotazioni dirette?

Il team di +Prenotazioni costruisce il tuo canale diretto: sito professionale, annunci OTA ottimizzati e zero commissioni sulle tue prenotazioni.

Scopri come funziona
Back to Blog