E’ assolutamente necessario rispondere, in via preliminare, ad una domanda che tutti i professionisti del settore si pongono. Perché il Condominio, quale Titolare del Trattamento, e per esso l’amministratore quale Responsabile, è tenuto ad osservare i principi e le norme del regolamento in tema di “trattamento dati” n. 689/2016 noto come GDPR?
La risposta è assolutamente semplice infatti l’Ente di Gestione, sia pure senza personalità giuridica, (il Condominio) non è citato nell’alveo dell’art. 2 n.2 del GDPR laddove vengono pedissequamente elencati i casi in cui non si applica il regolamento in materia di trattamento dati; conseguentemente il Condominio ricade negli obblighi di cui all’art. 2 n. 1 del GDPR. Per via induttiva il principio o meglio l’obbligo si ricava anche dalle numerose direttive e provvedimenti sanzionatori emanati dal Garante della privacy (oggi Autorità di Controllo). Se il Condominio non fosse tenuto all’osservanza delle norme dette ci si dovrebbe chiedere qual è il presupposto normativo in forza del quale, solo nel 2021, sono state irrogate sanzioni pecuniarie per oltre € 1.200.000,00 a Condomini e Amministratori.
Risolto questo aspetto ci chiediamo quali siano i presupposti normativi che ci inducano ad identificare, oggi, quale Titolare del trattamento dei dati “Il Condominio” e l’Amministratore “Responsabile” ex art. 28 nell’accezione non di mera responsabilità , ma quale soggetto che tratta i dati per conto del Titolare.
Le incertezze sul punto sono state oggetto di valutazioni e controversie di natura giurisdizionale negli anni in quanto si sempre avuta la necessità di capire chi fosse, nel Condominio, il Titolare e che ruolo, di fatto, avesse l’amministratore anche al fine di dirimere questioni pregnanti e fondamentali tale da far comprendere la questione dell’obbligatorietà del rispetto del GDPR e le responsabilità, nella accezione di rispondere dinnanzi l’Autorità Garante ovvero innanzi l’Autorità Giudiziaria delle conseguenze e delle sanzioni derivanti dalla inosservanza del piu’ volte citato regolamento.
Sul punto non appare peregrino rammentare che il regolamento 679/2016 è una legge emanata dal Parlamento Europeo ed essa, in quanto tale, immediatamente applicabile nei Paesi membri. Per altro è corretto ricordare a chi legge, che le leggi emanate dal Parlamento europeo sono addirittura di rango superiore rispetto alle leggi ordinarie domestiche; esse sono di rango inferiore solo alle leggi costituzionali. Solo già per la dedotta considerazione si percepisce la portata e l’obbligatorietà in ordine alla perfetta osservanza di una legge di rango superiore alla legge ordinaria Italiana.
PERCHÉ L’AMMINISTRATORE DI CONDOMINIO É IL RESPONSABILE DEL TRATTAMENTO DATI DEL CONDOMINIO
Ci si è chiesto reiteratamente quale sia la configurazione privacy a cui deve ricondursi la figura dell’amministratore e ancor prima il “Condominio”. Quale dei due soggetti ha, di fatto, il potere di determinare finalità e i mezzi del trattamento dei dati personali e, quindi, di assumere il ruolo di “Titolare” e quindi determinare su chi gravano gli obblighi posti dal GDPR in capo al Titolare. La questione purtroppo, spesso, è sottovalutata o addirittura non condivisa dai soggetti direttamente coinvolti. Partiamo da un presupposto ripetuto dall’Autorità Garante e dall’Autorità Giudiziaria quando adita: Il GDPR si applica al mondo condominiale così come si applica a chiunque effettui trattamenti che non ricadono nelle esclusioni esplicitamente previste dall’art. 2 n.ro 2-
Fatta questa obbligatoria premessa, per poter correttamente individuare la qualificazione dell’amministratore dobbiamo partire dall’identificare, all’interno del Condominio, il soggetto che opera come “titolare” del trattamento.
E’ indiscutibile che il mancato riconoscimento espresso della personalità giuridica del Condominio nelle pieghe della legge di riforma (legge 220/2012) non ha che alimentare e dare voce alle resistenze che gli addetti, piu’ preoccupati di difendere interessi corporativi che applicare la legge, verso l’accettazione di un soggetto “Condominio” che possa configurarsi, in ambito privacy, come Titolare. Ma poichè la realtà condominiale non rientra tra quelle esentate ai sensi dell’art. 2 n.2 del GDPR, ciò ci conduce a dedurre che il “Condominio” rientri tra i soggetti che determinano finalità e mezzi del trattamento dei dati personali di una serie di soggetti, definiti “interessati”, che non si esaurisce con i soli proprietari delle unità immobiliari condominiali ma si estende ai “conduttori” e a tutti i soggetti titolari di un diritto reale di godimento nonché, ovviamente, a tutte le altre figure che gravitano nel mondo condominiale come i “fornitori”. Parliamo di un numeroso gruppo di interessati i cui dati devono essere trattati correttamente previa una corretta individuazione dei ruoli.
Per altro in tempi non sospetti, e molto prima che fosse licenziato l’attuale regolamento, il Garante si era espresso attribuendo ai sigg. condomini la “contitolarità” del trattamento dei dati nell’ambito della comunione condominiale. Certamente tale assunto non è stato scevro da censure alla luce del fatto che i contitolari assumono, assieme ad altri soggetti, anche il titolo di “interessati”. Ma tale aspetto risulta superato da valutazioni assolutamente condivisibili attesa l’attuale riconduzione del condominio al concetto di “Ente di Gestione” sfornito di personalità giuridica, distinta da quella dei “comunisti” che pone l’assunto in maniera accettabile e coerente rispetto ai principi giuridici enunciati.
Quanto sopra esposto, come si ripete, concetto espresso piu’ volte dal Garante oggi va letto nell’ottica dell’art. 26 GDPR che definisce “contitolari” piu’ titolari i quali determinano , nella sostanza, congiuntamente, i mezzi e le finalità del trattamento.
A questo punto possiamo determinare il ruolo attribuito all’amministratore posto che è stato chiarito che la titolarità spetta, in maniera congiunta , ai componenti della comunione condominiale, in buona sostanza al “Condominio”, con la conseguenza che “l’Organo rappresentativo unitario” come viene definito dagli Ermellini l’Amministratore, che ha , ovviamente, una connessione immediata e diretta con il soggetto titolare, potrebbe apparire, prima facie, un altro contitolare del trattamento dati. Ma cosi’ non è!
Sia pure faticosa la ricapitolazione delle funzioni attribuite all’amministratore dal codice civile, come novellato dalla legge 220/2012 in materia di condominio, ci porta per mano ad individuare tutta una serie di precipue connotazioni che propendono per la mancanza, in capo al professionista, di quel potere di determinazione delle finalità e dei mezzi del trattamento che contraddistingue il Titolare con la conseguenza che l’amministratore non può essere gravato di un cosi’ complesso incombente giuridico non trovando il contraltare in uno speculare potere di determinazione. Ritenere quindi che l’Amministratore possa essere individuato come “Titolare” è una strada difficile da percorrere salvo che ci si riferisca, in senso lato, alle funzioni di rappresentanza che lo stesso ricopre rispetto all’Ente di gestione nel quale i “comunisti” si ritrovano a ricoprire il ruolo di contitolari.
Non pare peregrino aggiungere che se il sol motivo di individuare l’amministratore come Titolare è il suo ruolo di rappresentante legale, ci porta a conclusioni diverse in quanto parrebbe piu’ consono ipotizzare una autorizzazione al trattamento dei dati ai sensi e per gli effetti dell’art. 29 del GDPR o extrema ratio riconducibile alla figura del “soggetto designato” di cui al decreto leg.vo 101/2018-
Per contro appare piu’ ragionevole e razionale individuare l’Amministratore come “Responsabile” del trattamento dati così come previsto dall’art. 28 del GDPR in quanto l’attività che pone in essere è posta “per conto” dello stesso condominio e quindi non possiamo in nessun modo qualificarlo con la ormai superata denominazione di responsabile interno di cui all’ormai superato (per buona parte) codice privacy (decr, leg.vo 196/2003).
Quindi deve convenirsi che l’amministratore è, invece, un responsabile del trattamento in quanto professionista che svolge per conto del Condominio e in autonomia (e quindi dall’esterno) una attività che implica un trattamento di dati personali (in qualche raro e preciso caso anche di dati particolari di natura sanitaria) di soggetti “interessati”, nei confronti dei quali il Condominio assume la veste di Titolare del trattamento.
A parere di chi scrive quindi il ruolo di Responsabile è implicito nella veste di amministratore, tecnicamente in re ipsa quindi l’amministratore dal momento della nomina o della riconferma e dell’accettazione, è di fatto “il responsabile” del trattamento. Quanto dedotto farebbe presupporre che non è necessaria una nomina formale dell’amministratore quale Responsabile, ma ciò non si conformerebbe ai dettati di cui all’art. 28 che presuppone la necessità di un formale incarico nell’alveo di un “contratto” o di un atto equipollente e presuppone l’accertamento, da parte del Titolare, dei requisiti necessari posseduti dal Responsabile deputato a un compito che comporta gravose incombenze e conseguenti responsabilità e il tutto nell’ambito di quel complesso coacervo di intenti e di obblighi che si identificano nella cosi detta “accountability”.
Infatti il regolamento non prevede una ”investitura” che sarebbe superflua oltre che inutile, deve emergere invece il riconoscimento di un ruolo che verrà esercitato da un soggetto che si impegna a svolgerlo nel rispetto di una serie di obblighi e di regole cogenti. Quindi un atto di nomina è obbligatorio, per altro di natura bilaterale, in cui Titolare e Responsabile convengono sulla necessità di garantire una puntuale osservanza delle complesse norme dedotte.
Ad abundantiam come potrebbe il Condominio nella veste di Titolare del trattamento dimostrare di avere adottato “misure tecniche e organizzative” adeguate come richiesto dall’art. 32 del GDPR qualora non avesse alla base provveduto ad una, quanto meno, basica valutazione delle condizioni di sicurezza offerte dal soggetto che detiene e custodisce l’intera documentazione condominiale, delle modalità con cui il trattamento viene effettuato presso lo studio del professionista nominato e delle ulteriori garanzie di riservatezza e formazione del personale legittimamente autorizzato al trattamento. Da ciò discende l’obbligo di una nomina, secondo i dettati dell’art. 28 GDPR, sia pur breve coincisa, ma pregnante.
SCHEMA ESEMPLIFICATIVO DELL’APPLICABILITÀ DEL G.D.P.R. NEL CONDOMINIO
| DESCRIZIONE | APPLICABILITA’ AL CONDOMINIO | SOGGETTI COINVOLTI AL RISPETTO |
| Regolamento Europeo 2016/679 – GDPR: regolamento relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la direttiva 95/46/CE | Sì | Condominio Amministratore del condominio Incaricati/Autorizzati del condominio e dell’amministratore e altri responsabili esterni |
| ANC Autorità Nazionale di Controllo: autorità competente per la gestione dei reclami o di eventuali violazioni al GDPR e delle norme nazionali in materia di protezione dei dati | Sì | Possono rivolgersi tutti coloro che ritengono violati i propri diritti privacy: tutte le persone fisiche i cui dati personali sono trattati dal condominio |
| Reg. Europeo in materia di trattamento dati personali- “Come integrato da D.lgs. 101/2018 | Sì | Sono chiamati al rispetto tutti i soggetti che trattano dati personali: condominio amministratore, responsabile interno ed esterno |
| Dati personali: qualunque informazione relativa a una persona fisica, identificata o identificabile, anche indirettamente, attraverso altre informazioni, ivi compreso un numero di identificazione personale | Sì | Nome, cognome, codice fiscale, interno e scala dell’abitazione, consumi idrici/riscaldamento, dati catastali, recapiti telefonici, email, fotogrammi, targhe automobilistiche, etc.… |
| Dati biometrici: dati personali relativi alle caratteristiche fisiche, fisiologiche comportamentali di una persona fisica che ne consentono confermano l’identificazione univoca attraverso il loro trattamento | Sì | Utilizzo di strumenti per il rilevamento di immagini facciali, impronta digitale, sistemi di videoripresa cosiddetti intelligenti |
| Dati sanitari: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute | Sì | Referti del pronto soccorso in caso di sinistro, documentazione per l’abbattimento di barriere architettoniche |
| Dati sensibili: dati personali idonei rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati o associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché dati personali idonei a rilevare lo stato di salute e la vita sessuale | Sì | Busta paga di un dipendente con ritenute sindacali, indicazioni riferite a handicap, cambio di sesso |
| Finalità: scopo determinato, esplicito legittimo che viene perseguito dal titolare del trattamento | Sì | Amministrazione, contabilità, sicurezza, gestione del bene comune |
| Trattamento dei dati: qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione di dati personali, anche se non registrati in una banca dati | Sì | Tutte le operazioni effettuate con i dati personali dal momento della raccolta (ad esempio subentro, nuova locazione, acquisizioni immagini, passaggio di consegne.), distruzione (cancellazione dati da supporti informatici, distruzione archivi cartacei – per l’amministratore non coincide con il passaggio di consegne dei documenti condominiali) |
| Titolare del trattamento: persona fisica o giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità di trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza | Sì | Condominio, amministratore all’interno del suo studio |
| Responsabile del trattamento: persona fisica o giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento | Sì | Amministratore del condominio – altri responsabili su nomina del titolare del trattamento dei dati o dal responsabile del trattamento se autorizzato dal titolare |
| Incaricato: persona fisica autorizzata a compiere operazioni di trattamento sulla base delle istruzioni ricevute dal titolare e/o dal responsabile, ove designato | Sì | Dipendente del condominio, collaboratori di studio dell’amministratore |
| Interessato: persona fisica a cui si riferiscono i dati personali | Sì | Tutte le persone fisiche i cui dati sono trattati dal condominio (detentori di diritti reali e di godimento – avventori in caso di videosorveglianza) |
| Informativa: documento contenente le informazioni che il titolare deve fornire all’interessato per chiarire se quest’ultimo è obbligato o meno a rilasciare i dati personali, le conseguenze di un eventuale rifiuto al rilascio dei dati personali, quali sono le finalità e le modalità del trattamento, i | Sì | Documento obbligatorio da consegnare o rendere disponibile a tutti gli interessati i cui dati personali sono oggetto di trattamento da parte del condomino |
| soggetti che entrano in contatto con i suoi dati personali, come circolano i dati personali e in che modo esercitare i diritti riconosciuti dal GDPR | Sì | |
| Consenso: Manifestazione di volontà libera, specifica e informata dell’interessato con cui questi accetta espressamente che i suoi dati siano fatti oggetto di trattamento | Sì | È necessario raccoglierlo quando vengono effettuati trattamenti dei dati diversi dalle finalità per i quali sono stati raccolti |
| Misure di sicurezza: Complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello adeguato di sicurezza | Sì | Il Condominio, l’amministratore e gli altri responsabili sono tenuti a garantire la sicurezza dei dati trattati non solo livello informatico ma anche cartaceo |
| Responsabile Protezione dei dati (DPO): Professionista esterno o interno all’azienda, che il titolare nomina al fine di avere al suo interno un punto di riferimento esperto privacy | Dipende | Il Responsabile della protezione dei dati deve essere nominato, dal titolare e/o dal responsabile del trattamento dei dati, nei casi in cui il trattamento effettuato richieda monitoraggio regolare sistematico degli interessati su larga scala. |
| Valutazione Impatto Privacy (VIP) – Data Protection Impact Assessment (DPIA): è la valutazione che il titolare del trattamento deve effettuare ogni qualvolta possa esserci un rischio elevato per i diritti e le libertà delle persone interessate | Sì | Il Condominio e/o l’amministratore quale responsabile del trattamento dei dati ogni qual volta intendano eseguire un trattamento di dati che possa mettere a rischio i diritti e le libertà degli interessati devono effettuare una valutazione di impatto. Un sistema di videosorveglianza o il controllo degli accessi in un complesso residenziale possono essere oggetto di VIP; |
| Registro dei trattamenti: registro delle attività di trattamento, conservato dal titolare | Dipende | Con comunicato stampa del 8 ottobre 2018 l’AdC ha introdotto l’obbligo della redazione del registro in caso di trattamento di dati di natura particolare. In ogni caso è necessaria la sua redazione in presenza di dipendenti. |
| Registro delle violazioni: documento in cui riportare le violazioni dei dati personali subite nel tempo | SI | Strumento utile in caso di verifica da parte dell’AdC per dimostrare il rispetto del GPDR relativamente alle misure di sicurezza |
| Comunicazione violazione dati personali (Data Breach): comunicazione delle violazioni dei dati personali all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza salvo che non sia probabile che la violazione presenti un | Sì | Qualora il Condominio subisca una violazione dei dati personali trattati, ad esempio le immagini di un impianto di videosorveglianza, esso è tenuto a dare comunicazione all’Autorità di controllo entro 72 ore. |
| rischio per i diritti degli interessati. In caso di violazione subita dal responsabile del trattamento, esso è tenuto a darne tempestiva comunicazione al titolare | Sì | Allo stesso modo l’amministratore che subisce una violazione deve dare tempestiva comunicazione al titolare, il Condominio, che provvederà a segnalarlo all’Autorità. Se esiste un pericolo per le libertà e i diritti degli interessati, il titolare, quindi il condominio, è tenuto alla comunicazione a ogni interessato |
| Amministratore di sistema (AdS): professionista che, in ambito informatico, gestisce e mantiene un impianto di elaborazione dati | Dipende | Se il Condominio, al suo interno, è dotato di una rete informatica per l’elaborazione dei dati e demanda a un soggetto la gestione/manutenzione, come ad esempio la gestione delle password, backup, registrazione log, accessi remoti, occorre la nomina specifica ad amministratore di sistema. Lo stesso l’amministratore che utilizza un tecnico esterno che ha accesso all’impianto informatico, dovrà nominare ad AdS il tecnico incaricato |
QUALI SONO I PRINCIPALI COMPITI DEL CONDOMINIO E DELL’AMMINISTRATORE DI CONDOMINIO RISPETTO ALLA NORMATIVA PRIVACY EUROPEA
CONDOMINIO
Titolare del trattamento artt. 4 (7) – 24 GDPR
1) Predisposizione informativa adeguata in rispetto del GDPR art. 13 GDPR
2) rispettare e far rispettare i principi del regolamento e i diritti degli interessati (art. 5 e artt. dal 15 a 22 Reg. UE 2016/679);
3) trattare i dati secondo liceità (art. 6 Reg. UE 2016/679;
4) provvedere alle nomine dei responsabili al trattamento e/o autorizzati;
5) predisporre misure di sicurezza adeguate qualora vengano svolti trattamenti presso il condominio;
6) verificare che responsabili del trattamento nominati presentino garanzie sufficienti per il rispetto del regolamento e garantiscano i diritti degli interessati; 7) formazione delle persone che hanno accesso a dati personali:
8) valutare l’impatto privacy prima di ogni nuovo trattamento;
9) comunicare all’Autorità di controllo eventuali violazione di dati anche se a carico del
responsabile del trattamento dei dati entro 72 ore dalla conoscenza. In caso di rischio per la libertà e i diritti fondamentali degli interessati, comunicare la violazione anche a quest’ultimi;
AMMINISTRATORE DI CONDOMINIO
Responsabile del trattamento artt. 4 (8) – 28 GDPR
- Trattare i dati solo secondo le finalità e le modalità del suo mandato e dettate dalla legge (obbligo giuridico);
- garantire la riservatezza delle persone da lui autorizzate al trattamento dei dati (collaboratori);
- adottare e dare evidenza delle misure di sicurezza presenti presso il suo studio;
- assistere il titolare del trattamento, il condominio, nel garantire i diritti degli interessati;
- assistere il titolare del trattamento, il condominio, al rispetto delle misure di sicurezza dei dati trattati, ai rapporti con l’Autorità di controllo, Garante, a valutare l’impatto di nuovi trattamenti;
- rispetto dei diritti degli interessati da parte del titolare;
- consentire le ispezioni da parte del titolare per la verifica del rispetto del GDPR:
- informare immediatamente il titolare se uno dei trattamenti violi il regolamento o vi siano violazione dei dati in suo possesso;
- nel caso di violazione del regolamento e determinazione delle finalità e dei mezzi del trattamento, viene considerato un titolare del trattamento
