Data breach e sottrazione dei documenti di identità nelle strutture ricettive: fotocopiare i documenti viola il principio di minimizzazione

Data Protection

Durante le vacanze di agosto, un importante attacco informatico alle strutture ricettive italiane ha coinvolto il Computer Emergency Response Team italiano per la Pubblica Amministrazione dell’Agenzia per l’Italia Digitale (AGID) e il Garante per la protezione dei dati personali.

L’attacco avrebbe portato alla sottrazione di migliaia di scansioni ad alta risoluzione di documenti di identità (passaporti, carte d’identità), acquisite al check-in e poi rivendute illegalmente sul dark web.

Il Garante ha comunicato di aver ricevuto notifiche da alcune strutture e ha ricordato l’obbligo, per chi non lo avesse ancora fatto, di segnalare tempestivamente il data breach e informare i clienti coinvolti. Ha inoltre sollecitato l’utilizzo del portale “Alloggiati web” della Polizia di Stato per il trattamento sicuro dei dati.

Il data breach espone gli interessati a gravi rischi: furto d’identità, truffe, attacchi di social engineering, oltre a danni reputazionali per gli operatori coinvolti.

Tuttavia, la violazione poteva essere evitata. La pratica – ancora diffusa – di fotocopiare o scansionare i documenti di identità al check-in contrasta con il principio di minimizzazione del GDPR (Art. 5) e non è prevista dalla normativa vigente (Art. 109, co. 3 T.U.L.P.S. e D.M. 7 gennaio 2013, come modificato nel 2021).

La normativa prevede l’identificazione dell’ospite, anche registrando gli estremi del documento, ma non l’obbligo di conservarne copia né la legittimità di conservarla per un periodo non determinato. Una semplice verifica visiva del documento – in linea con l’identificazione de visu prevista dalla circolare del Ministero dell’Interno del 18 novembre 2024 – accompagnata dalla registrazione degli estremi e da un’informativa privacy (Art. 13-14 GDPR) è sufficiente a garantire la conformità.

Anche l’Autorità spagnola ha confermato che l’identificazione può avvenire tramite modulo compilato al check-in, senza necessità di trattenere copia del documento.

Il team Data & Technology Innovation di LEXIA è a disposizione per assistere le strutture ricettive nell’adeguamento alla normativa privacy, offrendo supporto legale, operativo e formativo su misura.

Il modello “Pay or OK” non passa il vaglio dell’Autorità privacy austriaca e dei Giudici austriaci

Data Protection

La corte amministrativa federale austriaca (BVwG), rigettando il ricorso della testata giornalistica austriaca “DerStandard” avverso la decisione del 2023 proveniente dall’Autorità per la protezione dei dati personali austriaca (DSB), ha confermato la decisione del DSB secondo cui il “DerStandard” non aveva ottenuto dagli utenti un consenso valido e granulare rispetto ai singoli strumenti di tracciamento implementati sul proprio sito, propendo solamente un modello di consenso o rifiuto globale degli stessi.

l caso ruota attorno al meccanismo cosiddetto “Pay or OK”, secondo cui agli utenti veniva proposto di scegliere tra il pagamento di un abbonamento mensile (9,90 euro) o l’accettazione del tracciamento da parte di numerose terze parti, per accedere ai contenuti del sito. Il consenso offerto, tuttavia, era unico e globale, senza possibilità di selezionare le singole finalità o tecnologie.

Secondo i giudici, tale modello non garantisce un consenso libero, specifico e informato, come richiesto dall’articolo 7 del GDPR, poiché condiziona l’accesso al servizio a una rinuncia totale al proprio diritto alla protezione dei dati. È probabile che la questione venga ora sottoposta alla Corte suprema austriaca, con un potenziale rinvio alla Corte di Giustizia dell’Unione Europea, che potrebbe fornire una lettura definitiva della compatibilità di questi modelli con il diritto europeo.

Oltre al profilo tecnico del consenso, la vicenda solleva un tema più ampio: fino a che punto è legittimo “monetizzare” i dati personali dell’utente in cambio dell’accesso a un contenuto o servizio online? In un contesto in cui il diritto alla protezione dei dati è un diritto fondamentale, la possibilità di “cederlo” rischia di creare una disparità tra chi può pagare per la propria privacy e chi no, con implicazioni anche etiche e sociali.

La questione non riguarda solo l’Austria: anche Garante italiano in data 29 aprile 2025 ha avviato una consultazione pubblica sul modello “Pay or OK” ai fini di valutare la sua compatibilità con il GDPR e di cui si attendono da molto tempo gli esiti.

Il team Data & Technology Innovation di LEXIA è a disposizione per assistere organizzazioni e imprese nell’adeguamento al GDPR e alla normativa sulla protezione dei dati personali, offrendo supporto consulenziale su misura, assistenza operativa e programmi formativi specifici.

San Marino approva la prima legge organica sugli eSports: un modello anche per l’Italia?

e-Sport

Il 29 agosto 2025 la Repubblica di San Marino ha approvato la prima legge organica sugli eSports in Europa, trasformando in norma il Codice eSports adottato nel 2023. Il testo, articolato in 86 articoli, regola in modo sistematico e innovativo l’intero ecosistema degli sport elettronici: team, giocatori, allenatori, caster e altri operatori professionali.

Tra gli aspetti più rilevanti, la legge introduce permessi di soggiorno specifici per operatori del settore, un sistema di giustizia sportiva dedicata, e regole dettagliate su contratti di lavoro, tutela della proprietà intellettuale, diritti d’immagine e protezione dei minori; sono inoltre previsti incentivi fiscali e la promozione di infrastrutture dedicate come sale LAN e spazi per eventi competitivi.

La Commissione eSport, nuovo organo istituzionale, vigilerà sull’attuazione della legge, garantendo trasparenza e standard professionali elevati: l’obiettivo, dichiarato dalle autorità sammarinesi, è fare del Paese un hub europeo per investimenti, talenti e imprese nel settore digitale e videoludico.

Il modello sammarinese offre uno spunto concreto per l’Italia, che ad oggi non dispone di una normativa organica sugli eSports. Una regolamentazione strutturata – sul modello adottato da San Marino – potrebbe rappresentare un’opportunità per valorizzare il ruolo professionale dei player, regolamentare gli aspetti fiscali e contrattuali, e rafforzare le tutele per minori e utenti.

Il contesto internazionale va nella stessa direzione: basti pensare all’annuncio delle prime Olimpiadi degli eSports riconosciute dal CIO, previste per il 2027 a Riyadh. In questo scenario, una legge nazionale potrebbe rendere il sistema italiano più attrattivo per operatori esteri, investitori e startup del gaming.

In sintesi, la normativa sammarinese segna un importante precedente europeo, dimostrando che è possibile combinare innovazione normativa, attrattività economica e tutela dei diritti in un settore ad alto potenziale di crescita.

Il team Data & Technology Innovation di LEXIA vanta una riconosciuta esperienza nel settore legale degli eSports, con una posizione consolidata come punto di riferimento per gli operatori del comparto: affianchiamo regolarmente i principali player del mercato nella definizione di modelli contrattuali, assetti di governance, compliance regolatoria e strategie di sviluppo, in Italia e a livello internazionale.

Data Act: dal 12 settembre si apre l’era europea della condivisione dei dati

Data Strategy & Compliance

Manca ormai poco: il Data Act (Regolamento UE 2023/2854) diventerà pienamente applicabile a partire dal 12 settembre 2025. Questa normativa rappresenta un tassello fondamentale della strategia europea per il mercato unico dei dati, integrandosi con il Data Governance Act per offrire un quadro chiaro sul diritto di accesso e utilizzo dei dati generati da dispositivi connessi (IoT).

Nel concreto, il Data Act introduce una serie di novità rilevanti destinate ad avere un impatto diretto su imprese, fornitori di servizi digitali e utenti finali. Innanzitutto, viene sancito il diritto di accesso e condivisione dei dati generati da dispositivi connessi (IoT): cittadini e aziende potranno ottenere i dati d’uso dei dispositivi che utilizzano e condividerli con soggetti terzi di loro scelta, promuovendo così una maggiore apertura nell’ecosistema dei dati.

Una seconda area chiave riguarda i contratti di condivisione dei dati in ambito B2B. Il regolamento introduce il principio di equità contrattuale secondo i criteri FRAND (fair, reasonable and non-discriminatory), vietando l’inserimento di clausole sleali o sbilanciate a favore di una sola parte. Dal settembre 2027, queste tutele si applicheranno anche ai contratti a lungo termine già in essere.

Sul versante infrastrutturale, il Data Act impone obblighi chiari in tema di portabilità e switching dei servizi cloud: i fornitori dovranno garantire agli utenti la possibilità di cambiare provider in modo semplice, senza ostacoli tecnici o commerciali, in un’ottica di maggiore interoperabilità e libertà di scelta.

Non meno rilevante è l’attenzione alla protezione dei dati non personali: il regolamento introduce strumenti per impedire accessi indebiti da parte di autorità di Paesi terzi, rafforzando così le garanzie legate alla sovranità digitale e alla gestione extraterritoriale dei dati.

Infine, ciascuno Stato membro sarà tenuto a individuare le autorità competenti per vigilare sull’applicazione del regolamento e a definire un sistema sanzionatorio che sia efficace, proporzionato e dissuasivo, contribuendo così a un’applicazione uniforme e credibile delle nuove regole su scala europea.

Stiamo parlando di una normativa che impatta trasversalmente settori e business models, trasformando il dato – soprattutto IoT – da risorsa esclusiva a bene condivisibile. Si tratta, quindi, non solo di adeguamento normativo, ma di un’opportunità per:

• dimostrare trasparenza e correttezza contrattuale (FRAND);
• innovare tramite accesso ai dati e interoperabilità;
• rafforzare la propria reputazione in un mercato sempre più attento alla protezione dei dati.