La clausola privacy in un contratto di locazione, nel quadro del GDPR, è la parte che informa in modo chiaro e trasparente l’inquilino su quali dati personali vengono raccolti, perché vengono trattati e sulla base di quale fondamento giuridico (ad esempio l’esecuzione del contratto o obblighi di legge), indicando chi è il titolare del trattamento, eventuali destinatari o trasferimenti, il periodo di conservazione e le misure di sicurezza adottate. Serve a garantire il diritto dell’interessato a essere informato e a esercitare i propri diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione, oltre a specificare le modalità per richiedere tali diritti e, se presente, i riferimenti del responsabile della protezione dei dati. In pratica la clausola tutela sia il locatore sia il conduttore, consentendo la gestione lecita e documentata dei dati necessari all’esecuzione del rapporto di locazione e agli adempimenti connessi.
Come scrivere Clausola privacy contratto locazione GDPR
La clausola privacy di un contratto di locazione, redatta in conformità al GDPR, deve fornire al conduttore e agli altri soggetti interessati tutte le informazioni richieste dagli articoli 13 e 14 del Regolamento in modo chiaro, trasparente e facilmente comprensibile. Occorre indicare con precisione chi è il titolare del trattamento, fornendo nome o ragione sociale e recapiti utili per contattarlo; se è stato designato un responsabile della protezione dei dati (DPO), vanno comunicati i suoi dati di contatto. Devono essere descritte le finalità del trattamento: l’esecuzione del contratto di locazione (assegnazione dell’immobile, gestione del rapporto locativo, incasso dei canoni, emissione di ricevute e fatture, registrazione del contratto), l’adempimento di obblighi fiscali e contabili, eventuali comunicazioni agli amministratori condominiali o alle società che forniscono servizi/utilities, la gestione di interventi di manutenzione e di emergenza, la gestione di pratiche legali o di recupero credito e, se previste, verifiche di solvibilità o controlli di affidabilità. Per ciascuna finalità va dichiarata la base giuridica del trattamento, ad esempio l’esecuzione del contratto (art. 6.1.b GDPR), l’adempimento di obblighi legali (art. 6.1.c), l’eventuale interesse legittimo del titolare (art. 6.1.f) con indicazione dei legittimi interessi perseguiti e del diritto dell’interessato a opporsi, oppure il consenso espresso se una specifica attività (come il marketing o alcuni trattamenti sensibili) si fonda su tale base.
La clausola deve specificare le categorie di dati personali oggetto di trattamento: dati identificativi e anagrafici (nome, cognome, codice fiscale, data di nascita), documenti di identità, recapiti (indirizzo, telefono, email, eventualmente PEC), dati bancari o contabili necessari per l’incasso, informazioni sul contratto (durata, importi, cauzioni), dati dei garanti o dei coobbligati, nonché eventuali dati relativi a conviventi o persone che accedono all’immobile. Se il trattamento può riguardare categorie particolari di dati (ad es. informazioni sulla salute per motivi di accessibilità dell’immobile o esigenze particolari), la clausola deve indicarlo e precisare la base giuridica che legittima il loro trattamento, ricordando che per tali dati in molti casi è richiesto il consenso esplicito o altra previsione normativa specifica. Vanno poi individuati i destinatari o le categorie di destinatari dei dati: responsabili esterni incaricati della gestione amministrativa e contabile, agenzie immobiliari, società di gestione dell’immobile o di manutenzione, istituti di credito, studi legali o di recupero crediti, amministrazione condominiale, autorità pubbliche a cui i dati devono essere comunicati per obblighi di legge; va altresì precisato che i rapporti con i responsabili del trattamento saranno regolati da un incarico scritto ai sensi dell’art. 28 GDPR.
È necessario informare sulla possibile comunicazione o trasferimento dei dati verso paesi terzi o organizzazioni internazionali e sulle garanzie adottate in caso di trasferimento fuori dall’UE/SEE (ad esempio clausole contrattuali standard, decisione di adeguatezza, misure supplementari), oppure dichiarare che non sono previsti trasferimenti. La clausola deve contenere l’indicazione della durata di conservazione dei dati o, se non è possibile un termine preciso, i criteri utilizzati per determinarla: i dati saranno conservati per il tempo necessario all’esecuzione del contratto e per il periodo in cui il titolare è tenuto a rispettare obblighi legali o fiscali, nonché per la durata dei termini di prescrizione e di eventuali azioni di tutela dei diritti (ad esempio fino alla prescrizione dei crediti, secondo le norme civili applicabili).
Devono essere chiaramente enunciati i diritti riconosciuti all’interessato ai sensi del GDPR e del regolamento nazionale: il diritto di ottenere l’accesso ai dati, la rettifica, la cancellazione (diritto all’oblio), la limitazione del trattamento, la portabilità dei dati quando applicabile, l’opposizione al trattamento in presenza di un interesse legittimo del titolare, nonché il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca. Va indicato come esercitare tali diritti, ossia i riferimenti e i recapiti (indirizzo, email, PEC) del titolare o del DPO cui inviare le istanze, e va ricordato il diritto di proporre reclamo a un’autorità di controllo, con indicazione dell’autorità competente (per l’Italia il Garante per la protezione dei dati personali).
La clausola deve descrivere le conseguenze del mancato conferimento dei dati essenziali: se il conferimento è necessario per la conclusione o l’esecuzione del contratto, occorre spiegare che il rifiuto di fornire tali dati comporta l’impossibilità di dare esecuzione al contratto o di erogare determinati servizi (ad esempio registrazione del contratto, emissione di ricevute fiscali, accesso all’immobile). Se sono previste attività di profilazione o decisioni automatizzate, incluse verifiche di solvibilità automatizzate, la clausola deve fornire informazioni specifiche sul logorio di tali processi, sulla logica impiegata e sulle conseguenze previste per l’interessato, oltre a indicare il diritto di ottenere l’intervento umano e di contestare la decisione automatizzata.
Deve infine essere indicato che il titolare adotta misure tecniche e organizzative adeguate per garantire la riservatezza, l’integrità e la disponibilità dei dati, richiamando in termini generali le misure di sicurezza applicate (accessi limitati, controllo degli accessi, backup, cifratura quando appropriato) senza entrare in dettagli che possano compromettere la sicurezza. È opportuno precisare che eventuali aggiornamenti della clausola saranno comunicati nei modi previsti dalla legge e che eventuali ulteriori trattamenti non coerenti con le finalità iniziali saranno posti in essere solo previo specifico consenso o altra valida base giuridica. In fase di redazione la clausola deve mantenersi sintetica ma esaustiva, evitando formule generiche e assicurando che tutte le informazioni obbligatorie siano fornite al momento della raccolta dei dati personali.
Esempio Clausola privacy contratto locazione GDPR
Titolare del trattamento: _______________, con sede legale in _______________, indirizzo: _______________, PEC: _______________, e-mail: _______________, rappresentato da _______________. Responsabile della protezione dei dati (DPO), se nominato: _______________ (telefono: _______________, e-mail: _______________).
Finalità del trattamento e base giuridica:
I dati personali forniti dal/la conduttore/conduttrice e dai soggetti eventualmente coinvolti (es. garanti) saranno trattati per le seguenti finalità: a) esecuzione del contratto di locazione e adempimento degli obblighi connessi al rapporto contrattuale (art. 6(1)(b) GDPR); b) assolvimento di obblighi di legge, contabili, fiscali e amministrativi (art. 6(1)(c) GDPR); c) gestione del credito, prevenzione e accertamento di responsabilità e contestazioni, tutela dei diritti in sede giudiziaria (art. 6(1)(f) GDPR — interesse legittimo del titolare); d) eventuali comunicazioni promozionali e di marketing solo previo espresso consenso dell’interessato (art. 6(1)(a) GDPR). Per il trattamento di dati personali particolari (c.d. categorie particolari ai sensi dell’art. 9 GDPR), quali dati relativi alla salute forniti solo quando necessari, il trattamento avverrà esclusivamente previo espresso consenso o altra base giuridica prevista dalla normativa applicabile: _______________.
Tipologie di dati trattati:
Dati identificativi e anagrafici (nome, cognome, luogo e data di nascita, codice fiscale), dati di contatto (telefono, e-mail, indirizzo), dati fiscali e bancari (IBAN, coordinate bancarie), informazioni sulla situazione reddituale e lavorativa, eventuali dati forniti per la stipula di garanzie o fideiussioni, informazioni su eventuali pregressi inadempimenti e dati risultanti da visure o segnalazioni a banche dati di credito, immagini riprese da sistemi di videosorveglianza nelle aree pertinenti all’immobile (se presenti), eventuali altri dati necessari per l’esecuzione del contratto: _______________.
Modalità di trattamento:
I trattamenti saranno effettuati con strumenti manuali, informatici e telematici, adottando misure tecniche e organizzative idonee a garantire la sicurezza e la riservatezza dei dati, in conformità agli artt. 24, 25, 32 del GDPR e alla normativa applicabile. Accesso ai dati è limitato al personale autorizzato e ai soggetti espressamente incaricati del trattamento.
Comunicazione dei dati e categorie di destinatari:
I dati potranno essere comunicati, per le finalità sopra indicate, a: soggetti appartenenti alla struttura del titolare, professionisti e consulenti (es. avvocati, commercialisti), istituti di credito e intermediari finanziari, società di recupero crediti, assicurazioni, agenzie di informazioni commerciali e creditizie, amministrazioni pubbliche e giudiziarie nelle ipotesi previste dalla legge, fornitori di servizi IT e piattaforme gestionali incaricati del trattamento, eventuali cessionari del credito, e altri soggetti terzi che agiscono in qualità di titolari o responsabili del trattamento: _______________.
Trasferimenti verso Paesi terzi:
I dati non saranno trasferiti verso Paesi terzi/organizzazioni internazionali, salvo quanto strettamente necessario e comunque nel rispetto delle garanzie previste dal GDPR (decisione di adeguatezza, clausole contrattuali standard, misure supplementari) e previa informazione all’interessato. Nel caso di trasferimenti, le destinazioni saranno: _______________ e le garanzie adottate: _______________.
Periodo di conservazione:
I dati personali saranno conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono raccolti e, in particolare: per tutta la durata del contratto di locazione; successivamente, per il periodo necessario ad adempiere agli obblighi fiscali, contabili e di legge e per la tutela dei diritti del titolare (ad es. prescrizione dei diritti), pari a _______________. I dati trattati sulla base del consenso saranno conservati fino a revoca del consenso e, comunque, non oltre il periodo compatibile con le finalità dichiarate: _______________.
Conseguenze del mancato conferimento dei dati:
Il conferimento dei dati personali contrattuali e fiscali è necessario per la stipula e l’esecuzione del contratto di locazione; il mancato conferimento di tali dati comporta l’impossibilità per il titolare di dare esecuzione al contratto e di adempiere agli obblighi inderogabili di legge. Per i dati il cui conferimento è facoltativo, il mancato rilascio può comportare la mancata esecuzione delle relative attività opzionali (es. marketing).
Diritti dell’interessato:
L’interessato ha il diritto di ottenere dal titolare l’accesso ai dati personali che lo riguardano e la rettifica o la cancellazione degli stessi, la limitazione del trattamento, di opporsi al trattamento, nonché il diritto alla portabilità dei dati, nei limiti e nei casi previsti dagli artt. 15-22 GDPR. L’interessato ha, altresì, il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) e di esercitare gli altri diritti previsti dalla normativa applicabile. Per esercitare i diritti, l’interessato può rivolgersi al titolare del trattamento ai seguenti recapiti: e-mail _______________, PEC _______________, indirizzo: _______________.
Revoca del consenso:
Qualora il trattamento si basi sul consenso dell’interessato, lo stesso potrà revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca. Modalità di revoca: _______________.
Profilazione e decisioni automatizzate:
Il titolare non effettua processi decisionali completamente automatizzati che producano effetti giuridici significativi sull’interessato, né profilazione sistematica salvo diversa indicazione. Eventuali attività di profilazione o decisione automatizzata avranno le seguenti caratteristiche e finalità: _______________, e gli interessati avranno le garanzie previste dal GDPR.
Misure di sicurezza:
Il titolare dichiara di aver adottato misure tecniche e organizzative adeguate per garantire la sicurezza e la riservatezza dei dati personali, comprensive di misure contro la perdita, l’accesso non autorizzato o la divulgazione non consentita.
Ulteriori informazioni:
Per ogni ulteriore informazione relativa al trattamento dei dati personali e per ottenere copia dell’informativa completa o dell’elenco dei responsabili nominati, contattare il titolare ai recapiti: _______________.