Un caso particolarmente rappresentativo, per la complessità della situazione, è stato quello di un gruppo di quattro agenzie immobiliari nella provincia di Brescia.

Le agenzie, in fase di adeguamento iniziale alle disposizioni del GDPR, erano organizzate come segue:

un’agenzia metteva a disposizione una sede operativa; le altre tre, ognuna con la sua sede legale, in realtà condividevano uno stesso spazio operativo; un solo server; una segretaria/assistente; alcuni armadi e la loro attività era svolta in piena collaborazione.

Erano gestite intermediazioni di compravendita e locazioni di immobili ad uso abitativo e commerciale. Spesso i dati dei clienti venivano condivisi allo scopo di trovare le soluzioni commerciali più idonee. Si utilizzavano i più comuni portali vetrina web, allo scopo di proporre il business delle agenzie.

Una simile situazione iniziale ha richiesto un’analisi approfondita finalizzata a determinare e gestire i seguenti elementi:

– i ruoli privacy rivestiti dagli esponenti di ogni singola agenzia nei confronti dei collaboratori e dei clienti; si sono verificati casi di chiara contitolarità e/o di responsabilità esterna dei trattamenti;

– i ruoli privacy (autorizzati ai trattamenti) dei collaboratori delle agenzie;

– i ruoli privacy dei destinatari esterni: responsabilità esterna; titolarità autonoma;

– regole inerenti i trattamenti dei dati personali di clienti, collaboratori, visitatori, clienti potenziali, clienti già acquisiti e in fase di acquisizione; regole per attività di marketing;

– impegni alla riservatezza; regole di condivisione dei dati personali; regole di comunicazione all’esterno di dati personali;

– basi giuridiche da stabilire (legittimo interesse; consenso; leggi nazionali);

– redazione di policy condivise e atti giuridici di responsabilità;

– analisi dei rischi e delle misure di sicurezza, fisiche e informatiche, adottate e da adottare, redatta per ogni singolo gruppo di trattamenti. Attenzione posta sulle misure tecniche e sulle misure organizzative;

– redazione dei registri dei trattamenti (per i ruoli di titolarità e di responsabilità esterna) suddiviso per tipologia di trattamento;

– redazione della documentazione privacy per: clienti; potenziali clienti; collaboratori; visitatori degli immobili; sito web; candidati; informative; moduli di consenso; attività di marketing;

– conservazione dei dati e diritto all’oblio;

– redazione dei documenti e richieste delle autorizzazioni necessarie per l’impianto di videosorveglianza;

– formazione di tutti i soggetti titolari e autorizzati al trattamento dei dati personali.

Le operazioni di analisi, redazione di documentazione e di formazione sono state effettuate per ogni singola agenzia, tenendo conto dei rapporti esistenti con le agenzie partner e dei rapporti esistenti con le altre entità esterne, come i gestori di servizi di cloud computing; i notai; i commercialisti; i portali web di pubblicità immobiliare; i consulenti del lavoro; i sistemisti manutentori delle reti interne; etc.

L’obiettivo, raggiunto al termine del percorso di adeguamento, era quello di “riordinare” una situazione complessa e confusa; stabilire delle regole finalizzate ad operare in conformità con le normative vigenti in tema di privacy e protezione dei dati; ristabilire e formalizzare i ruoli e le responsabilità.

Le agenzie, così organizzate, sono ora in grado di operare serenamente, in sicurezza, fornendo ai clienti un’immagine di trasparenza e correttezza.

Condividi