GDPR 2016/679 UE. Convegno per i rappresentanti delle agenzie immobiliari alla luce del nuovo Regolamento europeo sulla privacy


Venerdì 20 aprile, FIAP – Federazione Italiana Agenti Immobiliari Professionali – Collegio Interprovinciale Macerata-Fermo, punto di riferimento per tutti i professionisti del settore immobiliare, ha organizzato, presso l’Hotel Cosmopolitan di Civitanova Marche, un Convegno in favore degli operatori del settore immobiliare sul tema “La protezione dei dati personali alla luce del nuovo Regolamento Europeo n. 2016/679” (General Data Protection Regulation o GDPR), la normativa di riforma della legislazione europea in materia di protezione dei dati in vigore già dal 24 maggio 2016, ma la sua attuazione avverrà a distanza di due anni, quindi dal 25 maggio 2018.

Trattandosi di un Regolamento, non necessita di recepimento da parte degli Stati dell’Unione e verrà attuato allo stesso modo in tutti quegli Stati, senza margini di libertà nell’adattamento e, in tal senso, non ci sarà una normativa italiana in materia, quanto piuttosto dei chiarimenti in relazione a diversi aspetti.

Tra i relatori, Federica Morichetti – consulente iscritta all’Albo Nazionale dei Responsabili Privacy (Privacy Officer) – ha messo a disposizione un quadro generale sulla nuova normativa, affrontando le tematiche di maggior interesse per disegnare le linee guida dei percorsi di adeguamento alla normativa.

Durante i lavori sono state illustrate le principali novità del nuovo Regolamento, con tutte le informazioni basilari per adeguarsi in modo corretto senza incorrere nelle sanzioni che scatteranno dal 25 maggio.

L’intervento è stato improntato su casi pratici, proprio per dare la possibilità ai molti intervenuti di comprendere concretamente il vero cambio di passo per la gestione e tutela dei dati, quindi l’impatto che avrà nelle loro realtà quotidiane lavorative.

Federica Morichetti, relatrice del team IN-FORM, ha affrontato diversi aspetti del nuovo Regolamento

Analizzando le maggiori novità introdotte dal Regolamento, Federica Morichetti si è soffermata sui punti di seguito riportati, per poter definire quale percorso intraprendere al fine di adeguarsi alla nuova normativa ed impostare un’analisi dei rischi, scegliendo le misure di security adeguate per la protezione dei dati personali, in particolar modo l’impatto che il Regolamento avrà sulle aziende, sui professionisti, sulle agenzie immobiliari.

  • Valutazione di impatto – ovvero una descrizione analitica e sistematica di tutti i trattamenti di dati effettuati, includendo le misure di sicurezza adottate, l’interesse legittimo perseguito dal titolare, l’analisi della proporzionalità e necessità delle attività sui dati.
  • Predisposizione della documentazione relativa alla Clientela, ai Collaboratori ed agli Incaricati – infatti, le nuove disposizioni richiedono la presenza di atti, clausole e documenti specifici per tutti coloro che, a diverso titolo, gestiscono i dati aziendali.
  • Predisposizione del Registro dei Trattamenti dei Dati – documento non statico, soggetto a periodico aggiornamento, che può essere elaborato e tenuto sia in formato cartaceo che elettronico; deve contenere una serie di informazioni relative ai dati trattati, alle finalità, ai soggetti interessati, alle modalità e via dicendo. L’esibizione del documento viene richiesta in caso di accertamento ispettivo o giudiziario.
  • Gestione della documentazione relativa alla Privacy By Design – ovvero la predisposizione della documentazione relativa all’attuazione delle misure tecniche ed organizzative messe in atto dal Titolare per garantire che i dati siano compliant alla valutazione di impatto nonché alle disposizioni di legge.
  • Consulenza ed Assistenza in caso di Data Breach (Notifica della Violazione) – le logiche di gestione delle problematiche legate alle eventuali violazioni di dati personali che, se riscontrate, il titolare del trattamento notifica la violazione all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, deve essere corredata dei motivi del ritardo.
  • Formazione ai soggetti interessati – poiché il Nuovo Regolamento Privacy pone l’obbligo di rendere noti, a tutti i soggetti interessati coinvolti nelle attività di trattamento dati, i principi e le misure di sicurezza adottate ed attuate.

La formazione viene erogata da personale qualificato in materia, con rilascio del materiale e dell’attestato di partecipazione. IN-FORM eroga corsi di Formazione certificati, prerequisito obbligatorio per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.
La formazione è finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

Il Convegno di Civitanova Marche intende contribuire con analisi, testimonianze, suggerimenti operativi provenienti da istituzioni, accademici, professionisti, manager, alle esigenze di arricchimento del percorso che ci condurrà al nuovo Regolamento.

 

Responsabilità e trasparenza i principi generali del GDPR

Il GDPR è un complesso meccanismo composto da un elevato numero di ingranaggi, per cui sarà complicato adeguarsi in quanto è un vero e proprio cambio culturale al quale devono prepararsi le aziende ed i professionisti proprio perché il nuovo General Data Protection Regulation non è più una normativa incentrata solo ed esclusivamente sui diritti dell’interessato; va visto, d’ora in poi, come una delle nuove misure tecniche ed organizzative da adottare.
Provando a sintetizzare, occorre che le aziende compiano una revisione completa dei dati che raccolgono e trattano, verificando le basi giuridiche per tali trattamenti e qual è l’impatto di tali trattamenti per gli interessati. Una volta fatto, occorre comunicare tutto ciò all’esterno, precisando anche quali diritti hanno gli individui in relazione ai trattamenti.

Tra gli altri temi trattati durante il convegno, segnaliamo:

Le nuove figure previste dal regolamento, in special modo il Data Protection Officer (DPO), o Responsabile per la Protezione dei Dati (RPD), che è l’evoluzione del “privacy officer”, figura prevista dalla Direttiva europea 95/46, laddove, all’art. 18, consentiva agli Stati dell’Unione di prevedere semplificazioni o esenzioni nei casi di designazione di un soggetto indipendente che garantisca l’applicazione della normativa.
Il DPO è un consulente esperto, che affianca il titolare nella gestione delle problematiche del trattamento dei dati personali per garantire che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.
Il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto; in questo caso dovrà essere nominato anche responsabile del trattamento. È difficilmente immaginabile, infatti, che possa svolgere le sue funzioni senza avere accesso ai dati personali. Può essere una persona fisica o un’organizzazione e può essere nominato per un gruppo di imprese al fine di ridurre i costi.
Il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti e non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei propri compiti proprio per la tutela della sua autonomia. In tal senso, appare difficile ritenere che tale autonomia sia giustificabile nell’ambito di un rapporto di lavoro dipendente, perciò sarebbe preferibile che il DPO sia un soggetto esterno.

È stato inoltre affrontato il tema sulla nomina del DPO (Responsabile per la Protezione dei Dati).
Il DPO è designato dal titolare o dal responsabile del trattamento, in base ad un contratto. La designazione dovrà essere comunicata all’Autorità di controllo nazionale.
La designazione è obbligatoria in 3 casi (ai sensi dell’art. 37, primo paragrafo):

  1. se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
  2. quando le attività principali dell’organizzazione consistono in trattamenti che richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
  3. quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (“categorie particolari di dati”) o “giudiziari” (“dati personali relativi a condanne penali e reati”).

Infine, sono stati toccati gli argomenti rispetto a cosa è cambiato e cosa è rimasto immutato rispetto al D.Lgs. 196/03 ed è stato offerto un quadro delle sanzioni applicabili in caso di violazione delle prescrizioni normative.

 

Ricordiamo che IN-FORM, quale soggetto Accreditato alla Regione Marche di Alta Formazione e Formazione Continua, eroga corsi di Formazione certificata a tutti gli effetti di legge; infatti, il Regolamento privacy europeo 679/16 (GDPR) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).

Alla luce dell’impianto del Regolamento, la Formazione messa in campo da IN-FORM presenta un taglio interdisciplinare (con sessioni informatiche, giuridiche e sui profili organizzativi dell’Ente o Società), pragmatico e riguarda tutti i soggetti.

L’obbligo formativo non deve essere in alcun modo sottovalutato dalle pubbliche amministrazioni e dalle imprese: nel caso di mancata erogazione della formazione scatta la rilevante sanzione amministrativa pecuniaria.
L’adempimento degli obblighi formativi è spesso oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e della Guardia di Finanza, che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.