Alla luce del Regolamento UE 2016/679 (di seguito anche solo “Regolamento” o “GDPR”), che ha cambiato le carte in tavola per tutti i titolari dei trattamenti, anche le agenzie immobiliari devono seguire un preciso percorso di adeguamento alla normativa privacy.
Indice degli argomenti
La privacy nelle agenzie immobiliari: i punti fermi
Oggi il Regolamento parla di accountability e di documentazione delle scelte operate. Il titolare può proteggere come crede i dati che tratta: l’importante è che i rischi vengano abbattuti e che, a richiesta, possa documentare di aver testato le misure adottate, la loro efficacia e la loro coerenza con lo stato dell’arte.
Un’agenzia immobiliare dovrà partire da alcuni punti fermi per avviare un adeguato percorso di compliance.
Per prima cosa è sbagliato partire da “cosa non è obbligatorio e cosa è obbligatorio”.
Ho letto su Internet alcuni articoli che sollecitano le agenzie a non fare questo o non fare quello perché non rientrano tra i soggetti obbligati. Questo è, in partenza, un errore.
L’agenzia deve preoccuparsi di mettere in piedi un processo virtuoso di cui proviamo a delineare alcuni dei passaggi fondamentali:
La privacy nelle agenzie immobiliari: il censimento e il registro
Occorre innanzitutto censire i trattamenti, a prescindere da cosa dice l’articolo 30 del GDPR in merito all’obbligatorietà del registro dei trattamenti.
Il censimento deve rilevare il trattamento, le sue finalità, il ruolo dell’agenzia (titolare o responsabile), i dati trattati, gli interessati ai quali i dati si riferiscono, la base legale, i fornitori che supportano il titolare, i flussi extra UE, le applicazioni utilizzate per eseguire il trattamento, la necessità o meno di un’informativa specifica, la presenza di misure di sicurezza e molti altri campi.
L’opportunità di fare un censimento dei trattamenti (di cui il registro è, in effetti, un’estrazione) è di gran lunga superiore all’utilità di trovare un cavillo (o un buon presupposto normativo) per non farlo. A maggior ragione è utile tenere un registro dei trattamenti dopo che più di un’Autorità indipendente ne ha auspicato la redazione anche per le categorie e i titolari non tenuti alla redazione dalla lettura letterale del GDPR (si vedano, ad esempio, le “FAQ sul registro delle attività di trattamento” rese disponibili l’8 ottobre 2018).
Predisporre un registro non è strettamente necessario ma redigerlo è una banalità una volta che è stato condotto un buon censimento dei trattamenti.
Tra i molti elementi del censimento, se ne evidenziano due sui quali i titolari incontrano non poche difficoltà. Analizziamoli nel dettaglio.
La base legale del trattamento
Non indulgete sul “consenso-centrismo”. Il consenso è sopravvalutato, la maggior parte dei trattamenti hanno altre basi legali. Prima tra tutte quella rappresentata dalla previsione dell’articolo 6, par. 1, lett. b), ovvero il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Come va letta questa base legale? Se l’agenzia riceve una richiesta da un interessato, assolvere a quella richiesta rientra a pieno titolo in questa condizione di liceità.
Attenzione, però, perché il principio di finalità è sempre in agguato e se si riceve una richiesta dall’interessato e si utilizzano i dati ad essa riferiti per altre finalità, si verifica un trattamento di dati personali in violazione del citato principio (se invece si chiariscono le diverse finalità e le diverse condizioni di liceità, sarà possibile condurre trattamenti diversi sui dati resi disponibili dall’interessato).
Altra condizione di liceità del trattamento è data dall’assolvimento di un obbligo di legge (articolo 6, par. 1, lett. c), GDPR). Non occorre avere il consenso dell’interessato per assolvere a un obbligo di legge cui è soggetto il titolare del trattamento.
Si tenga presente che un consenso estorto non è un consenso validamente prestato.
Nel censimento dei trattamenti, per ogni trattamento, occorre annotare la relativa base legale.
La data retention
Individuare il periodo di conservazione dei dati personali trattati. Non dimentichiamo che il trattamento dei dati deve rispettare i principi di cui agli articoli 5 e 25 del GDPR. Identificare il tempo di conservazione dei dati non è semplice e anche quando si ha un’idea di quale sia questo “tempo” non è detto che si abbiano gli strumenti per cancellare il dato con precisione dopo l’arco temporale determinato e ricordarsi di farlo ogniqualvolta un set di dati maturi un certo periodo di conservazione. In ogni caso occorre documentare il perché è stato individuato un determinato periodo di conservazione.
Si tenga presente che i sistemi informatici sono stati concepiti per conservare le informazioni non per cancellarle. Dunque la compliance al GDPR comporterà una graduale (ma neanche troppo) riprogettazione dei sistemi in modo che mettano il titolare del trattamento in grado di soddisfare il requisito della cancellazione decorso un certo periodo dalla raccolta dello stesso.
La privacy nelle agenzie immobiliari: la documentazione
Verificare la correttezza delle informative. Visitando siti di agenzie immobiliari mi sono accorto che spesso si fa confusione tra la Privacy Policy del sito (informazioni sul trattamento rese a coloro che navigano sul sito) e le informazioni sul trattamento dei dati personali che riguardano trattamenti che non afferiscono al sito stesso.
Altre agenzie, invece, in modo più virtuoso hanno distinto le informazioni a seconda che si tratti di valutazioni di immobili, raccolta di dati per proporre immobili e altri trattamenti.
“Documentazione” è anche la parola d’ordine per quando si conducono scelte in relazione a taluni adempimenti.
Ad esempio, se si sceglie di non nominare il responsabile della protezione dei dati (RPD/DPO) è opportuno predisporre e conservare un documento in cui se ne spiegano le ragioni (meglio, anche se non strettamente indispensabile, se si tratta di un parere legale).
Documentare di aver messo alla prova le misure adottate a protezione dei dati trattati è altrettanto funzionale alla dimostrazione di un’attività effettiva di compliance.
La privacy nelle agenzie immobiliari: gli autorizzati
Le agenzie devono poi verificare di aver adeguatamente autorizzato i soggetti che trattano dati personali.
Gli autorizzati dovranno essere adeguatamente formati e istruiti.
In particolare le istruzioni non dovranno essere astratte e inutili ma pratiche e supportate da adeguati strumenti, se necessario.
Ad esempio occorre:
- dissuadere dalla creazione di copie dei file contenenti dati personali e di fotocopie di fogli che contengono dati personali ma anche dotare l’ufficio di idonee modalità di distruzione (i fantomatici distruggi documenti di cui spesso si parla ma che rarissimamente vengono acquistati e men che meno utilizzati);
- dotare i PC (a maggior ragione i portatili) di strumenti come bitlocker, al fine di rendere illeggibili gli hard disk in caso di furto o smarrimento;
- non impartire istruzioni sull’uso dei computer a soggetti che non di spongono di PC e, ad esempio, fanno solo appuntamenti presso gli immobili;
- predisporre degli script che prevedano la lettura dei riferimenti alla normativa in materia di protezione dei dati da parte di chi fa uso del telefono per contattare le persone (call center, segreteria ecc.);
- pianificare e realizzare verifiche periodiche e non “di facciata” sulle misure adottate.
Chiaramente queste sono solo alcune misure ma già danno l’idea che non sia stata data del GDPR un’applicazione vuota o scopiazzata.
La privacy nelle agenzie immobiliari: i terzi
Attivarsi per gestire i rapporti con i terzi nel modo più aderente possibile a quanto richiesto dal GDPR. I terzi ricoprono i ruoli più disparati: notai, uffici pubblici, altre agenzie immobiliari, fornitori IT, cloud provider.
I terzi vanno tutti mappati, sia quelli che trattano i dati personali che quelli che non li trattano perché se si censissero solo quelli che trattano dati personali ci sarebbe sempre il rischio di non saper argomentare la posizione di un terzo che non sia stato censito (ad esempio perché non ci si ricorda di averne già analizzato la posizione).
La privacy nelle agenzie immobiliari: le procedure
In ultima analisi, è necessario predisporre alcuni semplici meccanismi per gestire le richieste dell’interessato e la notifica delle violazioni.
- Gestire i diritti dell’interessato. In caso di richiesta dell’interessato bisogna annotarsi il contenuto, data e ora della richiesta. In seguito, assumere le informazioni per dare riscontro (entro 30 giorni) e contattare l’interessato per iscritto in modo da documentare l’avvenuto riscontro. Se del caso avvalersi, nella predisposizione della risposta, del Responsabile della Protezione dei Dati (se nominato), del consulente esterno o di altra risorsa competente.
- Gestire le violazioni dei dati personali. La violazione dei dati personali non è solo un incidente informatico ma può essere causata dallo smarrimento di materiale cartaceo o dalla sottrazione di una rubrica/elenco di clienti con indirizzi di residenza e recapiti. Occorre istruire adeguatamente il personale affinché segnali tempestivamente questo tipo di violazioni e sia in grado di ponderarne la portata al fine di procedere nel termine di 72 ore alla notificazione al Garante, laddove ne sussistano i presupposti.
Conclusioni
È vero che non occorre condurre un’attività particolarmente complessa per adeguarsi al GDPR, inutile seguire gli allarmisti ma anche inutile seguire chi ha un approccio semplicistico e supportato non dall’esperienza ma dall’ignoranza.
Gli adempimenti sono pochi ma devono essere concreti, se qualcuno inizia un’attività consulenziale (sia esso interno o esterno) predisponendo le informative (a meno che questo non sia dettato da una qualche contingenza) vuol dire che non sa che l’informativa, come il registro, è un output dell’attività di compliance, non ne è pilastro/fondamento.
Ricordarsi, infine, la differenza tra “censimento”, inteso come raccolta di molteplici informazioni finalizzata a descrivere meglio possibile i trattamenti, e “registro” come insieme dei campi dettati dall’articolo 30 del GDPR.
