Quali sono, dunque, gli adempimenti richiesti agli agenti immobiliari?
Segalerba - Innanzitutto è necessario che all’interno dell’agenzia sia individuato il titolare del trattamento dati e il Dpo (Data Protection Officer), soggetto a cui il titolare affida il trattamento e la sicurezza dei dati stessi. Le due figure possono coincidere. Il Dpo ha il compito di controllare costantemente che il trattamento dei dati avvenga secondo la normativa; il suo ruolo deve essere definito da un apposito contratto.
In che modo si devono raccogliere e gestire i dati personali raccolti?
Segalerba - Prima di tutto bisogna esplicitare le finalità per le quali si chiedono i dati e il modo in cui questi saranno trattati, in modo che il cliente possa esprimere un consenso informato e distinto ai vari trattamenti possibili dei dati personali forniti. Il trattamento dei dati ad esempio può essere finalizzato alla chiusura di un contratto o solo alle sue fasi preliminari, quindi il trattamento che si richiede è legato all’espletamento corretto della pratica legale. Bisogna quindi far capire al cliente fino a che punto la raccolta dei dati sia funzionale al servizio fornito. E bisogna farlo in modo preventivo, in modo che il consenso del cliente sia informato. La dichiarazione di consenso non è comunque definitiva, si può ritirare in qualsiasi momento.
Quali sono gli obblighi in materia di sicurezza dei dati raccolti?
Segalerba - E’ necessario che i dati siano conservati in modo adeguato. Il titolare del trattamento deve saper dimostrare di poter di garantire degli standard di sicurezza con misure organizzative e tecniche apposite. Le misure di sicurezza (art. 32 e seguenti della normativa) comprendono riservatezza, integrità e disponibilità dei dati su base permanente, oltre alla possibilità di ripristinarli in caso di loro perdita. Ciò vale sia per i portali internet che per le agenzie “fisiche”.
In che modo siti internet e agenzie possono informare adeguatamente i propri clienti?
Segalerba - L’informativa non deve essere necessariamente scritta, tuttavia va dimostrato che i clienti sono stati messi nelle condizioni di conoscere i loro diritti e il modo in cui i dati sono stati trattati, anche solo in forma orale, prima di prestare il proprio consenso. Ovviamente se la forma è scritta il tutto è più sicuro. Per quanto riguarda eventuali sistemi informatici per la raccolta e il trattamento dei dati, devono essere protetti da password,da firewall e da ogni adeguato sistema di sicurezza. Inoltre la figura che si occupa della messa in sicurezza dei dati in forma informatica deve impegnarsi a non divulgare a terzi i dati di proprietà dell’agenzia. La conservazione dei dati on line deve essere poi idonea a ripristinare i dati eventualmente persi, quindi occorre un backup.
Ci sono altri obblighi rilevanti?
Segalerba - L’articolo 30 del regolamento stabilisce l’obbligo di tenuta del registro per le aziende che hanno un numero di dipendenti superiore a 250, anche se sarebbe bene che il registro venisse adottato anche da aziende di piccole dimensioni. Il registro comunque non è nulla di complicato: deve essere un documento che contenga i dati del titolare, le finalità del trattamento dati, le categorie di interessati e di destinatari e le misure di sicurezza adottate. La questione potrebbe complicarsi in caso di trasferimento di dati a Paesi terzi, ma si tratta di casi rari nel mondo delle agenzie immobiliari.
E per quanto riguarda le sanzioni?
Segalerba - Il regolamento Gdpr stabilisce sanzioni molto elevate per dare un segnale forte sulla necessità di prendere in seria considerazione il tema della gestione dei dati personali. Va detto che chi già era in regola secondo il codice sulla privacy del 2003 ha già fatto gran parte del lavoro; ma chi non lo era ora dovrà prendere velocemente provvedimenti.
La nuova normativa desta molta preoccupazione. Ma è davvero il caso di essere tanto allarmati?
Curini Galetti - Assolutamente no, la Gdpr non è il mostro che appare. Va detto che per un buon 80% la norma europea non fa altro che riorganizzare leggi che in Italia già esistono dai tempi del codice sulla privacy. Il tutto è ora semplicemente reso operativo in tutti i Paesi dell’Unione”.
Quindi non cambia nulla rispetto alla legge del 2003?
Curini Galetti - Non cambia l’aspetto dei consensi, dell’informativa e di tutta la prassi annessa. Quello che cambia è che viene meno il concetto di misure minime di sicurezza, sostituito dal principio di accountability del titolare del trattamento. In altre parole, l’azienda che tratta i dati deve scegliere quale tipo di trattamento e quali misure di sicurezza attivare a seconda dell’attività svolta, comunicarlo in modo trasparente e vigilare nel tempo perché tali standard siano mantenuti. Diventa quindi necessario strutturarsi diversamente all’interno delle società, perché non è più solo questione di produrre documenti standard per soddisfare dei requisiti minimi, ma di mantenere concretamente la struttura di sicurezza scelta e di controllarla costantemente.
Che fine farà dunque la legge sulla privacy?
Curini Galetti - Il regolamento europeo Gdpr si estende a tutti i Paesi dell’Ue, ma le modalità della sua applicazione sono decise a discrezione delle dalle società interessate (ovvero tutte, da Google all’agenzia immobiliare al bar sotto casa) in ciascuno Stato. Per fare un esempio, alcuni standard di sicurezza, richiesti dal regolamento europeo, possono essere stabiliti attraverso la certificazione Iso, tra le più usate nell’Ue.
Per quanto riguarda l’Italia, la questione sicurezza era regolamentata da un apposito allegato del codice della privacy, che dal 25 maggio non sarà più in vigore: a quel punto si dovrà fare riferimento direttamente alla Gdpr. L’unica eccezione sono i temi non toccati dalla legge europea, come ad esempio il trattamento dei dati nei rapporti di lavoro. In quest’ultimo caso, o per altre tematiche non trattate dalla Gdpr, continuerà a valere il codice della privacy del 2003, che invece per il resto sarà abrogato prossimamente. Esiste già, in effetti, una bozza di decreto che armonizzi le normative di cui attendiamo la versione definitiva, governo permettendo.
Quanto tempo hanno le aziende per adeguarsi alla Gdpr?
Curini Galetti - Non è vero, come affermavano certi rumours, che il Garante italiano della privacy abbia dato sei mesi di tempo per adeguarsi alla Gdpr. Lo stesso garante Antonello Soro ha voluto rassicurare a mezzo stampa gli operatori di tutti i settori che di certo i controlli non partiranno il 26 maggio, e che in ogni caso, prima di arrivare alle pesanti sanzioni pecuniarie previste, ci sarà tutto uno spettro di possibilità, dalla semplice verifica, al richiamo, all’invito a correggere le inadempienze. Le sanzioni sono molto pesanti anche perché occorre scoraggiare i grandi operatori che lavorano usando grandissime quantità di dati dal farlo in modo improprio.
C’è da attendersi la pubblicazione di linee guida che aiutino le società ad adeguarsi?
Curini Galetti - Sicuramente sì, anche se non se ne conoscono le tempistiche. Nel frattempo io consiglio alle varie industry di agire con le associazioni di categoria in modo da dotarsi di codici di condotta, la cui possibilità è prevista proprio dalla Gdpr, per regolare internamente l’applicazione di quelle parti della normativa che risultano soggette a varie interpretazioni. Una volta approvati dal Garante, questi codici di condotta potrebbero diventare ufficialmente le linee guida della industry di riferimento, senza dover attendere una eventuale interpretazione imposta dal Garante.
_Articolo tratto da Idealisa/news._