 |
Agenzie Immobiliari e il Regolamento Europeo Privacy |
Il REGOLAMENTO UE 679/2016, la prima legge globale sul DATA PROTECTION, basata sul principio dell’ACCOUNTABILITY, (Responsabilizzazione e Documentazione nel Trattamento dei Dati Personali), della PRIVACY BY DESIGN, (garanzia di protezione dei dati fin dalla progettazione), e della PRIVACY BY DEFAULT, (garanzia di protezione dei dati per impostazione predefinita), IMPATTA SU TUTTE LE IMPRESE e su tutti i PROCESSI AZIENDALI. Il nuovo sistema privacy, imposto dal GDPR offre una maggiore tutela dei diritti e delle libertà delle persone fisiche e rende le aziende più responsabili nell’uso dei dati personali e questi dati assumono una posizione di prima linea tra i processi aziendali, con un impatto significativo sulla gestione delle informazioni, relative ai clienti. La normativa si applica a tutte le aziende, ma gli AGENTI IMMOBILIARI sono tra i soggetti maggiormente coinvolti. Essendo un mestiere che si basa sui contatti, si intuisce quanto il nuovo regolamento tocchi la professione. Grazie allo sviluppo tecnologico e alla crescente circolazione d’informazioni, per le agenzie immobiliari è più semplice rispetto a prima raccogliere dati personali. Basti pensare alle richieste provenienti da portali, siti o alle crescenti telefonate.
Tra l’altro PER TUTELARE GLI AGENTI IMMOBILIARI e/o le AGENZIE IMMOBILIARI in questo nuovo panorama, ReGolamento679 ha studiato UN SERVIZIO UNICO&SPECIFICO: PRIVACY FACILE. Un’offerta “TUTTO COMPRESO per mettersi “in regola” velocemente e senza troppi sacrifici.
Partiamo esaminando, senza pretese di esaustività, alcuni CONCETTI CHIAVE DELLA NORMATIVA IN PAROLE.
INTERESSATO: la persona fisica cui si riferiscono i dati personali. La legge attribuisce agli interessati una serie di diritti che devono obbligatoriamente essere garantiti ad opera di coloro che ne trattano i dati personali.
DATO PERSONALE: qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
TRATTAMENTO: qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
TITOLARE DEL TRATTAMENTO: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. In altre parole, è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.
RESPONSABILE DEL TRATTAMENTO: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
Queste definizioni già da sole fanno comprendere come qualunque soggetto nell’esercizio della propria attività professionale, difficilmente possa sottrarsi al campo di applicazione delle disposizioni in esame.
Nello svolgimento della sua attività UN AGENTE IMMOBILIARE, ACQUISISCE DEI DATI e li GESTISCE, nel senso che li TRATTA e LI CONSERVA. Quindi deve tenere conto di questi due tipi di aspetti, come da indicazioni stesse del GDPR. L’agente immobiliare è sempre in contatto con moltissime persone, di cui possiede e gestisce dati personali. E’ indispensabile tenere conto dell’acquisizione dei dati, le modalità di gestione e il relativo trattamento e conservazione.
ATTRAVERSO QUALI CANALI L’AGENZIA IMMOBILIARE ACQUISISCE DATI?
1 → La conoscenza diretta (il passaparola)
2 → Le riviste di annunci
3 → I portali immobiliari e i giornali di annunci
4 → Il sito web dell’agenzia
5 → I social network
6 → Le campagne di marketing e landing pages.
Tutti questi CANALI possono GENERARE DEI CONTATTI e possono avvenire in TRE MODALITA’: DI PERSONA, TELEFONICAMENTE o tramite E-MAIL/MESSAGGIO.
Per essere in regola con le disposizioni del GDPR, NEL PRIMO CASO, quando il contatto avviene di persona basta FAR FIRMARE L’INFORMATIVA PRIVACY AL CLIENTE E AL PROPRIETARIO CHE AFFIDA L’INCARICO.
NEL SECONDO CASO sarebbe opportuno PREDISPORRE UN CENTRALINO che, tramite un messaggio registrato di benvenuto, informi l’utente del fatto che proseguendo nella telefonata I DATI FORNITI e RACCOLTI saranno TRATTATI SECONDO le modalità presenti nell’INFORMATIVA PUBBLICATA SUL SITO dell’agenzia. Infine, NEL TERZO CASO è OBBLIGATORIO INSERIRE SUL proprio SITO l’APPOSITA PRIVACY POLICY e COOKIE POLICY. Ovvero se su i siti sono presenti uno o più codici di monitoraggio, script (porzioni di codice) che riconoscono l’utente e ne tracciano il suo comportamento (ad esempio i codici di remarketing di Google Adwords e il pixel di monitoraggio di Facebook), bisogna informare l'utente. Perchè? Perchè quando sul sito sono installati tali codici di monitoraggio, l’utente viene precisamente identificato da Google e Facebook, e il suo comportamento viene “studiato”. In pratica gli utenti vengono profilati ai fini di marketing, per proporgli poi, pubblicità attinenti ai loro
ambiti di interesse. Nel momento in cui un utente compila un modulo di richiesta informazioni presente sul nostro sito, esso ci fornisce i dati personali (nome, cognome, numero di telefono, email, ecc.). In quel momento dovrebbe quindi accettare l’informativa privacy presente sul sito prima di effettuare l’invio del modulo di richiesta. Ma in realtà l’informativa privacy e l’informativa cookie dovrebbe comunque essere accettata dall’utente nel momento in cui inizia il suo percorso di navigazione, perchè giò in quel momento il nostro sito e siti esterni stanno iniziando a raccogliere dei dati (seppur per nostra parte in sola forma anonima). Avere una Privacy Policy e/o una Cookie Policy inserita anni or sono (e che magari fa addirittura riferimento alla vecchia Legge 675/96), non va bene, non si è in regola, perché la PRIVACY POLICY DEVE FAR RIFERIMENTO ALMENO AL D.Lgs 196/03. Se si è sprovvisti di COOKIE POLICY, non si è in regola! Inoltre se la PRIVACY POLICY non fa espresso riferimento al vostro sito e alle modalità con cui vengono raccolti e trattati i dati (ad esempio se avete preso l’informativa privacy cartacea e avete messo copia di quella sul sito), nemmeno si è allora in regola. Il metodo più rapido, sicuro ed economico per avere una Privacy Policy e una Cookie Policy adeguata è usare un servizio online come Iubenda. Tramite Iubenda si possono, infatti, generare le informative privacy, in pochi minuti ed ottenere link da inserire su i siti! In caso di variazioni normative o nel caso in cui si inseriscano nuovi servizi (script esterni) sul sito, basterà collegarsi al pannello di controllo di Iubenda ed aggiungere le nuove voci.
La TRASMISSIONE DEI DATI A LIVELLO TELEMATICO, inoltre DEVE AVVENIRE TRAMITE CONNESSIONI SICURE, ovvero crittografate, mediante l’utilizzo del PROTOCOLLO HTTPS://, ovvero installando un CERTIFICATO SSL, sul proprio sito. Per quanto riguarda eventuali sistemi informatici per la raccolta e il trattamento dei dati, devono essere protetti da password,da firewall e da ogni adeguato sistema di sicurezza. Inoltre la figura che si occupa della messa in sicurezza dei dati in forma informatica deve impegnarsi a non divulgare a terzi i dati di proprietà dell’agenzia. La conservazione dei dati on line deve essere poi idonea a ripristinare i dati eventualmente persi, quindi occorre un backup.
LE AGENZIE IMMOBILIARI VISTA LA TIPOLOGIA DI TRATTAMENTI CHE SVOLGONO SU I DATI, (che non rientrano, salvo rarissime eccezioni, tra quelli indicati dall’art. 37 commi b) e c), ovvero il monitoraggio regolare e sistematico degli interessati su larga scala; oppure trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10), NON HANNO L’OBBLIGO DI NOMINARE IL DPO.
Il TITOLARE DEL TRATTAMENTO DEVE, come già previsto nella precedente normativa, ASSICURARSI CHE IL TRATTAMENTO AVVENGA OSSERVANDO MISURE DI SICUREZZA ADEGUATE (Principio di Accountability del Titolare del Trattamento -> Responsabilizzazione e Documentazione nel Trattamento dei Dati Personali). In altre parole, ll Titolare deve dimostrare di poter di garantire degli standard di sicurezza con misure organizzative e tecniche apposite. Si deve SCEGLIERE quale TIPO DI TRATTAMENTO e quali MISURE DI SICUREZZA a seconda dell’attività svolta, COMUNICARLO in modo trasparente e VIGILARE nel tempo perché tali standard siano mantenuti. Diventa quindi necessario strutturarsi, perché non è più solo questione di produrre documenti standard per soddisfare dei requisiti minimi, ma di mantenere concretamente la struttura di sicurezza e di controllarla costantemente. Relativamente agli interessati, ovvero clienti e dipendenti, il Titolare dovrà fornire l’informativa e raccogliere il consenso solo nei casi in cui esso è necessario : Marketing, Diffusione di Immagini su Sito Web, Profilazione. Infine, dovrà tenere il REGISTRO DEI TRATTAMENTI nel caso in cui per svolgere la sua attività si avvalga di dipendenti.
LE FINALITA’ per le quali si chiedono i DATI e il MODO IN CUI questi sono TRATTATI, VANNO ESPLICITATI, in modo che il cliente possa esprimere un CONSENSO INFORMATO e distinto ai vari trattamenti possibili dei dati personali forniti. Il trattamento dei dati ad esempio può essere finalizzato alla chiusura di un contratto o solo alle sue fasi preliminari, quindi il trattamento che si richiede è legato all’espletamento corretto della pratica legale. Bisogna quindi far capire al cliente fino a che punto la raccolta dei dati sia funzionale al servizio fornito. E bisogna farlo in modo preventivo, in modo che il consenso del cliente sia informato. LA DICHIARAZIONE DI CONSENSO NON è DEFINITIVA, SI PUO’ RITIRARE IN QUALSIASI MOMENTO.
Facciamo un doveroso distinguo tra cosa significa CONSENSO e cosa significa RISERVATEZZA. Il CONSENSO nel senso inteso dal GDPR, è necessario verso tutti coloro i cui dati vengano trattati. Secondo normativa sia che siano: Dipendenti, Consulenti, Fornitori o Clienti. E’ consigliato in tutti questi casi preparare delle specifiche LETTERE DI CONSENSO, nelle quali spiegare, finalità e scopi del trattamento dei dati personali, da far firmare e da archiviare e tenere sempre e costantemente disponibili. La RISERVATEZZA invece si riferisce più ad una tutela, ovvero al fatto di garantire che i dati aziendali, non vengano trafugati da eventuali dipendenti o collaboratori, sia durante le attività lavorative che eventualmente a fine rapporto. In queste specifiche lettere da far firmare ad ogni dipendente e/o collaboratore vanno riportate le regole di riservatezza aziendale definite. L’informativa non deve essere necessariamente scritta, tuttavia va dimostrato che i clienti sono stati messi nelle condizioni di conoscere i loro diritti e il modo in cui i dati sono stati trattati, anche solo in forma orale, prima di prestare il proprio consenso. Ovviamente se la forma è scritta il tutto è più sicuro.
E’ NECESSARIO CHE I DATI SIANO CONSERVATI IN MODO ADEGUATO. Abbiamo già detto che il Titolare del Trattamento deve dimostrare di poter garantire degli standard di sicurezza con misure organizzative e tecniche apposite. LE MISURE di SICUREZZA (dall’art. 32 del GDPR), COMPRENDONO RISERVATEZZA, INTEGRITA’, DISPONIBILITA’ DEI DATI SU BASE PERMANENTE e POSSIBILITA’ di RIPRISTINARLI IN CASO di PERDITA.
Scopri subito la nostra soluzione Privacy Facile
e trova la versione pił adatta alle tue esigenze
e trova la versione pił adatta alle tue esigenze
SCOPRI
