Un caso particolarmente rappresentativo, per la complessità della situazione, è stato quello di un gruppo di quattro agenzie immobiliari nella provincia di Brescia.
Le agenzie, in fase di adeguamento iniziale alle disposizioni del GDPR, erano organizzate come segue:
un’agenzia metteva a disposizione una sede operativa; le altre tre, ognuna con la sua sede legale, in realtà condividevano uno stesso spazio operativo; un solo server; una segretaria/assistente; alcuni armadi e la loro attività era svolta in piena collaborazione.
Erano gestite intermediazioni di compravendita e locazioni di immobili ad uso abitativo e commerciale. Spesso i dati dei clienti venivano condivisi allo scopo di trovare le soluzioni commerciali più idonee. Si utilizzavano i più comuni portali vetrina web, allo scopo di proporre il business delle agenzie.
Una simile situazione iniziale ha richiesto un’analisi approfondita finalizzata a determinare e gestire i seguenti elementi:
– i ruoli privacy rivestiti dagli esponenti di ogni singola agenzia nei confronti dei collaboratori e dei clienti; si sono verificati casi di chiara contitolarità e/o di responsabilità esterna dei trattamenti;
– i ruoli privacy (autorizzati ai trattamenti) dei collaboratori delle agenzie;
– i ruoli privacy dei destinatari esterni: responsabilità esterna; titolarità autonoma;
– regole inerenti i trattamenti dei dati personali di clienti, collaboratori, visitatori, clienti potenziali, clienti già acquisiti e in fase di acquisizione; regole per attività di marketing;
– impegni alla riservatezza; regole di condivisione dei dati personali; regole di comunicazione all’esterno di dati personali;
– basi giuridiche da stabilire (legittimo interesse; consenso; leggi nazionali);
– redazione di policy condivise e atti giuridici di responsabilità;
– analisi dei rischi e delle misure di sicurezza, fisiche e informatiche, adottate e da adottare, redatta per ogni singolo gruppo di trattamenti. Attenzione posta sulle misure tecniche e sulle misure organizzative;
– redazione dei registri dei trattamenti (per i ruoli di titolarità e di responsabilità esterna) suddiviso per tipologia di trattamento;
– redazione della documentazione privacy per: clienti; potenziali clienti; collaboratori; visitatori degli immobili; sito web; candidati; informative; moduli di consenso; attività di marketing;
– conservazione dei dati e diritto all’oblio;
– redazione dei documenti e richieste delle autorizzazioni necessarie per l’impianto di videosorveglianza;
– formazione di tutti i soggetti titolari e autorizzati al trattamento dei dati personali.
Le operazioni di analisi, redazione di documentazione e di formazione sono state effettuate per ogni singola agenzia, tenendo conto dei rapporti esistenti con le agenzie partner e dei rapporti esistenti con le altre entità esterne, come i gestori di servizi di cloud computing; i notai; i commercialisti; i portali web di pubblicità immobiliare; i consulenti del lavoro; i sistemisti manutentori delle reti interne; etc.
L’obiettivo, raggiunto al termine del percorso di adeguamento, era quello di “riordinare” una situazione complessa e confusa; stabilire delle regole finalizzate ad operare in conformità con le normative vigenti in tema di privacy e protezione dei dati; ristabilire e formalizzare i ruoli e le responsabilità.
Le agenzie, così organizzate, sono ora in grado di operare serenamente, in sicurezza, fornendo ai clienti un’immagine di trasparenza e correttezza.