Il Data breach è quell’evento involontario per il quale accidentalmente o in modo illecito si verifica la perdita, la distruzione, la modifica, la divulgazione non autorizzata di dati ovvero un accesso, non voluto e/o non autorizzato, a una banca dati. Pertanto, tutti i titolari del trattamento (nel caso di interesse le agenzie immobiliari), sono tenuti a notificare al Garante (utilizzando l’apposito modulo messo a disposizione dalla stessa Autorità direttamente sul proprio sito istituzionale) – le violazioni dei dati personali (cfr. art. 33 Gdpr) che possano comportare un danno all’Agenzia ovvero ai propri clienti.
Come si deve avvenire in caso di Data breach
“Innanzitutto per realtà strutturate – illustra Matteo Pagani, avvocato e socio fondatore di Pls srl e Pls Legal, convenzionato con Fimaa Milomb per la gestione del tema privacy – si consiglia la creazione di una mail dedicata, ad esempio databreach@_____ .__, così che la medesima venga re-indirizzata tempestivamente ai soggetti che hanno competenze decisionali (amministratore, direttore, ecc.) e tecnici (It) per le valutazioni e le scelte del caso. Qualora l’evento sia di rilievo – prosegue Pagani – il titolare ha l’obbligo, poi, “senza ingiustificato ritardo”, di comunicare l’avvenuta violazione ai soggetti interessati “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, ovvero al Garante, tramite il modulo su indicato”.
Il tema è assai delicato e l’agente immobiliare deve garantire ai propri clienti e alla propria impresa la tutela nella gestione dei dati nel rispetto di quanto richiesto dalla norma europea. Le sanzioni sono onerose, i controlli cominciano a essere più serrati, spesso in abbinata a verifiche ispettive anche sul tema dell’Antiriciclaggio.
Due indicazioni pratiche fondamentali
Per procedere con la gestione di un Data breach è necessario seguire le indicazioni del Garante e occorre che la comunicazione agli interessati:
• fornisca una descrizione della natura della violazione e delle possibili conseguenze della stessa: veto del Garante, dunque, a comunicazioni generiche;
• specifichi le azioni correttive suggerite dall’Agenzia agli interessati per proteggersi da eventuali, ulteriori violazioni di dati personali.
Il suggerire il semplice cambio password secondo il Garante è insufficiente: la comunicazione deve infatti garantire una tutela a 360 gradi dell’utente. Si impone dunque all’azienda di fornire raccomandazioni di dettaglio all’interessato come a esempio il “non utilizzare più le credenziali compromesse, modificando la password per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione”.
Per tutte le tematiche connesse alla tutela dei dati personali Fimaa Milomb fornisce consulenze dirette a cura della propria segreteria e permette ai propri associati di usufruire di una apposita convenzione sottoscritta, appunto, con il gruppo Pls – società specializzata in materia di privacy – per l’erogazione di tutti i servizi necessari a qualsiasi tipologia di realtà di impresa (dalla ditta individuale alla società di capitali strutturata).
