Un’agenzia immobiliare raccoglie dati personali in ogni fase — incarico, sopralluogo, trattativa, rogito — e su almeno tre di questi fronti sbaglia sistematicamente: conserva più dati del necessario ai sopralluoghi, telefona a proprietari che hanno pubblicato annunci privati senza una base valida, e ignora la propria posizione rispetto ai portali immobiliari. A questo si aggiunge un obbligo che molti agenti sottovalutano: l’agente immobiliare è un soggetto obbligato antiriciclaggio (D.Lgs. 231/2007) e deve raccogliere e conservare i dati di adeguata verifica della clientela. Questa guida mette ordine tra le basi giuridiche, gli obblighi documentali e i punti dove il Garante concentra i controlli sul settore.
Punti chiave
- I dati raccolti al sopralluogo e nell’incarico si basano sul contratto e sulla richiesta dell’interessato; vanno raccolti secondo minimizzazione.
- L’agente immobiliare è soggetto obbligato antiriciclaggio: adeguata verifica e conservazione decennale dei dati KYC ex D.Lgs. 231/2007.
- I portali immobiliari agiscono come titolari autonomi per molti trattamenti: l’agenzia deve inquadrare il rapporto e mappare i flussi.
- Il cold calling ai proprietari con annunci privati richiede una base giuridica valida; il telemarketing senza consenso è la violazione più costosa del settore.
- Serve informativa al cliente e ai potenziali acquirenti, con finalità e tempi distinti per ciascun trattamento.
Dati raccolti all’incarico e al sopralluogo
Quando l’agenzia riceve un incarico o accompagna un cliente a visitare un immobile, raccoglie dati personali: recapiti, capacità di spesa, esigenze abitative, talvolta dati sulla composizione familiare. La base giuridica è il contratto o le misure precontrattuali su richiesta dell’interessato (art. 6, par. 1, lett. b, GDPR). Il principio guida è la minimizzazione (art. 5, par. 1, lett. c): si raccoglie ciò che serve alla trattativa, non un dossier completo sulla vita del cliente. All’interessato va consegnata un’informativa chiara: un modello di informativa privacy va adattato distinguendo il ruolo di venditore, acquirente e visitatore.
Antiriciclaggio: l’obbligo che rende titolare l’agente
L’agente immobiliare rientra tra i soggetti obbligati del D.Lgs. 231/2007 e deve eseguire l’adeguata verifica della clientela (KYC) per le operazioni sopra le soglie di legge, conservando i relativi dati per 10 anni. Questo trattamento ha base giuridica nell’obbligo legale (art. 6, par. 1, lett. c, GDPR): non serve consenso, ma serve un’informativa che lo dichiari e una conservazione blindata. Come per altri professionisti, la segnalazione di operazione sospetta all’UIF non può essere comunicata all’interessato.
I portali immobiliari sono titolari autonomi
Pubblicare un annuncio su un portale non significa che il portale sia un semplice fornitore dell’agenzia. Per la gran parte dei trattamenti — gestione degli utenti registrati, pubblicità, analytics — il portale agisce come titolare autonomo, con proprie finalità e propria informativa. L’agenzia deve quindi:
- inquadrare correttamente il rapporto (contitolarità, autonomia o, in casi limitati, responsabilità);
- mappare i flussi nel registro delle attività di trattamento;
- verificare la catena dei propri fornitori tecnologici (CRM immobiliare, gestionale, provider email).
Un modello di registro dei trattamenti aiuta a fotografare questi flussi; per i fornitori che trattano dati per conto dell’agenzia serve la nomina a responsabile ex art. 28.
Cold calling ai proprietari: dove sbagliano le agenzie
La pratica di telefonare ai proprietari che hanno pubblicato annunci di vendita tra privati, per proporsi come intermediari, è un terreno minato. Il numero pubblicato in un annuncio non equivale a un consenso al contatto commerciale, e le regole del telemarketing del Garante si applicano pienamente: serve una base giuridica valida e la verifica del Registro Pubblico delle Opposizioni. Il telemarketing senza consenso è la violazione più sanzionata in Italia: nel settore energetico il Garante ha comminato a Enel Energia una sanzione da 79,1 milioni di euro nel 2024 e da 26,5 milioni nel 2021, e a TIM 27,8 milioni nel 2020 — cifre che segnano il tetto del rischio per chiunque faccia marketing telefonico senza consensi in regola.
Conservazione e informativa: termini distinti per categoria
I dati vanno conservati con termini diversi a seconda della finalità:
| Categoria | Termine indicativo | Base |
|---|---|---|
| Dati antiriciclaggio (KYC) | 10 anni | Obbligo legale (D.Lgs. 231/2007) |
| Documenti della compravendita | 10 anni | Obblighi civilistici/fiscali |
| Contatti di potenziali clienti non conclusi | Tempo limitato | Interesse legittimo/consenso |
| Dati marketing | Fino a revoca consenso | Consenso |
Costruire questo schema richiede una tabella dei tempi di conservazione per categoria. Le decisioni del Garante sul telemarketing e sui database di contatti sono pubblicate su garanteprivacy.it, mentre il testo del Regolamento è consultabile su EUR-Lex. Per tenere insieme informative, registro, nomine e gestione dei consensi, un software GDPR per PMI mantiene la documentazione ordinata al crescere del portafoglio immobili.
Informativa e trasparenza verso venditori e acquirenti
L’agenzia tratta i dati di soggetti con posizioni diverse — chi conferisce l’incarico di vendita, chi cerca casa, chi partecipa a una visita — e a ciascuno deve un’informativa adeguata. L’errore comune è usare un’unica informativa generica che non chiarisce le finalità specifiche: pubblicazione dell’annuncio, comunicazione a potenziali acquirenti, verifiche antiriciclaggio, marketing. L’informativa deve indicare chi è il titolare, quali dati raccoglie, per quali finalità, su quali basi giuridiche, per quanto tempo li conserva e a chi li comunica (portali, notai, banche per il mutuo, soggetti antiriciclaggio). La trasparenza non è un adempimento formale: è ciò che rende lecito comunicare i dati del venditore ai potenziali acquirenti e viceversa.
Sicurezza dei dati e violazioni
Un’agenzia conserva documenti sensibili: copie di documenti d’identità, dati reddituali per la valutazione del mutuo, atti di provenienza. L’art. 32 GDPR impone misure di sicurezza adeguate — controlli di accesso al gestionale, protezione dei fascicoli cartacei, cautela nell’invio di documenti via email. In caso di violazione — furto del portatile con l’archivio clienti, invio di dati al destinatario sbagliato, attacco informatico — l’agenzia deve valutare il rischio e, se necessario, procedere alla notifica al Garante entro 72 ore. Una piccola agenzia non ha bisogno di un apparato complesso, ma di poche misure applicate con costanza e di una procedura chiara su cosa fare quando qualcosa va storto.
FAQ
Posso chiamare i proprietari che hanno messo un annuncio privato?
Con cautela. Il numero pubblicato in un annuncio non è un consenso al contatto commerciale: valgono le regole del telemarketing del Garante e va verificato il Registro Pubblico delle Opposizioni. Senza una base giuridica valida, il cold calling è illecito ed è la violazione più sanzionata del comparto.
L’agente immobiliare deve conservare i documenti antiriciclaggio?
Sì. L’agente è soggetto obbligato ex D.Lgs. 231/2007 e deve conservare i dati di adeguata verifica per 10 anni. Il trattamento si basa sull’obbligo legale (art. 6, par. 1, lett. c, GDPR), quindi non richiede consenso, ma va dichiarato nell’informativa.
Il portale immobiliare è un responsabile del trattamento?
Di norma no. Per la maggior parte dei trattamenti il portale agisce come titolare autonomo con proprie finalità e informativa. L’agenzia deve inquadrare correttamente il rapporto e non trattarlo come un semplice fornitore.
Serve il consenso per gestire la trattativa di vendita?
No. La gestione dell’incarico e della trattativa si basa sul contratto e sulle misure precontrattuali (art. 6, par. 1, lett. b, GDPR). Il consenso serve solo per finalità ulteriori come il marketing o la profilazione.
L’agenzia deve tenere il registro dei trattamenti?
In pratica sì. Anche una piccola agenzia tratta dati in modo non occasionale, gestisce categorie particolari nei fascicoli e comunica dati a terzi (portali, notai, banche, autorità antiriciclaggio): l’esenzione dell’art. 30, par. 5, non si applica. Il registro va tenuto in forma proporzionata all’attività e aggiornato a ogni nuovo trattamento o fornitore.
Vedi anche: il GDPR per le strutture ricettive, per le agenzie di marketing e per l’e-commerce.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial