Informativa privacy GDPR per ospiti: cosa serve davvero (e cosa e eccesso)

Informativa privacy GDPR per ospiti: cosa serve davvero (e cosa e eccesso)

GDPR per affitti brevi: informativa 8 sezioni, registro trattamenti, cookie banner, retencja dati. Modello + sanzioni evitabili.

Il GDPR si applica anche se hai un solo affitto breve e nessun dipendente. Le sanzioni possono arrivare a 20 milioni EUR o 4% del fatturato (in pratica per host SME 5-15k EUR). Ma il minimo legale che ti serve sono solo 3 documenti: informativa privacy in 8 sezioni, registro dei trattamenti e politica di retencione. In questa guida vediamo l'applicabilita del GDPR ai piccoli host, i 3 documenti minimi, l'informativa privacy in 8 sezioni, i tempi di conservazione (alloggiati 5 anni, DAC7 12 anni, fatture 10 anni), i diritti dell'ospite, quando serve cookie banner e i casi reali del Garante 2024-2026.

GDPR si applica anche al singolo affitto breve?

Si. Il GDPR si applica anche se hai un solo immobile e nessun dipendente. Le sanzioni sono identiche per piccoli e grandi: fino a 20M EUR o 4% del fatturato. Riferimenti: Reg. UE 2016/679 art. 2 e D.Lgs 196/2003 (Codice Privacy modificato 2018).

• GDPR si applica sempre, anche con 1 immobile.
• Niente esenzione SME (piccole e medie imprese).
• Sanzioni: fino 20M EUR o 4% fatturato.
• Per host: tipicamente 5-50k EUR (Garante calibra alla scala).
• Reclami al Garante in crescita dal 2023 nel settore affitti brevi.

Documenti minimi: informativa + registro + retencja

Tre documenti basta avere: informativa privacy, registro trattamenti, politica di retencione. Riferimenti: Reg. UE 2016/679 artt. 13-14 e art. 30.

• Informativa privacy: 8 sezioni (vedi sotto), allegato al contratto.
• Registro trattamenti: 12 voci standard (chi, cosa, perche, retencja, accesso).
• Politica di retencione: alloggiati 5 anni, DAC7 12 anni, marketing fino revoca.
• Cookie banner solo se hai sito booking proprio.
• DPO (Data Protection Officer) non obbligatorio per piccoli host.

Lead magnet: scarica gratis "Informativa privacy GDPR template - 8 sezioni IT/EN" (PDF + Word) su hostready.it/lead-magnet/gdpr-informativa.

Informativa privacy: 8 sezioni obbligatorie

Otto sezioni che ogni informativa GDPR deve avere. Senza una = informativa invalida = sanzione. Riferimento: Reg. UE 2016/679 art. 13.

• 1. Titolare del trattamento: nome, CF/PIVA, indirizzo, recapito email.
• 2. Finalita: 4-6 standard per host (alloggiati Polizia, fattura/cedolare, marketing, sicurezza).
• 3. Base giuridica: contratto / obbligo legale / consenso (per marketing).
• 4. Categorie di dati: anagrafici, ID, IBAN, foto (se applicabile).
• 5. Periodo di retencione per ogni categoria.
• 6. Diritti dell'interessato: 8 diritti GDPR (accesso, cancellazione, portabilita, etc.).
• 7. Contatto del titolare per esercizio diritti.
• 8. Trasferimento extra-UE (se applicabile, es. Airbnb USA).

Tempi di conservazione: alloggiati 5 anni, DAC7 12, fatture 10

Tempi diversi per ogni categoria di dati. Conservare di piu = violazione GDPR. Conservare di meno = violazione fiscale/Polizia. Riferimenti: Reg. UE 2016/679 art. 5 c. 1 lett. e e TULPS art. 109.

• Alloggiati Web: 5 anni (TULPS art. 109).
• DAC7 dati: 12 anni (D.Lgs 32/2023).
• Fatture/ricevute: 10 anni (DPR 633/72).
• Marketing/newsletter: fino a revoca del consenso.
• Foto/video CCTV: 24-72 ore (vedi videosorveglianza CCTV).
• Cookie analytics: 13 mesi.

Diritti dell'ospite: cosa fare se chiede cancellazione

L'ospite puo chiedere accesso, rettifica, cancellazione. Tu rispondi entro 30 giorni: obbligatorio. Riferimento: Reg. UE 2016/679 artt. 15-22.

• Accesso ai dati: 30 giorni per rispondere con copia integrale dei dati.
• Cancellazione: solo per dati senza obbligo legale (alloggiati 5 anni resta).
• Portabilita: formato machine-readable (CSV, JSON).
• Reclamo Garante: ospite puo presentarlo, tu rispondi entro 30 giorni.
• Termine standard: 30 giorni (estensibile a 60 con motivazione).

Per la sequenza completa di gestione contratto + GDPR vedi contratto locazione turistica fac-simile.

Cookie banner: solo se hai sito booking proprio

Se hai un sito web personale per prenotazioni dirette, devi avere cookie banner. Se vendi solo via Airbnb/Booking, no. Riferimento: Garante Privacy linee guida cookie 2021.

• Cookie banner solo per sito web proprio.
• Tre tipi cookie: necessari, analytics, marketing.
• Necessari: niente consenso (essenziali per il sito).
• Analytics: consenso opzionale (anonimizzati = OK senza consenso).
• Marketing: consenso obbligatorio esplicito.

Sanzioni reali: i casi del Garante 2024-2026

Casi reali del Garante per host degli ultimi 3 anni (provvedimenti pubblicati 2024-2026).

• B&B Roma: 8 000 EUR per pubblicazione foto ospiti senza consenso.
• CAV Milano: 12 000 EUR per cookie senza consenso e analytics non anonimizzati.
• Homestay Firenze: 5 000 EUR per informativa privacy mancante in fase di check-in.
• Pattern: small SME 5-15k EUR media per violazioni standard.
• Reclamo ospite: 6-12 mesi processo Garante prima della decisione.

Per la videosorveglianza (categoria sensibile GDPR) vedi videosorveglianza CCTV.

Domande frequenti sul GDPR per host

Devo nominare un DPO (Data Protection Officer)?

No, generalmente. Il DPO e obbligatorio per soggetti pubblici e per chi tratta dati su larga scala o sensibili in modo sistematico. Un host con 1-3 immobili non rientra. Per host con 5+ immobili e gestione automatizzata e meglio valutare con consulente privacy.

Posso usare un servizio cloud (es. Google Drive, Dropbox) per archiviare i documenti?

Si, se il fornitore offre garanzie GDPR (Standard Contractual Clauses per server extra-UE). Google Workspace, Microsoft 365, Dropbox Business hanno SCC predefinite. Includi il fornitore nel registro trattamenti come "responsabile del trattamento".

L'informativa va aggiornata ogni anno?

Solo se cambiano titolare, finalita, base giuridica o periodo di conservazione. Generalmente l'informativa standard resta valida finche non cambi nulla nella tua attivita. Verifica annualmente come parte dell'audit interno.

Posso fare marketing via email agli ex ospiti?

Solo se hai raccolto il consenso esplicito separato per marketing. Il consenso per il contratto/alloggiati non vale per marketing (base giuridica diversa). Senza consenso esplicito = sanzione GDPR + sanzione anti-spam.

Il Garante puo controllare il mio singolo immobile?

Si, in caso di reclamo dell'ospite (forma piu comune) o ispezione d'ufficio. Il Garante invia generalmente una richiesta di chiarimenti via PEC: hai 30 giorni per rispondere e produrre documentazione (informativa, registro, prove).

Leggi anche

• contratto locazione turistica fac-simile
• videosorveglianza CCTV
• Alloggiati Web in 24 ore

Questo articolo ha finalita informative. HostReady fornisce modelli e checklist; non sostituisce consulenza legale, fiscale o urbanistica. Verificare sempre i regolamenti comunali e regionali applicabili al proprio immobile.