Le agenzie immobiliari e la normativa privacy nel rispetto del regolamento GDPR.
Se stai leggendo questo articolo sicuramente sai che le agenzie immobiliari trattano dati personali dei propri clienti a più riprese e con le più svariate sfaccettature, ed è per questo che devono rispettare la normativa sulla privacy!
Ma vi è di più! L'esigenza di tutela della riservatezza vale anche nei confronti dell’agente immobiliare. Infatti, di recente, i Senatori della X Commissione tramite specifica proposta emendativa al Ddl concorrenza, hanno accolto le proposte della Federazione Italiana Agenti immobiliari Professionali, volte ad eliminare dall’atto notarile la dichiarazione pubblica dell’ammontare della provvigione, prevedendo, in sostituzione, esclusivamente l’indicazione del numero della fattura omettendo di fatto l’importo.
Ma chi interviene all’interno del sistema privacy della propria agenzia immobiliare? Possiamo individuare: Le figure privacy nell’ agenzia immobiliare
Il titolare del trattamento, che è l’agenzia immobiliare nella persona (fisica) del titolare;
Il responsabile del trattamento, ovvero colui che lavora per conto del titolare del trattamento, come ad esempio un procacciatore d’affari a partita Iva o un agente immobiliare diverso dal titolare.
In questo caso il trattamento sarà vincolato all’incarico affidato, e unica finalità perseguita deve essere quella commissionata.
Gli autorizzati, cioè i dipendenti o collaboratori dell’agenzia, che hanno ricevuto formazione specifica in materia di trattamento dei dati da parte del titolare.
Gli adempimenti da parte del titolare del trattamento
Liceità e obbligo di informativa
Uno dei requisiti principali per capire se si sta trattando correttamente un dato, è quello della liceità: un trattamento è lecito solo ed esclusivamente se si ha un motivo lecito per trattarlo. Inoltre, il titolare dovrà fornire l’informativa sul trattamento dei dati personali agli interessati e raccogliere il consenso solo nei casi in cui esso è necessario, ad esempio:
- marketing:
un cliente che ha firmato un incarico di vendita di un immobile ad un agente immobiliare, non potrà essere nuovamente contattato ai fini di marketing per la proposta di altro investimento;
- diffusione di immagini su sito web:
per la pubblicazione di fotografie di un immobile in un annuncio di vendita o locazione su un portale immobiliare da parte di un’agenzia, è richiesto il consenso espresso al trattamento dei dati del mandante;
- profilazione:
nel caso di raccolta di dati di potenziali clienti sui social network, è possibile contattarli solo nel caso in cui essi abbiano fornito consenso espresso.
I trattamenti in ambito dell’agenzia immobiliare, hanno altre basi legali?
Sì.
Una di queste è prevista dall'art.6, par.1 lett.b) GDPR, in cui è stabilito che il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Altra condizione di liceità del trattamento è data dall’assolvimento di un obbligo di legge (articolo 6, par. 1, lett. c), GDPR). Dunque, non occorre avere il consenso dell’interessato per adempiere ad un obbligo di legge cui è soggetto il titolare del trattamento.
La figura del Responsabile della protezione dei dati (DPO)
Per le agenzie immobiliari, seppur titolari di trattamenti di dati per i quali non è previsto l’obbligo di nomina, è consigliabile rivolgersi a un DPO per essere coadiuvati nella verifica sulle modalità di trattamento dei dati. Inoltre, sarà necessario nominare il DPO in presenza di situazioni complesse quali il franchising o i gruppi societari.
Analisi del rischio
L’art. 35 GDPR prevede che il titolare del trattamento dei dati personali debba in via preliminare verificare se occorre effettuare il Data Protection Impact Assessment (DPIA), ossia una valutazione generale dei rischi per i trattamenti in oggetto. A seguito di ciò, sulla base dei risultati ottenuti di tale analisi, sarà necessario definire le misure per ridurre i rischi.
Le agenzie immobiliari devono tenere un registro dei trattamenti?
L’articolo 30 del regolamento prevede l’obbligo di tenuta del registro per le sole aziende che hanno un numero di dipendenti superiore a 250. Tuttavia, sarebbe opportuno che anche le aziende di piccole dimensioni ne adottassero uno.
Infatti, più di un’Autorità indipendente ne ha auspicato la redazione anche per le categorie e i titolari non tenuti alla redazione dalla lettura letterale del GDPR (si vedano, ad esempio, le “FAQ sul registro delle attività di trattamento” rese disponibili l’8 ottobre 2018).
Obbligo di misure di sicurezza adeguate
Il Titolare dovrà far sì che il trattamento avvenga osservando misure di sicurezza adeguate e tecniche apposite, relativamente: agli interessati, ai clienti ed ai dipendenti. Le misure di sicurezza (art. 32 e seguenti della normativa) comprendono la riservatezza, l’integrità e la disponibilità dei dati su base permanente, oltre il ripristino in caso di loro perdita. Ciò vale sia per i portali internet che per le agenzie “fisiche”.
Esercizio dei diritti dei clienti
In caso di richiesta dell’interessato, occorre annotare il contenuto, data e ora della stessa. In seguito, assumere le relative informazioni per riscontro (entro 30 giorni) e contattare per iscritto l’interessato al fine di documentare il tutto . Se del caso avvalersi, nella predisposizione della risposta, del Responsabile della Protezione dei Dati (se nominato), del consulente esterno o di altra risorsa competente.
Il GDPR ha introdotto alcuni diritti fondamentali per gli interessati:
art.15 “diritto di accesso ai propri dati”
art.16 “diritto di opposizione”
art.17 “diritto all’oblio”
art.18 diritto alla limitazione del trattamento
art.20 diritto alla portabilità dei dati”
Cosa fare in caso di violazioni dei dati e le sanzioni
La violazione dei dati personali non è solo un incidente informatico ma può riguardare lo smarrimento di materiale cartaceo o la sottrazione di una rubrica/elenco di clienti con indirizzi di residenza e recapiti. Per queste ragioni, è necessario istruire adeguatamente il personale affinché segnali tempestivamente questo tipo di violazioni e sia in grado di ponderarne la portata al fine di procedere nel termine di 72 ore alla notificazione al Garante, laddove ne sussistano i presupposti.
Le sanzioni previste in caso di mancato rispetto delle normative sul GDPR e di trattamenti illeciti possono essere molto alte, fino a sfociare in provvedimenti di natura penale che prevedono anche la reclusione.
