Cosa dice il Garante Privacy sulla conservazione dei documenti negli hotel

I fatti

Tra giugno e luglio 2025, il gruppo criminale Mydocs ha sottratto oltre 70.000 scansioni ad alta risoluzione di documenti d'identità (passaporti e carte d'identità) dai server di almeno quattro hotel italiani. I documenti sono stati messi in vendita sul dark web con prezzi tra 800 e 10.000 euro.

L'allarme è stato lanciato dal CERT-AgID (l'ente dell'Agenzia per l'Italia Digitale che monitora le minacce informatiche a livello nazionale).

L'intervento del Garante

Il Garante ha avviato verifiche e ha diramato raccomandazioni urgenti. In particolare ha sollecitato tutti gli operatori del settore ad avvalersi delle modalità sicure di trattamento dei dati mediante l'utilizzo del portale Alloggiati Web, allocato presso l'infrastruttura informatica della Polizia di Stato.

Ha inoltre richiesto alle strutture colpite di notificare la violazione (come previsto dal GDPR) e di informare tempestivamente gli ospiti coinvolti.

Il principio di minimizzazione (GDPR art. 5)

Il GDPR stabilisce che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui vengono trattati. Conservare copie di documenti d'identità degli ospiti quando l'obbligo di legge richiede solo la trasmissione dei dati alla Questura viola questo principio.

Cosa devono fare gli hotel

• Verificare l'identità degli ospiti al check-in con un documento valido.
• Raccogliere solo i dati necessari per la schedina alloggiati.
• Trasmetterli alla Questura tramite il Portale Alloggiati Web.
• Non conservare copie (cartacee o digitali) dei documenti.
• Conservare le ricevute di invio per 5 anni.
• In caso di data breach, notificare il Garante entro 72 ore e informare gli interessati.