Prostay
Prenota una dimostrazione
Hotel Technology & Innovation

Conservazione dei dati degli ospiti e diritto alla cancellazione: il GDPR per gli hotel nel 2026

La maggior parte degli hotel raccoglie i dati degli ospiti e poi non li cancella mai: scansioni dei passaporti risalenti al 2019, dati delle carte di credito in fogli di calcolo, liste di marketing per le quali nessuno ha dato il proprio consenso. Il GDPR considera tutto questo come una responsabilità, poiché il principio di limitazione della conservazione stabilisce che i dati possano essere conservati solo per il tempo necessario, mentre il diritto alla cancellazione consente agli ospiti di chiedere la cancellazione dei propri dati. Ecco cosa prevede il GDPR in materia di conservazione dei dati, un calendario dettagliato per ogni tipo di dato, i casi in cui è possibile rifiutare la richiesta e un piano di pulizia dei dati entro 30 giorni.

Mika Takahashi
Mika TakahashiTeam editoriale

Pubblicato 21 giu 2026

24 min di lettura

A cel-shaded editorial side-angle desk scene at eye level: an open laptop displays a guest data retention schedule table with data categories and countdown timers, with one row highlighted and a red 'Erase guest data' confirmation dialog open over a guest profile, while beside the laptop sit a small wall calendar with dates circled, a slim paper shredder with a strip of shredded paper, and a printed sheet titled retention policy with several lines ticked, illustrating that a hotel must delete guest personal data once its lawful retention period ends, all rendered in the warm cream, taupe, sage, terracotta and deep navy palette.

Perché gli hotel sono accumulatori involontari di dati

Entrate nel back office di quasi qualsiasi hotel indipendente e ponete una domanda: quali dati personali conservate sugli ospiti e quando vengono cancellati? Alla prima parte della domanda si riceve solitamente una risposta sicura. Alla seconda parte, invece, si ottiene solo uno sguardo perplesso. Gli hotel sono straordinariamente bravi a raccogliere i dati degli ospiti e quasi universalmente incapaci di eliminarli. Ci sono scansioni di passaporti del 2019 che giacciono in un disco condiviso, un foglio di calcolo con i dati delle carte di credito che qualcuno ha creato per un gruppo in pullman tre estati fa, una lista di marketing con diecimila indirizzi di cui nessuno può dimostrare che abbiano dato il consenso a qualcosa, e un sistema di prenotazioni che contiene la cronologia completa dei soggiorni di ogni ospite che abbia mai varcato la soglia. Nulla di tutto ciò è stato conservato con intenti malevoli. Si è accumulato perché cancellare i dati richiede una decisione deliberata, mentre conservarli non ne richiede alcuna.

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), tale accumulo non è neutro. Rappresenta una responsabilità crescente. Il principio di limitazione della conservazione del GDPR stabilisce che è possibile conservare i dati personali solo per il tempo effettivamente necessario, e il diritto alla cancellazione conferisce a ogni ospite la possibilità di chiedervi di eliminare ciò che conservate. I dati presenti nel sistema di gestione della struttura, nel CRM, nello strumento di posta elettronica e in quei fogli di calcolo dimenticati non sono una risorsa che si valorizza silenziosamente; sono un rischio che si accumula. Ogni record in più e ogni anno in più rappresentano un rischio maggiore in caso di violazione, ulteriori informazioni che potrebbero emergere in seguito a una richiesta di accesso e ulteriori elementi su cui le autorità di controllo potrebbero indagare. Questo articolo è rivolto all’operatore, non all’avvocato: cosa richiede effettivamente il GDPR in materia di conservazione, come creare un calendario che indichi ogni tipo di dato e il relativo termine di cancellazione, quando è possibile rifiutare una richiesta di cancellazione e un piano di 30 giorni per ripulire l’archivio.

Una breve nota di trasparenza prima di entrare nei dettagli. Scrivo per Prostay e il nostro team sviluppa software di gestione immobiliare e di pagamento per gli hotel, quindi una breve sezione verso la fine è una dichiarazione informativa piuttosto che un consiglio. Tutto il resto qui è indipendente dal fornitore e si applica a qualsiasi sistema utilizziate. E un’avvertenza importante: si tratta di una guida operativa, non di una consulenza legale. Il GDPR viene interpretato dalle autorità nazionali di regolamentazione con le loro linee guida specifiche, i periodi di conservazione sono stabiliti dalla normativa fiscale e commerciale del proprio paese e un caso realmente complesso merita l’intervento di un avvocato specializzato in protezione dei dati. L’obiettivo qui è quello di passare da un approccio del tipo «conserviamo tutto per sempre» a una posizione difendibile, documentata per iscritto e applicata, che copra la stragrande maggioranza dei dati effettivamente detenuti da un hotel.

Cosa richiede effettivamente il GDPR in materia di conservazione

L’aspetto frustrante per gli operatori che desiderano una regola unica è che il GDPR si rifiuta deliberatamente di fornirne una. Non dice “conservate i dati degli ospiti per X anni”. Stabilisce invece dei principi e lascia che i dettagli ne derivino. Due principi coprono quasi tutto ciò che riguarda la conservazione e, una volta compresi, l’apparente vaghezza si trasforma in qualcosa che è effettivamente possibile mettere in pratica.

Il principio di limitazione della conservazione

La limitazione della conservazione è il principio del GDPR secondo cui i dati personali devono essere conservati in una forma che consenta l’identificazione delle persone per un periodo non superiore a quello necessario agli scopi per cui vengono trattati. In parole povere: è possibile conservare i dati solo finché se ne ha realmente bisogno per il motivo per cui sono stati raccolti. Una volta che tale motivo viene meno e non sussiste alcuna altra base giuridica, è necessario cancellarli o renderli anonimi in modo che non possano più essere ricondotti a una persona. Il principio è la risposta diretta alla conservazione «per ogni evenienza». Conservare i dati di un ospite a tempo indeterminato perché potrebbero tornare utili un giorno è esattamente ciò che la limitazione della conservazione vieta, poiché «potrebbe tornare utile» non è una finalità definita con una data di scadenza.

Ecco perché l’unità di riferimento corretta non è l’hotel nel suo complesso, ma ogni singola finalità. I dati raccolti per evadere una prenotazione hanno una finalità che termina dopo un periodo definito dal momento del soggiorno. I dati conservati a fini fiscali hanno una finalità che termina alla scadenza del periodo di conservazione previsto dalla legge. I dati conservati a fini di marketing hanno una finalità che dura solo finché il consenso rimane valido. Ogni finalità ha il proprio termine, e la limitazione della conservazione impone di interrompere la conservazione allo scadere di tale termine.

La base giuridica determina per quanto tempo è possibile conservare i dati

Il concetto correlato è quello della base giuridica: il motivo legale per cui vi è consentito trattare un determinato dato in primo luogo. La base su cui vi basate determina in larga misura per quanto tempo potete conservare i dati, poiché la conservazione è legata alla finalità che la base stessa sostiene. Tre basi giuridiche coprono la maggior parte dei dati alberghieri. Il contratto riguarda ciò di cui avete bisogno per fornire il soggiorno prenotato dall’ospite. L’obbligo legale riguarda ciò che una legge specifica vi obbliga a conservare, come nel caso evidente dei registri fiscali e contabili. Il consenso riguarda le attività a cui l’ospite ha acconsentito attivamente, tra cui il marketing è la principale, e dura solo fino a quando non viene revocato.

La conseguenza pratica è che alla domanda «per quanto tempo conserviamo i dati degli ospiti?» si hanno risposte diverse a seconda dei dati, e la base giuridica indica quale. I registri di prenotazione e fatturazione rientrano in gran parte nell’ambito dell’obbligo legale, quindi il loro periodo di conservazione è stabilito dalla normativa fiscale nazionale, spesso da sei a dieci anni. I dati di marketing rientrano nel consenso, quindi il loro periodo di conservazione termina quando l’ospite annulla l’iscrizione o quando entra in vigore la vostra politica di inattività. Una nota operativa redatta da un responsabile su un ospite difficile rientra, nella migliore delle ipotesi, nel trattamento per legittimo interesse, quindi dovrebbe avere una durata limitata. Individuate correttamente la base giuridica per ciascuna categoria e il periodo di conservazione si definirà quasi da sé.

Creazione di un programma di conservazione dei dati degli ospiti

La cosa più utile che un hotel possa fare per la conformità al GDPR è anche la meno affascinante: redigere un programma di conservazione. Un programma di conservazione è una semplice tabella che elenca ogni categoria di dati personali in vostro possesso, la base giuridica per il loro trattamento, la finalità, il periodo dopo il quale vengono cancellati e dove sono conservati. Non si tratta di un trattato giuridico; un buon programma si riassume in due pagine. Il suo valore sta nel trasformare un obbligo vago in una serie di regole concrete e applicabili, ed è il primo documento che un'autorità di controllo richiederà qualora dovesse presentarsi.

A guest data retention schedule shown as a clean table with five columns labelled data category, lawful basis, purpose, retention period, and where it lives, with rows for booking data kept a short window after checkout under contract, invoices kept six to ten years under legal obligation, payment card data marked none because it is tokenized, marketing data kept while consent stands, ID scans deleted after the registration period, and CCTV kept days to weeks, with a small clock and a delete icon at the end of each row.
Un programma di conservazione trasforma un obbligo vago in una regola concreta per ogni tipo di dato. Questo è il documento che l’autorità di controllo richiede per primo.

La disciplina richiesta per redigerlo è ciò che fa emergere i problemi. Non è possibile compilare la voce «dove sono conservati» senza scoprire il foglio di calcolo sul disco condiviso e l’esportazione che qualcuno si è inviato via e-mail. Non è possibile compilare la voce “periodo di conservazione” senza decidere, una volta per tutte, per quanto tempo conservare effettivamente i dati di contatto di marketing di chi non ha aperto un’e-mail da tre anni. Il piano impone le decisioni che il “ce ne occuperemo più tardi” ha rimandato, e una volta redatto diventa la regola che l’intero team e i vostri sistemi devono seguire.

Conservazione per categoria di dati

Ecco come si suddividono in genere le principali categorie per un hotel. Consideratele come un quadro di riferimento ragionevole, non come un vangelo, perché la legislazione nazionale e le circostanze specifiche possono modificare i numeri.

  • Dati relativi a prenotazioni e riservazioni (nome, recapiti, date di soggiorno, preferenze): necessari durante e subito dopo il soggiorno, in base al contratto. Un approccio comune consiste nel conservare i dati delle prenotazioni attive per un periodo definito dopo il check-out, al fine di gestire eventuali controversie, rimborsi e follow-up, per poi cancellarli o archiviarli; tutto ciò che è stato oggetto di una fattura passa al periodo di conservazione dei documenti contabili indicato di seguito.
  • Documentazione finanziaria e contabile (fatture, conferme di pagamento, folio): soggetta a obblighi di legge, pertanto il periodo è stabilito dal diritto tributario e commerciale, solitamente da sei a dieci anni (dieci in Germania e Francia, circa sei o sette altrove). In genere non è possibile cancellare questi dati in anticipo, nemmeno su richiesta.
  • Dati delle carte di pagamento: l’obiettivo è conservarne il meno possibile per il minor tempo possibile, idealmente nessuno, poiché la tokenizzazione tramite il proprio fornitore di servizi di pagamento rimuove completamente il numero della carta dai propri sistemi. Maggiori informazioni su questo argomento più avanti.
  • Dati di marketing (indirizzi e-mail, preferenze, registrazioni dei consensi): conservati in base al consenso, quindi mantenuti solo finché il consenso è valido. Impostate una regola di inattività, ad esempio rimuovendo o richiedendo nuovamente il consenso ai contatti che non hanno interagito da 24 a 36 mesi, e onorate immediatamente le richieste di cancellazione.
  • Documenti di identità (scansioni di passaporti o carte d’identità, laddove la legge ne richieda la registrazione): si tratta di una questione delicata trattata più avanti; conservateli solo per il periodo richiesto dalla specifica normativa sulla registrazione degli ospiti, quindi cancellateli, anziché accumulare le scansioni a tempo indeterminato.
  • Registrazioni CCTV e registri di accesso: conservazione breve per impostazione predefinita, spesso da pochi giorni a qualche settimana, a meno che un incidente specifico non ne determini la conservazione.
  • Note operative e commenti in formato testo libero: la categoria più rischiosa e meno regolamentata; mantenetele concise, oggettive e di breve durata, e non registrate mai nulla che non vorreste che l’ospite leggesse.

Il diritto alla cancellazione e i suoi limiti

Il diritto alla cancellazione, spesso chiamato diritto all’oblio, consente a una persona di chiedervi di cancellare i dati personali che detenete su di lei. Per gli hotel, tale richiesta arriva più comunemente tramite e-mail: un ex ospite, o qualcuno che un tempo si era iscritto alla vostra mailing list, vi chiede di rimuovere i propri dati. L’istinto è quello di considerare la questione in termini binari, ovvero cancellare tutto o rifiutare, ma entrambi gli approcci sono sbagliati. La risposta corretta è più mirata, e agire nel modo giusto vi tutela in entrambi i casi.

A decision flow diagram for handling a guest erasure request: it starts with request received, then verify identity, then locate the data across PMS, CRM, email, and spreadsheets, then a branch asking is there a legal obligation to keep this; data with no remaining lawful basis flows to a delete now box, data covered by a tax or registration law flows to a retain until its legal clock expires box, and both paths converge on respond to the guest within one month explaining what was erased and what was kept and why.
Una richiesta di cancellazione non equivale a un semplice clic su un pulsante di eliminazione. Si cancella ciò che è possibile, si conserva solo ciò che la legge impone e si forniscono spiegazioni in entrambi i casi.

Il diritto si applica in modo più evidente quando non si dispone più di una base giuridica per conservare i dati. Se qualcuno revoca il consenso al marketing, la base per conservare il suo profilo di marketing viene meno e si è tenuti a cancellarlo. Lo stesso vale se lo scopo per cui sono stati raccolti i dati è cessato e nulla giustifica la loro conservazione. Ma il diritto alla cancellazione non è un pulsante di cancellazione universale. Laddove sussista ancora un’altra base giuridica, in particolare un obbligo legale di conservare determinati dati, è possibile e talvolta necessario conservare quei dati specifici, e il diritto alla cancellazione non prevale su di esso. L’arte sta nel separare i dati che ora devi cancellare dall’insieme ristretto che sei legalmente tenuto a conservare.

Ciò che non si può fare è ignorare la richiesta o lasciarla in sospeso. Il GDPR concede un mese di tempo per rispondere, e la risposta deve comunicare all’interessato cosa è stato fatto: cosa è stato cancellato, cosa è stato conservato e il motivo giuridico di tale conservazione. Dire «Abbiamo cancellato i tuoi dati» quando in realtà hai conservato le fatture a fini fiscali è sia falso che inutile; «Ti abbiamo rimosso da tutte le comunicazioni di marketing e cancellato il tuo profilo ospite, e siamo tenuti a conservare le fatture relative alle tue prenotazioni per diversi anni ai sensi della normativa fiscale, dopodiché saranno anch’esse cancellate» è la risposta onesta e conforme alla normativa. Documentate la richiesta e la vostra risposta in entrambi i casi.

Quando è possibile rifiutare: conservazioni obbligatorie ed eccezioni

Poiché il diritto alla cancellazione non è assoluto, è necessario conoscere le situazioni in cui la conservazione dei dati è legittima, in modo da non cancellare né conservare più del necessario. Diverse eccezioni sono rilevanti per gli hotel.

La più importante è l’obbligo legale. Le leggi fiscali e contabili di ogni paese dell’UE impongono di conservare i registri finanziari, comprese le fatture relative al soggiorno di un ospite, per un determinato numero di anni. Tale obbligo prevale su una richiesta di cancellazione di quei dati specifici. Un ospite può chiedervi di dimenticarlo, e voi dovreste dimenticare tutto ciò che siete liberi di dimenticare, ma la fattura rimane fino alla scadenza del termine previsto dalla legge. La stessa logica si applica a qualsiasi documento che una legge specifica vi imponga di conservare, come i dati di registrazione degli ospiti laddove la normativa locale ne imponga la conservazione per un determinato periodo.

Una seconda eccezione riguarda l’accertamento, l’esercizio o la difesa di diritti legali. Se sei coinvolto, o prevedi ragionevolmente di esserlo, in una controversia con un ospite, in un chargeback, in una richiesta di risarcimento per lesioni personali o in una fattura non pagata, puoi conservare i dati rilevanti per tale controversia fino alla sua risoluzione, poiché ne hai bisogno per difenderti. Questa non è un’autorizzazione a conservare tutto per sempre immaginando controversie ipotetiche; si tratta di un’eccezione limitata, applicabile solo a controversie reali. La regola è applicare una conservazione obbligatoria specifica ai dati rilevanti e liberarsene, cancellandoli, una volta chiusa la questione.

Il filo conduttore che collega questi concetti è la specificità. Un’eccezione consente di conservare i dati specifici che essa copre, per tutta la durata dell’eccezione e non oltre. Non è un motivo per conservare l’intero profilo dell’ospite a tempo indeterminato. Quando si invoca un’eccezione in risposta a una richiesta di cancellazione, si devono conservare solo i dati che essa giustifica, cancellare il resto e annotarne il motivo.

Passaporti, documenti d’identità e dati di categoria speciale

I documenti di identità meritano una sezione a parte perché gli hotel li gestiscono costantemente e spesso ne fanno un uso improprio. In molti paesi, la legge impone agli hotel di registrare gli ospiti e talvolta di verificarne l’identità, il che costituisce un motivo legittimo per richiedere il passaporto o la carta d’identità al momento del check-in. Ciò non è, di per sé, un motivo per scansionarli e conservare l’immagine per sempre. Le due cose vengono regolarmente confuse: una struttura che è tenuta a registrare determinati dati di registrazione inizia a fotografare ogni passaporto e a conservare le immagini a tempo indeterminato per sicurezza, creando così un archivio di dati voluminoso, sensibile e allettante per gli hacker che la legge non ha mai richiesto.

L’approccio corretto consiste nel separare ciò che la legge richiede di registrare da ciò che si sceglie di conservare. Registrate i campi specifici richiesti dalla normativa sulla registrazione degli ospiti nella vostra giurisdizione, conservateli solo per il periodo specificato dalla legge e poi cancellateli. Se si esegue la scansione o la fotografia di un documento d’identità, trattare quell’immagine come un dato ad alto rischio: limitare l’accesso a chi può visualizzarla, archiviarla in forma crittografata ed eliminarla non appena lo scopo della registrazione è stato raggiunto, anziché lasciare che le scansioni si accumulino in una cartella. Per quanto riguarda le modalità operative della registrazione degli ospiti e gli obblighi di segnalazione alla polizia in particolare, ne parliamo in dettaglio nella nostra guida alla registrazione degli ospiti e alla segnalazione alla polizia; il punto relativo alla conservazione qui è più circoscritto: raccogliete il minimo richiesto dalla legge, conservatelo per il periodo minimo consentito dalla legge ed eliminatelo secondo le scadenze previste.

Prestate attenzione anche ai dati che rientrano in categorie speciali, ovvero i tipi sensibili che il GDPR tutela in modo più rigoroso, come le informazioni sanitarie. Un ospite che menzioni una grave allergia o un’esigenza di accessibilità può far sì che nei vostri appunti compaiano dati correlati alla salute. Potrebbero servirvi per offrire un buon servizio all’ospite, ma richiedono un’attenzione particolare: conservateli solo per la durata del soggiorno di quell’ospite, limitate l’accesso e non lasciate che rimangano nei campi di testo libero molto tempo dopo che non sono più rilevanti.

Dati di pagamento: il problema di conservazione più facile da risolvere

Tra tutti i grattacapi legati alla conservazione dei dati, quello relativo ai dati delle carte di pagamento è quello con la soluzione più chiara, e molti hotel non l’hanno ancora adottata. L’istinto di un tempo era quello di archiviare i numeri delle carte: acquisirli su un modulo di prenotazione, conservarli in archivio per l’addebito in caso di mancata presentazione o per le spese accessorie, scriverli su una ricevuta. Ogni numero di carta che conservate rappresenta un rischio in termini di conservazione dei dati, un obbligo PCI e una violazione in agguato. La soluzione moderna consiste nel non conservarli affatto.

La tokenizzazione, fornita da qualsiasi piattaforma di pagamento competente, sostituisce il numero della carta con un token privo di significato, inutile per un ladro e conservato presso il fornitore del servizio di pagamento, non nei vostri sistemi. Potrete comunque addebitare la penale per mancata presentazione, registrare le spese accessorie ed elaborare il deposito, poiché il token autorizza l’addebito tramite il fornitore, ma i dati effettivi della carta non vengono mai conservati nel vostro PMS, nel vostro foglio di calcolo o nel vostro archivio. Quella singola scelta architettonica elimina un’intera categoria di rischio legato alla conservazione dei dati: non c’è nulla di sensibile da conservare, quindi non c’è nulla da cancellare, nulla che possa essere oggetto di violazione e molto meno da dimostrare a un revisore. L’utilizzo di un livello di pagamento integrato come Prostay Pay, che effettua la tokenizzazione di default, significa che i dati delle carte vengono ridotti al minimo per progettazione piuttosto che gestiti tramite politiche, il che rappresenta sempre la posizione più solida.

Se conservate ancora numeri di carte da qualche parte, su carta, in un foglio di calcolo, in un’e-mail o in un vecchio sistema di prenotazione, questo è l’elemento con la massima priorità in qualsiasi operazione di pulizia dei dati conservati, prima di quasi tutto il resto. Si tratta dei dati più allettanti per gli hacker, quelli soggetti alle normative più severe e chiaramente superflui da conservare una volta che la tokenizzazione è disponibile. Il risultato più rapido che la maggior parte degli hotel può ottenere in termini di conformità al GDPR e di sicurezza è individuare ogni numero di carta memorizzato ed eliminare la pratica che ne ha determinato la creazione.

Liste di marketing, consenso e la responsabilità nascosta

I dati di marketing sono l’ambito in cui le buone intenzioni creano un rischio a lento sviluppo. Un hotel costruisce nel corso degli anni una lista di indirizzi e-mail attingendo da moduli di prenotazione, accessi al Wi-Fi, concorsi e caselle di iscrizione alla newsletter, ma raramente torna indietro per verificare se ogni contatto abbia effettivamente dato il proprio consenso, se tale consenso fosse specifico e informato e se sia ancora valido. Il risultato è una lista voluminosa dalla provenienza poco chiara, esattamente ciò che trasforma un reclamo di routine in un problema normativo.

La disciplina di conservazione dei dati di marketing si basa sul consenso. È possibile conservare e utilizzare i dati di marketing solo finché si dispone di un consenso valido, il che significa che il contatto ha acconsentito attivamente, sapeva a cosa stava acconsentendo e può revocare il consenso con la stessa facilità con cui lo ha dato. Ne derivano due regole. Innanzitutto, onorate immediatamente e completamente le richieste di cancellazione: quando qualcuno si disiscrive, smettete di inviargli e-mail e rimuovetelo dall’elenco attivo, conservando al massimo una registrazione minima di soppressione per evitare di aggiungerlo nuovamente per errore. In secondo luogo, gestite l’inattività. Un contatto che non ha aperto o cliccato su nulla da due o tre anni è un contatto il cui consenso è ormai superato e i cui dati avete pochi motivi per conservare; una politica ragionevole prevede di richiedere nuovamente il consenso una volta e di cancellarlo se non risponde.

Questo può sembrare controintuitivo per gli operatori che equiparano una lista più ampia a una maggiore portata, ma un ampio elenco di contatti senza consenso, non coinvolti e forse detenuti in modo improprio non è una risorsa; è una passività che produce scarsi risultati e comporta un rischio elevato. Una lista più ridotta di persone che desiderano sinceramente ricevere tue notizie offre prestazioni migliori e non comporta quasi alcun rischio di violazione del GDPR. Sfoltire la lista è sia un atto di conformità che un miglioramento del marketing, un raro allineamento che vale la pena perseguire.

OTA, channel manager e chi cancella cosa

I dati degli ospiti non arrivano da un’unica fonte, e questo complica la loro conservazione. Una prenotazione può provenire dal tuo sito web diretto, da Booking.com o Expedia, tramite un channel manager, da un agente di viaggio o per telefono. Un presupposto comune e pericoloso è che, se la prenotazione è arrivata tramite un’OTA, quest’ultima sia proprietaria dei dati e che la loro cancellazione sia a carico dell’OTA stessa. Non è così.

Nella maggior parte dei rapporti con le OTA, sia la piattaforma che l’hotel agiscono come titolari del trattamento per le proprie copie dei dati degli ospiti. L’OTA è responsabile dei dati presenti nei propri sistemi e della gestione della cancellazione in essi; voi siete responsabili della copia che arriva nei vostri sistemi. Quando una prenotazione effettuata su Booking.com passa attraverso il vostro channel manager per arrivare al vostro PMS, la registrazione permanente che richiede una politica di conservazione e un processo di cancellazione è quella che ora si trova nel vostro ambiente. Il channel manager è solitamente un canale di trasmissione, un responsabile del trattamento che trasferisce i dati, ma la copia nel PMS è di vostra competenza.

Le implicazioni pratiche sono concrete. Non potete limitarsi a indicare un’OTA e considerare evasa una richiesta di cancellazione; dovete elaborarla nei vostri sistemi indipendentemente da come sia arrivata la prenotazione. Dovreste sapere, per ogni piattaforma che utilizzate, chi è il titolare del trattamento e chi è il responsabile del trattamento per quali dati, come stabilito nei termini di trattamento dei dati che avete accettato e che raramente leggete. Inoltre, il vostro programma di conservazione dei dati deve coprire ogni copia dei dati degli ospiti presente nel vostro sistema, non solo quelli provenienti dal vostro canale diretto, perché un'autorità di regolamentazione e un ospite che presenta un reclamo non terranno conto del fatto che i dati provenissero originariamente da altrove.

Gli aspetti pratici: cancellazione in PMS, CRM, e-mail e backup

Sapere cosa cancellare è metà della battaglia; cancellarlo effettivamente nel groviglio di sistemi di un vero hotel è l’altra metà, ed è qui che le buone intenzioni falliscono. I dati degli ospiti raramente si trovano in un unico posto. Sono nel PMS, nel CRM o nello strumento di gestione dei profili ospiti, nella piattaforma di email marketing, nei fogli di calcolo, nella casella di posta in cui qualcuno ha inoltrato una prenotazione e nei backup che stanno dietro a tutto questo. Una politica di conservazione che prevede la cancellazione solo dal PMS lascia copie ovunque altrove.

Iniziate mappando dove si trovano effettivamente i dati, lo stesso esercizio che il programma di conservazione impone. Per ogni sistema, scoprite come funziona la cancellazione: il PMS offre un modo per cancellare o rendere anonimo un profilo ospite? Lo strumento di posta elettronica rimuove davvero un contatto o si limita a nasconderlo? È possibile ripulire i fogli di calcolo e smettere di crearne di nuovi? L’obiettivo è definire un percorso di cancellazione per ogni luogo in cui risiedono i dati degli ospiti, in modo che, alla scadenza di un periodo di conservazione o all’arrivo di una richiesta di cancellazione, si possa agire ovunque, non solo nel sistema più ovvio.

I backup sono la questione su cui tutti si bloccano, e la posizione delle autorità di regolamentazione è pragmatica. Ci si aspetta che si proceda alla cancellazione tempestiva dai sistemi attivi e in uso. Per quanto riguarda i backup, l’aspettativa è che i dati vengano eliminati secondo una rotazione normale e documentata e che non si ripristinino i dati cancellati per riportarli in uso. In genere non ci si aspetta che si apra ogni singolo backup storico per asportare chirurgicamente i dati relativi a un ospite nel momento stesso in cui questi lo richieda. Due elementi rendono questa posizione difendibile: backup con una rotazione ragionevole che sovrascriva i dati vecchi anziché conservarli per sempre, e un processo di ripristino che riapplichi le cancellazioni in modo che il ripristino non riporti in vita silenziosamente i record eliminati. Un backup che non viene mai sovrascritto rappresenta di per sé un fallimento in termini di limitazione dello spazio di archiviazione, quindi la soluzione consiste in parte semplicemente nell’avere una vera e propria politica di conservazione dei backup.

Laddove non sia possibile cancellare facilmente i dati, l’anonimizzazione è l’alternativa accettata. Se si desidera conservare statistiche aggregate, andamenti di occupazione e medie di durata del soggiorno, è possibile rimuovere dai dati qualsiasi elemento che identifichi una persona e conservare le cifre anonimizzate, che non rientrano nel GDPR poiché non sono più dati personali. Se fatto correttamente, ciò consente di mantenere le informazioni utili per l’attività senza assumersi la responsabilità.

Gestione di una richiesta di accesso o cancellazione

Quando un ospite esercita i propri diritti, la richiesta stessa è soggetta a regole, e gestirla senza intoppi dipende soprattutto dall’avere un processo pronto prima che arrivi la prima richiesta. Le due richieste più comuni sono la richiesta di accesso, in cui l’ospite desidera una copia dei dati in vostro possesso che lo riguardano, e la richiesta di cancellazione, in cui chiede che tali dati vengano eliminati. Entrambe seguono lo stesso termine di un mese e gli stessi passaggi fondamentali.

In primo luogo, riconoscete la richiesta. Non è necessario che sia presentata tramite un modulo o che utilizzi un linguaggio giuridico; è sufficiente un’e-mail che dica “vi prego di inviarmi tutto ciò che avete su di me” o “cancellate i miei dati”, e il termine decorre dal momento in cui la ricevete. Assicuratevi che il personale della reception e delle prenotazioni sappia inoltrare queste richieste al responsabile della protezione dei dati, anziché ignorarle o gestirle in modo errato. In secondo luogo, verificate l’identità in modo proporzionato. È necessario assicurarsi di avere a che fare con la persona reale prima di consegnare o cancellare i dati, ma non si dovrebbero richiedere prove eccessive; di solito è sufficiente confermare che la persona abbia il controllo dell’indirizzo e-mail o del numero di prenotazione in archivio. Richiedere un’identificazione eccessiva costituisce di per sé un problema di raccolta dei dati.

In terzo luogo, agite su tutti i sistemi, utilizzando la mappa e i percorsi di cancellazione sopra indicati, e applicate la logica della conservazione a fini legali: in caso di cancellazione, eliminate tutto ciò per cui non sussiste più una base giuridica per la conservazione, conservate solo ciò che la legge impone; in caso di richiesta di accesso, raccogliete una copia completa, inclusi i luoghi facilmente trascurabili. In quarto luogo, rispondete entro un mese, per iscritto, spiegando cosa avete fatto e, per eventuali dati conservati, il motivo. Tenete un semplice registro delle richieste e delle risposte. Nulla di tutto ciò è difficile una volta che il processo è in atto; i fallimenti derivano dall’assenza di un processo, per cui la prima richiesta scatena il panico, il mancato rispetto delle scadenze e, di conseguenza, una cancellazione eccessiva o un rifiuto categorico, ognuno dei quali può trasformare una richiesta minore in un reclamo.

Un piano di pulizia della conservazione dei dati in 30 giorni

Non occorre un anno né un consulente per passare da «conserviamo tutto» a una posizione difendibile. Un mese dedicato a questo obiettivo, gestito da qualcuno con l’autorità di prendere decisioni, permette a un tipico hotel indipendente di compiere gran parte del percorso.

Giorni da 1 a 7: individuare i dati. Mappare ogni luogo in cui risiedono i dati personali degli ospiti: PMS, CRM o profili degli ospiti, strumenti di email marketing, fogli di calcolo, unità condivise, caselle di posta in arrivo, il vecchio sistema che nessuno ha dismesso, archivi cartacei. Siate spietati con gli angoli dimenticati, perché è lì che si nasconde il rischio maggiore. Segnalate immediatamente eventuali numeri di carte di credito archiviati e qualsiasi scansione di passaporti o documenti d’identità conservata separatamente; questi sono i vostri obiettivi prioritari.

Giorni dall’8 al 14: redigete il piano di conservazione. Elaborate il piano di conservazione: per ogni categoria di dati, registrate la base giuridica, la finalità, il periodo di conservazione ancorato alla vostra normativa nazionale in materia fiscale e di registrazione per i dati soggetti a obblighi di legge, e dove si trovano. Stabilite la vostra regola di inattività per il marketing e i periodi di conservazione delle registrazioni CCTV e delle note. Questo documento è la spina dorsale di tutto il resto.

Giorni dal 15 al 21: risolvi le esposizioni più gravi. Elimina i dati delle carte memorizzati passando ai pagamenti tokenizzati e distruggendo eventuali numeri di carte su supporto cartaceo o nei fogli di calcolo. Eliminate o proteggete adeguatamente le scansioni di documenti d’identità archiviate separatamente. Sfoltite la lista di marketing: onorate ogni richiesta di cancellazione in sospeso e rimuovete o richiedete nuovamente il consenso ai contatti inattivi da tempo. Queste tre azioni eliminano la maggior parte dei rischi concreti.

Giorni dal 22 al 28: create i processi. Definite il percorso di cancellazione per ciascun sistema in modo che i periodi di conservazione possano essere effettivamente applicati, idealmente automatizzando ciò che è possibile. Redigete una procedura di una pagina per la gestione delle richieste di accesso e cancellazione, specificando chi ne è responsabile, come viene verificata l’identità e il termine di un mese. Istruite il personale della reception e delle prenotazioni affinché le richieste vengano inoltrate e non vadano perse. Verificate che la rotazione dei backup sia limitata nel tempo e documentata.

Giorni dal 29 al 30: documentare e programmare la revisione. Salvare il programma di conservazione e la procedura di richiesta in un luogo accessibile al team; registrare ciò che è stato eliminato, poiché costituisce una prova utile di buona fede qualora un’autorità di regolamentazione dovesse richiederla; inserire nel calendario una data ricorrente, trimestrale o semestrale, per far rispettare il programma ed effettuare una nuova pulizia. La conservazione dei documenti non è un progetto una tantum; è un’abitudine, e il promemoria sul calendario è ciò che impedisce che l’accumulo si ricostituisca.

Il ruolo di Prostay, in breve e con sincerità

Dichiarazione di trasparenza: scrivo per Prostay, che sviluppa un sistema di gestione immobiliare e una piattaforma di pagamento integrata per gli hotel, quindi questa sezione riflette il mio interesse e non rappresenta un consiglio imparziale. Il punto onesto e utile è ben circoscritto. Gran parte del problema della conservazione dei dati è di natura architettonica, e i sistemi giusti rendono il percorso conforme quello predefinito. Un PMS che consenta di cancellare o rendere anonimo un profilo ospite in modo pulito, anziché lasciare i dati sparsi e non cancellabili, rende molto più facile rispettare sia la conservazione programmata che le richieste di cancellazione. Inoltre, i sistemi di pagamento che utilizzano la tokenizzazione di default, come fa Prostay Pay, rimuovono completamente i dati delle carte dal vostro ambiente, eliminando così un’intera categoria di rischi legati alla conservazione dei dati e alle violazioni prima ancora di dover redigere una singola politica.

Nulla di tutto ciò è esclusivo della nostra azienda, e non è questo il punto dell’articolo. Molti moderni fornitori di PMS e sistemi di pagamento gestiscono bene questo aspetto, e la scelta giusta dipende dalla vostra infrastruttura e dal vostro paese. Il test veramente utile è quello descritto in questo articolo: i vostri sistemi sono in grado di cancellare ciò che la vostra pianificazione prevede di cancellare, riducono al minimo i dati sensibili che conservate fin dall’inizio e siete in grado di dare seguito a una richiesta di cancellazione su tutti i sistemi entro un mese? Se i vostri sistemi sono in grado di farlo, il fornitore ha poca importanza. Se non ci riescono, quella è la lacuna da colmare, con noi o con chiunque altro. Acquistate e configurate i sistemi in modo che siano conformi per impostazione predefinita, non solo per spuntare una casella in un elenco di funzionalità.

Domande frequenti

Cinque domande che gli operatori alberghieri pongono più spesso in merito alla conservazione dei dati ai sensi del GDPR e al diritto alla cancellazione, con risposte basate su come ciò si concretizza in una struttura reale piuttosto che sul testo del regolamento.

FAQ

Domande frequenti

  • Per quanto tempo un hotel può conservare i dati degli ospiti ai sensi del GDPR?
    Il GDPR non stabilisce un periodo unico, e proprio questo è l’aspetto che frustra gli operatori alla ricerca di una regola precisa. Il regolamento prevede invece che i dati personali possano essere conservati solo per il tempo necessario allo scopo per cui sono stati raccolti, più l’eventuale periodo previsto da una legge specifica. In pratica, ciò significa che dati diversi hanno scadenze diverse. I dati relativi alle prenotazioni e alle fatture vengono solitamente conservati per la durata prevista dalle norme fiscali e contabili del proprio paese, in genere da 6 a 10 anni (10 in Germania e in Francia, circa 6 in gran parte dell’Europa, 7 in alcuni paesi). I dati di marketing vengono conservati solo finché rimane valido il consenso dell’ospite, quindi fino a quando non revoca l’iscrizione o diventa inattivo secondo la vostra politica dichiarata. Le note operative, le registrazioni delle telecamere a circuito chiuso e i registri di accesso dovrebbero avere una durata breve, spesso di giorni o settimane. L’approccio corretto non consiste nel chiedersi «per quanto tempo lo consente il GDPR» come cifra unica; consiste invece nel redigere un programma di conservazione che indichi ciascuna categoria di dati degli ospiti, la relativa base giuridica e il periodo specifico dopo il quale tali dati vengono cancellati, per poi applicare effettivamente tale programma. La violazione che preoccupa le autorità di controllo è quella di conservare tutto per sempre «per ogni evenienza», cosa che il principio di limitazione della conservazione vieta espressamente.
  • Se un ex ospite ci chiede di cancellare i propri dati, siamo sempre tenuti a farlo?
    No, e supporre di doverlo fare potrebbe comportare una violazione di altre leggi. Il diritto alla cancellazione (il “diritto all’oblio”) è forte ma non assoluto. È necessario cancellare i dati quando non sussiste più un motivo legittimo per conservarli, ad esempio i dati di marketing dopo la revoca del consenso. Tuttavia, è possibile, e talvolta necessario, rifiutare o rifiutare parzialmente la richiesta quando un altro obbligo legale impone di conservare dati specifici. L’esempio più chiaro è rappresentato dalla documentazione contabile: se la normativa fiscale impone di conservare la fattura relativa a un soggiorno per dieci anni, non è possibile cancellarla solo perché l’ospite lo richiede, e questo va spiegato all’ospite stesso. La risposta corretta a una richiesta di cancellazione non è quindi un sì o un no d’istinto; consiste nel cancellare tutto ciò per cui non sussiste più alcuna base giuridica per la conservazione, conservare solo i dati specifici che la legge impone di conservare (e solo per quel periodo), comunicare all’ospite cosa è stato cancellato e cosa è stato conservato e perché, e farlo entro un mese. Un generico «abbiamo cancellato tutto» può essere non conforme quanto ignorare la richiesta.
  • Dobbiamo cancellare i dati di un ospite anche dai nostri backup?
    Questa è la questione che mette in difficoltà la maggior parte degli hotel, e la posizione delle autorità di regolamentazione è pragmatica piuttosto che assoluta. Ci si aspetta che i dati vengano cancellati tempestivamente dai sistemi attivi e operativi, e che sia definito un processo affinché i dati vengano rimossi anche dai backup nel corso normale delle operazioni, in genere quando il backup diventa obsoleto e viene sovrascritto secondo il ciclo standard. In genere non ci si aspetta che apriate ogni nastro di backup storico per rimuovere con precisione i dati relativi a un singolo ospite lo stesso giorno. Ciò che dovete fare è duplice: garantire che i dati non vengano ripristinati in ambiente operativo da un backup dopo la cancellazione e disporre di una rotazione dei backup ragionevole e documentata, in modo che non conservino dati personali a tempo indeterminato. Un backup che non viene mai sovrascritto rappresenta di per sé un problema di limitazione dello spazio di archiviazione. Documentate la vostra politica di conservazione dei backup e il processo di esclusione dal ripristino, e potrete difendere il vostro approccio; se invece fate affidamento su backup conservati per sempre, non potrete farlo.
  • Utilizziamo Booking.com e un channel manager. A chi spetta il compito di cancellare i dati degli ospiti?
    Ciascuna parte è responsabile dei dati presenti nei propri sistemi, ed è un errore presumere che la cancellazione effettuata dall’OTA valga anche per i propri dati. Quando un ospite effettua una prenotazione tramite un’OTA, sia l’OTA che l’hotel agiscono in genere come titolari del trattamento per le rispettive copie dei dati. L’OTA gestisce la cancellazione all’interno della propria piattaforma; voi dovete gestirla all’interno della vostra, ovvero nel PMS, nel CRM, nel vostro strumento di posta elettronica, nei fogli di calcolo e in eventuali esportazioni. Il channel manager funge solitamente da tramite che inoltra la prenotazione al vostro PMS, quindi la copia permanente che richiede una politica di conservazione è quella che arriva nei vostri sistemi. In pratica, ciò significa che non puoi limitarti a indicare Booking.com e considerare la questione risolta. Hai bisogno di un tuo programma di conservazione e di un tuo processo di cancellazione per ogni copia dei dati degli ospiti che entra nel tuo ambiente, indipendentemente dal canale attraverso cui è arrivata. Significa anche verificare i termini di trattamento dei dati con ciascuna piattaforma, in modo da sapere chi è il titolare del trattamento e chi è il responsabile del trattamento per quali dati.
  • Ridurre al minimo i dati in nostro possesso è davvero più sicuro che conservarli a fini di marketing?
    Quasi sempre, sì, e questo è il cambiamento strategico che vale la pena attuare. Ogni categoria aggiuntiva di dati personali in vostro possesso, e ogni anno in più in cui li conservate, comporta un rischio maggiore in caso di violazione, un carico di lavoro maggiore da gestire in caso di richiesta di accesso o cancellazione, e ulteriori elementi su cui le autorità di controllo potrebbero sollevare dubbi, a fronte di una speranza spesso vaga di un futuro valore di marketing. La minimizzazione dei dati, ovvero raccogliere solo ciò che serve e cancellarli secondo un calendario prestabilito, è sia un principio del GDPR sia semplicemente una buona gestione del rischio. I dati che si giustificano, come il profilo di marketing per cui l’ospite ha dato il consenso, la cronologia fedeltà che utilizza attivamente, la fattura richiesta dalla normativa fiscale, hanno una chiara ragione d’essere. I dati che invece non lo hanno – la scansione del passaporto che non avete mai cancellato, il decennio di indirizzi e-mail inattivi, i numeri di carta di credito in un vecchio foglio di calcolo – sono pura responsabilità. Le strutture ricettive che gestiscono bene il GDPR non sono quelle con i database più grandi; sono quelle che conservano il minor numero di dati per il minor tempo giustificabile e sono in grado di dimostrarlo. Meno dati significano meno rischi, e i pagamenti tokenizzati, insieme a un vero e proprio programma di conservazione dei dati, ti consentono di raggiungere gran parte di questo obiettivo.
Continua a leggere

Prova Prostay

Gestisci il tuo hotel sulla piattaforma di cui scriviamo.

Porta i tuoi dati e le abitudini del tuo team. Ti mostreremo una configurazione Prostay equivalente sui tuoi ultimi 30 giorni.

Richiedi una demoScopri il PMS

A proposito di questo articolo

Categoria: Hotel Technology & Innovation. Pubblicato il 21 giu 2026 da Mika Takahashi.