G.D.P.R. per le Agenzie Immobiliari (e non solo)

In tanti spesso ci chiamate per chiedere informazioni sul GDPR UE 679/2016, altrimenti detto anche Regolamento Europeo sulla Privacy.

Come sapete, la privacy non è di nostra diretta competenza sebbene anche noi come azienda ne siamo investiti, esattamente come le agenzie immobiliari.

Grazie all’aiuto e alla consulenza con i professionisti di questa complessa materia, in questo articolo vi daremo delle informazioni di base che vi aiutino a comprendere meglio questo argomento e proveremo a rispondere alle domande che più comunemente ci vengono poste:

” Chi mi può fornire l’informativa privacy? ”
“ Chi è il responsabile al trattamento? ”
“ Chi è il titolare al trattamento? “
“ Posso fare copia-incolla della privacy di un’altra agenzia? “

Partiamo dalle basi:

Il GDPR è una vera e propria riforma della protezione dei dati con l'obiettivo di rafforzare i diritti delle persone.

Il GDPR o Regolamento generale sulla protezione dei dati è il regolamento europeo che inquadra i diritti e gli obblighi delle aziende in termini di raccolta e trattamento dei dati personali dei cittadini.

Iniziamo col dire che il GDPR non è “un'etichetta o una cortesia”, è un obbligo legale a cui devono attenersi tutte le aziende che svolgono attività che richiedono la raccolta di dati in Europa (comprese le agenzie immobiliari). 

Anche se sono passati più di 3 anni dalla sua promulgazione (25 Maggio 2018), può, ancora oggi, essere difficile capire come essere in conformità con la legge. 

In questo breve articolo cercheremo di fare un po' di chiarezza, anche se la materia è molto complicata, soprattutto perché riguarda un gran numero di aziende (in tutti i settori) e si rivolge anche a quei professionisti che non sono necessariamente abituati alle questioni legali.

Dobbiamo sempre tenere a mente che la legge mira a proteggere i dati personali degli individui e, in particolare, l'uso che viene fatto di questi dati da parte delle aziende.

Cos'è il trattamento dei dati?

Ai fini del GDPR, i dati personali si riferiscono a una "persona fisica identificata o identificabile". Più chiaramente, una persona è identificabile se può essere associata a un'identità, da un nome, soprannome, numero, ecc. o da uno o più elementi sulla sua identità. La nozione di dati personali è quindi molto ampia.

Più specificamente, il termine trattamento dei dati è definito dal GDPR come comprendente una serie molto varia di operazioni che possono essere eseguite sui dati, tra cui la raccolta, l'uso, l'organizzazione (ad esempio statistica) o la comunicazione di questi dati a terzi.

Chi è coinvolto?

Tutte le aziende/professionisti che sono tenuti a trattare i dati personali devono rispettare il GDPR.

Tanto per essere chiari: non appena la vostra azienda recupera anche solo il numero di telefono ed il nome di un cliente è soggetto al GDPR.

Naturalmente, non tutte le aziende sono soggette agli stessi obblighi, la loro "esposizione" al GDPR non è la stessa a seconda della natura, del volume e del trattamento dei dati che raccolgono.

Quali sono gli obblighi?

Il GDPR stabilisce un elenco di obblighi per le aziende che trattano i dati personali dei propri utenti o clienti.

Avete presente quella “pappardella” che si trova ormai su tutti i siti (purtroppo anche attraverso copia-incolla sbagliati) nella pagina privacy? Quel testo, che nessuno legge, si basa su 3 principi cardine:

1. Privacy by Default ovvero: tutte le imprese devono tutelare “per default” (in modo “predefinito”) la vita privata dei cittadini.
2. Privacy by Design ovvero: l’impresa, in ogni processo aziendale, deve “progettare” la protezione dei dati dei privati cittadini ancora prima di raccoglierli per garantirne la massima sicurezza.
3. Accountability (dall’inglese “responsabilità” potrebbe esser tradotto con “rendicontazione”) ovvero: dover “render conto a terzi delle scelte compiute”. Per la legge dobbiamo essere responsabili, essere degni di fiducia verso chi ci ha “affidato” i propri dati.

Vediamo quali sono gli obblighi essenziali:

• Liceità del trattamento: il trattamento e la raccolta dei dati deve essere effettuato solo con il consenso dell'interessato e/o se necessario all’esecuzione di un contratto e/o per adempiere ad un obbligo legale e/o necessario all’esecuzione di un pubblico interesse connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento stesso.
• Finalità del trattamento: i dati devono essere raccolti per soddisfare una finalità specifica e non "per ogni evenienza" o come “fine a sé stesso”. L'uso effettivo dei dati deve corrispondere a questo obiettivo.
• Minimizzazione dei dati: l'azienda dovrebbe raccogliere e utilizzare solo i tipi di dati utili per lo scopo originale (non dati superflui).
• Protezione speciale dei dati sensibili: i cosiddetti dati sensibili (ad es. medici, finanziari, ecc.) devono essere soggetti a una maggiore protezione, ad esempio tramite la crittografia dei dati che può essere ottenuta anche attraverso il Certificato SSL, sul quale abbiamo già scritto qui.
• Limitazione del periodo di conservazione dei dati: i dati devono essere cancellati quando non sono più necessari. Il periodo di conservazione dei dati dipende dalla natura dei dati. E’ importante mettere a conoscenza dell’utente l’informazione relativa a quanto tempo conserveremo i suoi dati e perché.
• Obbligo di sicurezza: qualunque sia la natura dei dati in questione, devono essere applicati i principi di sicurezza (backup, crittografia, limiti all'accesso ai dati, ecc.).
• Trasparenza: le persone i cui dati sono raccolti devono essere informate e acconsentire alla raccolta, ma anche alle finalità e all'uso che verranno fatti dei dati.
• Diritti delle persone fisiche: i diritti delle persone i cui dati sono raccolti sono protetti dal GDPR: diritto all'oblio, diritto di opporsi al trattamento, diritto di accesso ai dati, ecc.

Cosa si rischia?

Il GDPR prevede una serie di sanzioni in caso di mancato rispetto o di violazione una tantum riscontrata. Questi possono essere molto importanti poiché, a seconda dei casi, possono raggiungere fino al 4% del fatturato complessivo dell'azienda o fino a 20 milioni di euro (articoli 83 e 84 del GPDR), a seconda di quale sia maggiore (l’importo è determinato in base alla tipologia di violazione).

È quindi essenziale assicurarsi di rispettare il GDPR.

Non si tratta “solo” di conformarsi, ma anche di garantire che le pratiche dell'azienda rimangano conformi al GDPR nel tempo.

Cosa dovrebbero fare le agenzie immobiliari?

Ci sono molte azioni da intraprendere per conformarsi ai requisiti GDPR. 

Tra gli adempimenti che deve completare l’Agenzia immobiliare – e per i quali vi ricordiamo sempre di rivolgervi al vostro legale competente, alla vs associazione di categoria o alle aziende che si occupano di privacy professionalmente – troviamo i seguenti:

1. Informative
2. Nomine
3. Registro Trattamenti

1. Informative:

Le informative sono i “testi” in cui si “informano” le persone su come vengono trattati i dati raccolti (quella sul vostro sito nella sezione privacy di cui parlavamo prima o quella che avete in agenzia e mostrate all’eventuale cliente prima di raccogliere i suoi dati di contatto). L’informativa (art. 13 GDPR) è utile anche per richiedere, ad esempio, il consenso alla pubblicazione di foto dell’appartamento sul proprio sito o portale. L’immobile, essendo “privato”, potrebbe essere riconducibile alla persona, per tanto occorre richiedere il consenso all’interessato per la pubblicazione di foto/video.
In assenza dell’informativa, è possibile utilizzare i dati solo per la finalità richiesta. Ad esempio: ricevo una mail dal form del mio sito o da un portale. Posso conservarla ed inviare in futuro offerte e proposte? La risposta è no: l’agenzia può utilizzare i dati del contatto solo per la specifica finalità richiesta. Nel caso in cui si voglia “archiviare” il contatto (ad esempio per finalità di marketing) occorre richiederne il consenso e inviare l’informativa. Una volta che il “contatto” avrà accettato esplicitamente l’informativa, si potrà tenere in archivio i suoi riferimenti per il tempo necessario (indicato nell’informativa stessa). Attenzione a non conservare i dati dei contatti a tempo indeterminato.

 
2. Nomine:

Il titolare può proteggere come crede i dati che tratta; l’importante è che i rischi vengano abbattuti e che, a richiesta, possa documentare di aver testato le misure adottate, la loro efficacia e la loro coerenza con lo stato dell’arte.

È necessario aprire una parentesi sul concetto di “titolare del trattamento”. Quest'ultimo è colui che decide i mezzi e/o le finalità del trattamento dei dati. Insomma, per farla breve, molto probabilmente il “titolare del trattamento” sei tu che stai leggendo questo articolo se sei anche il “titolare dell’agenzia”. Il titolare del trattamento si identifica con la persona fisica o giuridica stessa che esercita l’attività imprenditoriale.

Tra le prime azioni che il titolare del trattamento può compiere, vi è quella di nominare un responsabile della protezione dei dati all'interno dell’agenzia immobiliare. 

Questo manager sarà "il conduttore" della gestione dei dati nella vs azienda. Dovrà esercitare una missione di informazione, controllo e formazione all'interno della vostra agenzia immobiliare. Insomma, il “titolare” è l’agenzia immobiliare nella persona (fisica) del “titolare”; il “responsabile” è chi lavora per conto del titolare del trattamento.

E’ il titolare che decide se nominare o meno il “responsabile”. Nel caso venga nominato, la figura del “responsabile” non può coincidere con quella del “titolare” (deve essere una persona fisica o giuridica diversa dal titolare).

Oltre alla figura del “responsabile” potreste aver bisogno di nominare anche gli “autorizzati” al trattamento (dipendenti e/o collaboratori dell’agenzia immobiliare).
 
3. Registro Trattamenti:

Innanzitutto, è necessario identificare i casi per i quali è richiesto il consenso e impostare un sistema per raccoglierlo. Allo stesso tempo, è necessario semplificare l'accesso alle condizioni di utilizzo e sfruttamento dei dati. L'ideale è stabilire una mappatura completa del tuo utilizzo con i dati raccolti. 

Che tipo di dati gestisco? Dove sono tenuti? A chi li comunico? Da dove vengono presi?

Se utilizzi portali di annunci, se collabori con promotori o altri agenti, questi sono tutti punti di contatto su cui devi assicurarti di avere una raccolta di dati che rispetti l'obbligo dell'accordo esplicito.

Tutti i tipi di dati che conservi dovrebbero essere elencati in questa mappa. È necessario, quindi, avere un registro accurato che riunisce i tipi di dati raccolti e i dati stessi.  Questo registro potrebbe essere chiesto dall’autorità ispettiva (solitamente la Guardia di Finanza).

Secondo il disposto dell’Art. 30 del Regolamento, il registro del trattamento dei dati, NON è obbligatorio per tutti, ma il Garante della Privacy raccomanda l’osservanza di tale documento al fine di garantire e dimostrare l’effettiva protezione dei dati. In particolare si “invitano tutti i Titolari di trattamento e i Responsabili, a prescindere dalle dimensioni dell´organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un´accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche”.

Esempi di registro vengono messi a disposizione sul sito del Garante della Privacy

Per quanto riguarda l'ultima domanda sulla cancellazione, l'agenzia deve cancellare i dati delle persone in assenza di comunicazione con lo stesso . Quest'ultimo punto è molto importante, perché dovrete quindi impostare procedure di richiamo e avviare regolari campagne di comunicazione per conservare le informazioni del potenziale cliente. Di per sé questo è un vincolo ma è anche vantaggioso in termini di re-marketing. 

Dobbiamo pianificare un piano d'azione per i dati non necessari. Le aziende possono conservare le informazioni di cui hanno bisogno (per la propria contabilità, per la gestione dei contratti, ecc.), ma devono predisporre procedure di “anonimizzazione”. In breve, sostituite per es. i nomi e gli indirizzi e-mail dei clienti con dei soprannomi o con dei simboli (tipo ####). Solitamente, questo compito viene automatizzato tramite specifici software. In questo modo potete garantire il “diritto all’oblio” (ovvero il diritto delle persone di richiedere la cancellazione dei propri dati personali).

Per essere più chiari: se avete i dati di una persona e li avete inseriti nel programma di contabilità per fare una fattura, li potete conservare per 10 anni senza che nessuno vi chieda di cancellarli (obbligo legale).
Se invece, avete un sistema di mailing list per inviare a tutti i “potenziali clienti” informazioni sugli appartamenti in vendita, siete tenuti alla cancellazione nel caso che l’utente ne faccia richiesta.
Potreste obiettare: “Ma se cancello il cliente, perdo anche i dati statistici su quanti invii ho fatto”. Allora per non perdere il dato statistico potete “anonimizzare” (pseudonimizzazione)  il cliente apponendo per esempio nei campi “nome e cognome” degli “****” oppure inventandovi nomi di fantasia.

Quali investimenti dovrò fare nella mia agenzia per diventare compliant?

Gli investimenti sono soprattutto una questione di formazione interna.

Investendo del tempo, tale formazione può essere eseguita in autonomia, grazie anche alle risorse in rete.

Utilizzare soluzioni di formazione di tipo e-learning per consentire ai dipendenti dell'agenzia di formarsi. È un compromesso tra tempo e costi per la conformità.

Infine, Assumere consulenti esterni che faranno formazione all'interno dell'agenzia. Questa soluzione fa risparmiare tempo, ma ha, solitamente, un costo elevato.

Speriamo di avervi aiutato e, come sempre consigliamo, per qualsiasi dubbio o chiarimento rivolgetevi sempre al vostro legale, la vostra associazione di categoria o alle aziende professioniste della privacy.

P.S.:  AgestaNET vi aiuta nell’invio dell’Informativa Privacy ai vostri clienti che non l’hanno firmata in cartaceo o che non hanno la possibilità di firmarla fisicamente.

Come?

Prima di tutto è necessario inserire il link alla vostra informativa privacy nei Dati Agenzia. Potreste prendere come riferimento la pagina “Privacy” del vostro sitoweb.
Dopo aver inserito il nominativo con la relativa mail, al momento del salvataggio, il gestionale vi darà tra le opzioni il pulsante “Informativa privacy”.

Il vostro cliente riceverà una mail simile alla seguente:

Una volta cliccato su “Visualizza l'informativa al trattamento dei dati personali” avrà la possibilità di non acconsentire o di acconsentire e scegliere le opzioni per le quali la vostra Agenzia può contattarlo.

Fatto questo procedimento direttamente su AgestaNET, lo stato della privacy si aggiornerà. Verrà indicato anche la data e l’ora dell’accettazione con il relativo indirizzo IP.