Privacy e immobiliare: il titolare del trattamento
Le figure che ricoprono un ruolo rilevante nel contesto dell’attuale normativa in materia di privacy e immobiliare sono molteplici. Nella prassi, l’esatta qualificazione dei ruoli dei diversi soggetti, degli incombenti a loro carico e, soprattutto, delle loro responsabilità, è un punto cruciale. Dall’entrata in vigore del Regolamento Europeo 679/2016 (GDPR), l’impianto sanzionatorio è complesso sia da un punto di vista civile, che penale, che amministrativo.
Cominciamo con il definire cosa si intenda per “titolare del trattamento” e chi possa essere ritenuto tale in concreto. Il GDPR dispone che il titolare del trattamento sia la persona fisica o giuridica che determina i mezzi e le finalità di trattamento dei dati personali.
Nel caso delle agenzie immobiliari il titolare del trattamento si identifica quindi con la persona fisica o giuridica stessa che esercita l’attività imprenditoriale. Quindi, ad esempio, se l’attività venisse svolta attraverso una ditta individuale, il titolare del trattamento coinciderà con il titolare.
Se l’attività viene svolta attraverso una società (di persone o di capitali), il titolare del trattamento sarà la società (e non il suo legale rappresentante).
Il titolare del trattamento, così definito, è pertanto il diretto destinatario degli obblighi e delle sanzioni descritte dal citato testo normativo e dal codice penale. Sempre a lui fanno capo le istanze risarcitorie che potrebbero essere promosse dagli interessati, ovvero le persone fisiche i cui dati sono oggetto di trattamento.
Il titolare del trattamento dovrà trattare i dati secondo i principi stabiliti dal GDPR, osservando gli adempimenti prescritti, tra i quali:
- dotarsi di misure tecniche ed organizzative adeguate per garantire il necessario livello di sicurezza;
- fornire l’informativa sul trattamento dei dati personali agli interessati;
- raccogliere il loro consenso al trattamento, quando ciò sia condizione necessaria (ad esempio, nel caso di trattamento di dati “particolari”, ovvero gli ex dati “sensibili”).
Quando rendere l’informativa al cliente?
Vorrei fare un’importante precisazione riguardo al momento in cui l’agente immobiliare/titolare del trattamento, debba rendere l’informativa al cliente. Per spiegarlo, faccio un passo indietro. Il GDPR qualifica come “trattamento” qualunque operazione compiuta con o senza l’ausilio di strumenti automatizzati ed applicata ai dati personali:
- annotare un recapito telefonico ed un nominativo è trattamento;
- cancellare un dato è trattamento;
- inviare una newsletter è trattamento.
Il regolamento definisce poi il “dato personale” come qualsiasi informazione riferita ad una persona fisica, identificata o identificabile, direttamente o indirettamente:
- l’indirizzo mail è dato personale;
- il numero di telefono è dato personale;
- il diritto di proprietà su un immobile è dato personale.
Il GDPR impone di fornire l’informativa prima che il trattamento dei dati personali abbia inizio. Ciò significa che essa deve essere fornita al momento del primo contatto con il cliente, o potenziale tale. L’informativa va fornita sempre e può essere espressa anche in forma verbale, salvo poi la difficoltà nel dimostrare di avere correttamente assolto detto obbligo. Essa è cosa distinta dalla richiesta di consenso al trattamento dei dati, che va chiesto solo nelle ipotesi previste dalla legge.
Ed infatti, ho detto prima che il consenso al trattamento dei dati personali va chiesto dall’agente immobiliare quando debba trattare dati “particolari”. Per esempio nel caso di informazioni relative allo stato di salute di una persona che lo incarica di reperire un immobile confacente a determinate esigenze legate ad una sua parziale o assente mobilità.
Inoltre, nel trattare i dati personali dei propri clienti, l’agente immobiliare dovrà rispettare il principio di minimizzazione dei dati personali. Ciò significa trattare solo quei dati che sono strettamente necessari per lo svolgimento dell’incarico. Nell’esempio di prima, si dovrà trattare il dato relativo al deficit motorio del cliente, ma non quelli che rivelino l’origine di tale situazione.
Privacy e immobiliare: il responsabile del trattamento
Come è facile intuire, la mole di adempimenti ed accortezze che l’agente/titolare del trattamento dovrà osservare nell’ambito privacy e immobiliare è davvero importante. Per questo motivo la legge consente l’utilizzo di figure coadiuvanti che possano dividere col titolare oneri e responsabilità.
Il titolare del trattamento potrà dunque nominare un “responsabile del trattamento”, ovvero una figura professionale qualificata. Il rapporto con il titolare è di carattere gerarchico, in quanto dovrà trattare i dati personali per suo conto, ma comunque disponendo di un certo margine discrezionale e decisionale.
Tale figura potrà essere una persona fisica o giuridica, interna o esterna rispetto all’organizzazione aziendale del titolare del trattamento. Tieni conto, però, che recenti interpretazioni tendono ad escludere commistioni aziendali, per una potenziale incompatibilità dei ruoli.
Chi può essere nominato responsabile del trattamento?
Possono essere nominati responsabili del trattamento, ad esempio, gli amministratori di sistema. Sono invece considerati autonomi titolari del trattamento, o “contitolari”, i professionisti che operano a favore del titolare del trattamento dietro accordi contrattuali. Un esempio? Il commercialista, l’avvocato, il medico del lavoro, il consulente del lavoro, ecc. Sono poi qualificati come meri “incaricati o autorizzati” al trattamento dei dati personali le persone fisiche
dipendenti del titolare del trattamento. Queste eseguono il trattamento in ragione delle loro mansioni lavorative, istruite dal titolare del trattamento o dal responsabile del trattamento, senza autonomia o decisionalità.
Il titolare del trattamento potrà dividere oneri e responsabilità con i contitolari e con i responsabili del trattamento; per contro, risponderà degli atti compiuti dagli incaricati (per tale motivo sarebbe cosa saggia formarli adeguatamente sulla materia). Poiché il GDPR delinea persino ipotesi di responsabilità solidale tra il titolare ed il responsabile del trattamento, sarebbe sempre opportuno contrattualizzare in maniera chiara la nomina a tale ruolo.
Inoltre è utile definire i rispettivi ambiti di competenza e responsabilità nel trattamento dei dati personali. Questo non tanto per l’opposizione verso terzi, quanto per una eventuale azione di regresso o garanzia in caso di azioni o condanne risarcitorie o sanzioni. Si consiglia di predisporre una “lettera di incarico” per gli autorizzati al trattamento dei dati personali, per dimostrare di aver assolto all’obbligo di formazione. Tale obbligo grava sul responsabile del trattamento e sul titolare del trattamento perché questi rispondono dei loro errori.
Il Data Protection Officer
Infine, esaminiamo la figura del DPO, il Data Protection Officer. In italiano è il responsabile della protezione dei dati personali, o RPD, da non confondere con il responsabile del trattamento.
A differenza di quest’ultimo, infatti, il DPO non è destinatario di alcuna sanzione in caso di trattamento illecito dei dati personali o violazione degli stessi. Il DPO rimane responsabile solo del corretto adempimento degli obblighi professionali assunti con il contratto di nomina siglato con il titolare o il responsabile del trattamento. Ciò in quanto il DPO svolge una funzione meramente consultiva ed eventualmente formativa (funzione che potrebbe tornare utile anche per istruire il personale dipendente), ma senza alcun tipo di margine discrezionale in ordine alla determinazione dei mezzi e delle finalità di trattamento.
I soggetti tenuti obbligatoriamente alla nomina del DPO sono quelli elencati dall’art. 37 del GDPR, che contempla le realtà maggiormente strutturate, gli enti pubblici e chi tratta dati “particolari” o dati giudiziari. L’interpretazione della norma ha precisato che sono tenuti alla nomina del DPO gli studi professionali che esercitano l’attività in forma associata. Sono esentati i professionisti che esercitano l’attività individualmente.
Quando serve il DPO in agenzia?
Nel caso delle agenzie immobiliari, si può quindi desumere che la nomina del DPO sia obbligatoria solo in caso di realtà complesse ed articolate. Un esempio sono i franchising o i gruppi societari, mentre non c’è obbligo in tutti gli altri casi.
Data la scarsa precisione del dettato normativo, ritengo che la nomina di un DPO che rispetti i dettami prescritti dal GDPR, possa essere un valido supporto per il titolare ed il responsabile del trattamento. Il DPO può essere un riferimento in caso di dubbi su privacy e immobiliare in virtù della complessità della norma e delle sanzioni previste in caso di errori.
Hai dubbi specifici o ti serve una consulenza su privacy e immobiliare? Scrivi a content@gerardopaterna.com. Ti risponderò quanto prima!
Lascia una commento