Il Garante per la protezione dei dati personali, attraverso un comunicato stampa del 13 agosto, ha annunciato l’avvio di un’indagine in seguito a segnalazioni di significative violazioni dei sistemi informatici di alcune strutture ricettive italiane. Questo evento ha comportato il furto di migliaia di scansioni ad alta risoluzione di documenti di identità, quali passaporti e carte d’identità, utilizzati dai clienti durante il check-in.
Secondo quanto riportato nel comunicato ufficiale del Garante, alcune strutture hanno tempestivamente informato le autorità sulla violazione, attivando le necessarie misure protettive previste dalla normativa vigente. Tuttavia, altre non hanno ancora comunicato l’accaduto. Il Garante ha esortato le strutture coinvolte a segnalare immediatamente ogni anomalia, per attivare iniziative urgenti a tutela della riservatezza dei dati personali. Il furto di documenti di riconoscimento rappresenta una minaccia concreta per la sicurezza dei dati e per l’identità degli interessati, ed è stato suggerito ai cittadini di contattare le strutture alberghiere presso cui hanno soggiornato in caso di sospetti utilizzi illeciti dei propri documenti di identità.
2. Normativa violata e obblighi delle strutture ricettive
Il quadro normativo di riferimento è il Regolamento (UE) 2016/679 (GDPR), il quale disciplina la gestione dei data breach. Nel caso in esame, risultano potenzialmente violate le seguenti norme:
- Art. 32 GDPR, Sicurezza del trattamento: obbligo di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio.
- Art. 33 GDPR, Notifica di una violazione all’autorità di controllo: l’obbligo di notificare entro 72 ore.
- Art. 34 GDPR, Comunicazione della violazione agli interessati: obbligo di informare i soggetti implicati in caso di rischi elevati per i loro diritti e libertà.
Il mancato rispetto di tali obblighi può comportare sanzioni amministrative elevate, fino a 10 milioni di euro o al 2% del fatturato annuo globale, secondo quanto stabilito dall’art. 83 del GDPR.
3. Responsabilità e buone pratiche
Il Garante ha esortato gli operatori del settore turistico ad adottare modalità sicure per il trattamento dei dati, come il portale “Alloggiati Web” gestito dalla Polizia di Stato. Questo sistema, previsto dalla normativa italiana per la comunicazione dei dati, offre un’infrastruttura adeguata rispetto a soluzioni locali non protette. L’evento evidenzia l’importanza di una corretta gestione dei dati personali anche in ambiti percepiti come “non tecnologici”, come quello alberghiero. Le strutture ricettive hanno l’obbligo di garantire la sicurezza fisica e digitale degli ospiti, adottando misure preventive e reattive in caso di incidenti.
4. Fenomeno sempre più frequente
L’intervento del Garante è un richiamo alla responsabilità per l’intero settore che spesso non presta sufficiente attenzione alla cybersecurity. La protezione dei dati personali non è solo un obbligo giuridico, ma rappresenta un elemento fondamentale per la fiducia dei clienti e la reputazione delle strutture stesse. In un contesto caratterizzato da un costante aumento dei furti d’identità e delle frodi digitali, la vigilanza e la compliance al GDPR diventano imprescindibili per garantire la sicurezza e la legalità del trattamento dei dati.
