Il Garante Privacy a hotel e B&B: no alle copie dei documenti

Una nota ufficiale inviata alle associazioni di categoria chiarisce i limiti di una pratica diffusissima. E ricorda che l’obbligo di identificazione non è una licenza a conservare dati.

C’è una distinzione che molte strutture ricettive italiane continuano a ignorare: quella tra raccogliere un’informazione e tenerla. Il Garante Privacy è tornato a tracciarla con precisione, in una nota indirizzata alle associazioni di categoria del settore, dopo un aumento preoccupante di segnalazioni e data breach negli ultimi mesi.

Il punto è questo: la normativa impone ai gestori di hotel, B&B e affittacamere di identificare gli ospiti e trasmettere i dati alle autorità di pubblica sicurezza tramite il portale Alloggiati Web. Fin qui, tutto lecito. Il problema nasce quando quell’adempimento diventa pretesto per conservare ciò che non si dovrebbe: fotografie dei documenti scattate con lo smartphone, immagini inviate via WhatsApp prima del check-in, file archiviati su dispositivi personali o cloud aziendali.

Nulla di tutto questo è consentito.

Cosa dice il Garante?

Una volta completata la trasmissione ad Alloggiati Web, qualsiasi copia del documento d’identità deve essere cancellata o distrutta immediatamente. L’unico elemento che il titolare del trattamento può (anzi, deve) conservare è la ricevuta automatica prodotta dal portale, da tenere per cinque anni come prova dell’adempimento.

Non si tratta di una novità normativa, ma di un chiarimento su norme già vigenti. Il Garante interviene perché nella pratica quotidiana di molte strutture, soprattutto piccole, questa distinzione non viene applicata. Ma le conseguenze di questa superficialità possono essere serie: un account di messaggistica compromesso, uno smartphone smarrito, una cartella cloud con accessi non protetti bastano per trasformare una foto del passaporto in un caso di furto d’identità.

Quando il rischio diventa realtà: l’estate 2025

Non serve immaginare scenari ipotetici. Nell’estate 2025 è successo davvero, e su una scala difficile da ignorare.

Tra giugno e luglio, un gruppo criminale noto online come “mydocs” ha violato i sistemi informatici di diverse strutture ricettive italiane tra cui hotel di lusso a Venezia, Ischia e Trieste, sottraendo scansioni digitali ad alta risoluzione di passaporti e carte d’identità degli ospiti. Quei documenti sono poi ricomparsi in vendita su forum del dark web, a pacchetti. Il CERT-AGID, la struttura dell’Agenzia per l’Italia Digitale che monitora le minacce informatiche, ha lanciato l’allerta pubblica ad agosto: al momento della segnalazione, i documenti trafugati superavano già le 70.000 unità. Nelle settimane successive, il numero è salito ulteriormente, con nuove strutture coinvolte.

I criminali hanno sfruttato il punto più debole della catena: i file con le scansioni dei documenti, conservati nei sistemi degli hotel molto oltre il tempo necessario, spesso con misure di protezione inadeguate. Dati che non avrebbero dovuto esistere, e che invece erano lì, accessibili, esfiltrabili e monetizzabili.

Gli obblighi che molti sottovalutano

La nota non si limita al divieto di conservazione. Ricorda anche che i titolari del trattamento, i gestori quindi, hanno responsabilità più ampie: devono adottare misure di sicurezza proporzionate ai rischi, formare adeguatamente il personale che gestisce i dati e, in caso di violazione, notificare il Garante entro 72 ore. Nei casi più gravi, sono tenuti a informare direttamente anche gli interessati. Quest’ultimo punto viene spesso sottovalutato. Le strutture ricettive non sono aziende tech, ma trattano ogni anno dati personali di milioni di persone e questo le espone agli stessi obblighi che si applicano a qualsiasi altro titolare del trattamento sotto il GDPR.

Perché questo riguarda anche chi non gestisce un hotel

La vicenda del settore ricettivo è un caso esemplare di un problema più generale: la distanza tra ciò che la norma prescrive e ciò che accade nella realtà operativa delle organizzazioni. Molte aziende raccolgono dati per una finalità specifica, poi li conservano per inerzia, per abitudine, o perché “non si sa mai”. È esattamente questo il tipo di esposizione che una corretta governance dei dati personali serve a prevenire prima che arrivi una segnalazione, o peggio, una violazione.

Fonte: nota del Garante per la protezione dei dati personali alle associazioni di categoria del settore ricettivo.

Queste e altre news sul sito di invictus aziende consulenze privacy.