GDPR e condominio – Obblighi e responsabilità dell’ amministratore

GDPR e condominio

A partire dal prossimo 25 maggio entrerà ufficialmente in vigore il Regolamento Europeo in materia di protezione dei dati personali n. 679/2016, noto anche come “GDPR” (General Data Protection Regolation).

Il regolamento si rivolge a tutti i professionisti e le aziende che trattano i dati personali delle persone fisiche in maniera interamente o parzialmente automatizzata, o anche in maniera non automatizzata se i dati sono contenuti in un archivio o sono destinati a figurarvi.

Il condominio è un’ azienda, anche se finora non è mai stata ufficialmente riconosciuta.

Pertanto tutte le attività che riguardano la gestione e l’ organizzazione dei dati informativi è posta in capo all’ amministratore di condominio, in quanto rappresentante legale di fronte ai terzi e alla legge.

Il condominio potrebbe organizzarsi anche in maniera differente, ma finora non ha ritenuto di farlo.

Quando si parla di trattamento dei dati personali, si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione“.

Gli obblighi derivanti dal Regolamento Europeo ricadono a colui che è incaricato di trattare i dati personali.

Tali obblighi si possono suddividere in azioni sostanziali e azioni formali.

GDPR e condominio – punto di vista sostanziale

Il GDPR ha espresso il principio di responsabilizzazione (accountability) del titolare del trattamento e del responsabile del trattamento dei dati.

Egli dovrà essere in grado di dimostrare di aver adottato le misure tecniche e organizzative necessarie e adeguate affinché il trattamento rispetti i requisiti imposti dal Regolamento e assicuri la protezione dei dati personali.

Pertanto il responsabile del trattamento dei dati (ossia l’ amministratore di condominio), per conto del titolare del trattamento dei dati (ossia il condominio), dovrà proteggere e garantire i diritti degli interessati.

Ossia i condòmini, gli inquilini, etc…, riducendo per quanto possibile i rischi di violazione o perdita, anche accidentale, dei propri dati.

GDPR e condominio – punto di vista formale

L’ amministratore, per conto del condominio, dovrà predisporre l’informativa (artt. 13-14 Reg. UE 2016/679), che dovrà essere adeguata alle previsioni del GDPR.

Essa dovrà essere messa a disposizione degli interessati dei trattamenti, compreso a chi accede allo stabile dotato di sistemi di videosorveglianza.

L’informativa dovrà, tra l’altro, comprendere le generalità del titolare del trattamento e i suoi recapiti di contatto.

Inoltre le modalità e le finalità del trattamento dei dati, il periodo di conservazione dei dati, la natura obbligatoria o facoltativa del conferimento dei dati, il periodo massimo o il criterio di detenzione dei dati personali.

Nonchè anche i diritti garantiti agli interessati.

GDPR e condominio – Direttive per gli adempimenti di legge

1. L’amministratore può trattare i dati dei condomini in quanto svolge tale attività nell’ ambito dell’esecuzione di un contratto (di amministrazione condominiale).

2. I dati trattati devono essere quelli strettamente indispensabili all’ adempimento del suo contratto.

3. Per svolgere il trattamento di cui sopra l’amministratore deve fornire idonea informativa secondo le specifiche di legge.

Le attuali informative vanno quindi aggiornate e comunicate a tutti i condomini e/o terzi soggetti che si interfacciano con il condominio.

4. Ogni dato ulteriore rispetto a quelli strettamente indispensabili all’ adempimento del suo contratto può essere trattato solo previa autorizzazione del singolo soggetto interessato.

5. Le richieste pervenute in forza di uno dei diritti di cui al GDPR vanno adempiute in tempi ragionevoli (nel regolamento si fa riferimento, in vari casi, a trenta giorni dalla richiesta).

6. Lo studio di amministrazione deve essere adeguato ed organizzato in termini di sicurezza fisica e tecnologica (documenti non accessibili al pubblico, parco macchine aggiornato, antivirus, backup).

8. Gli adempimenti inerenti il DPO (nomina del Responsabile della Protezione dei dati) e DPIA (valutazione d’impatto sulla protezione dei dati) – non sembrano applicabili al condominio.

Ovviamente si consiglia di valutarne l’ applicazione nei casi in cui ci si confronti con grandi centri commerciali o grandi complessi.

GDPR e condominio – Nozioni generali

E’ evidente l’impossibilità di gestire un condominio senza trattare i dati personali dei condomini.

I dati personali sono tutte le informazioni relative al singolo condomino acquisite da parte dell’amministratore: Nome, cognome, indirizzo, numero di telefono, codice fiscale, coordinate bancarie, dati relativi ai consumi (…).

Sul punto, si richiama un estratto della sentenza della Corte di Cassazione n. 1593/2013:

“Va per altro verso osservato che, come questa Corte argomentando dal rilievo che ai sensi dell’art. 4, comma 1 lett. b), “dato personale” oggetto della tutela apprestata dal D.Lgs. n. 196 del 2003 (c.d. Codice della privacy, e già dalla L. n. 675 del 1996 ) è “qualunque informazione” relativa a “persona fisica, persona giuridica, ente o associazione”, che siano “identificati o identificabili”, anche “indirettamente, mediante riferimento a qualsiasi altra informazione” ha già avuto modo di affermare, i dati dei singoli partecipanti al condominio raccolti ed utilizzati per le finalità di cui agli artt. 1117 ss. c.c. sono senz’altro da ricondurre a tale nozione, e conseguentemente assoggettati alla disciplina posta dalla suindicata fonte.

Si è al riguardo precisato che, in ambito condominiale, le informazioni relative al riparto delle spese, all’ entità del contributo dovuto da ciascuno e alla mora nel pagamento degli oneri pregressi possono essere peraltro oggetto di trattamento anche senza il consenso dell’interessato”.

GDPR e condominio – Titolare e responsabile del trattamento dei dati

Il titolare del trattamento è la compagine condominiale.

Come noto né il condominio né tanto meno l’assemblea sono dotati di personalità giuridica.

Forse è più corretto affermare che il titolare del trattamento è il singolo condomino il quale, insieme agli altri, può determinare le finalità e i mezzi del trattamento.

L’assemblea è il luogo dove i contitolari svolgono il diritto di determinare le finalità e i mezzi per il trattamento dei dati.

In condominio ogni singolo condomino svolge anche il ruolo di interessato in quanto buona parte dei dati di gestione lo riguardano direttamente.

GDPR e condominio – Ruolo dell’amministratore

Il Garante aveva assimilato l’amministratore al ruolo di responsabile ritenendo facoltativo l’incarico formale.

Con il GDPR il responsabile deve essere nominato con un contratto il quale deve contenere le clausole particolari indicate nell’articolo 28.

Tale specifica ha posto la questione sull’ obbligo di nominare l’ amministratore in particolare quale responsabile del trattamento all’ interno del condominio.

Sul punto si possono formulare tre diverse interpretazioni:

1. L’amministratore deve essere formalmente incaricato dall’assemblea quale responsabile del trattamento. Ricordo che, al di là della tesi ritenuta più corretta, tale nomina “formale” è comunque sempre possibile.

2. L’amministratore può essere nominato quale incaricato del trattamento (e non responsabile); tale figura era prevista dal D.lgs 196/2003, ma non sembra essere vietata dal Gdpr.

Parte della dottrina ritiene invece che tale figura sia oggi categoricamente esclusa.

3. L’amministratore potrebbe essere infine visto come anch’egli titolare del trattamento in quanto, da una parte, è legittimato in forza della legge a trattare i dati dei condomini.

Dall’ altra, ha comunque autonomia di gestione nell’ambito di tale trattamento.

Si pensi, ad esempio, alle scelte in ordine al luogo ove conservare i dati dei vari fabbricati: server in locale o server virtuale.

Pertanto, poichè il titolare del trattamento “singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali”, l’amministratore di condominio – al pari del legale rappresentante delle società – può essere considerato titolare del trattamento unitamente ai condomini.

Questa visione semplifica i rapporti tra amministratore ed assemblea in materia di privacy in quanto supera la necessità di nominare  formalmente l’amministratore quale responsabile del trattamento.

Ovviamente ciò non toglie alcuna responsabilità in capo all’ amministratore il quale resta tenuto a rispettare tutte le prescrizioni previste dal Gdpr.

GDPR e condominio – Conclusioni

• I condomini sono titolari del trattamento ed interessati al trattamento.

Nei limiti delle possibilità conferite all’assemblea dal codice civile possono determinare le modalità di trattamento dei dati.

• L’assemblea non potrà impedire all’amministratore di trattare i dati necessari per le funzioni previste dal suo incarico.

• L’amministratore è, insieme ai condomini, titolare del trattamento e può essere formalmente nominato responsabile del trattamento.

• Nel caso di nomina formale a responsabile, ricordo che all’ interno del contratto di nomina (che può essere contenuto nella delibera di assemblea) dovranno essere indicate le condizioni di cui all’articolo 28 comma 3 del GDPR.

GDPR e condominio – modi leciti di trattamento dei dati

Come già avveniva in precedenza (D.Lgs 196/2003), si può scrivere che l’ amministratore può trattare i dati degli interessati  anche senza l’espresso consenso dei soggetti coinvolti dovendo adempiere al mandato conferitogli dall’assemblea.

Nell’ ambito delle funzioni di amministratore di condominio sono comprese tutte le attività prescritte dagli articoli del codice civile e dalle leggi speciali.

Il trattamento dei dati relativi ai condomini è quindi condizione necessaria per svolgere tutti i doveri in capo all’ amministratore.

Ad esempio, la convocazione delle assemblee, il calcolo dei quorum, il riparto delle spese (…).

• le autorizzazione su esposte sono limitate ai dati strettamente necessari e pertinenti allo svolgimento dell’incarico di amministratore;

• rientrano nell’ambito di tale incarico tutte le attività derivanti dagli articoli del codice civile.

• il fatto che non sia necessario un consenso da parte dell’interessato non esime il titolare del trattamento dagli obblighi di informativa e dagli altri obblighi previsti dal regolamento.

GDPR e condominio – Trattamento di categorie particolari di dati (articolo 9)

Salvo consenso esplicito dell’interessato per una o più finalità specifiche è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, i dati relativi alla salute ed all’ orientamento sessuale.

GDPR e condominio – Informativa

Anche se il consenso esplicito al trattamento non è richiesto, l’amministratore deve fornire al condomino l’informativa prevista dagli articoli 12, 13 e 14 del Regolamento UE 679/2016.

L’ informativa dovrà fornire tutti i requisiti indicati all’interno dei suddetti articoli.

L’ informativa dovrà essere inviata a tutti i soggetti che hanno a che fare con  il condominio: condomini, conduttori (di cui ho i dati), fornitori, etc…

GDPR e condominio – Diritti degli interessati

Ogni condomino ha diritto a veder corretti i propri dati; e comunque è dovere del condomino comunicare i dati corretti all’ amministratore.

• per ciò che concerne la cancellazione dei dati, il condomino potrà richiederla solo relativamente a quelli non necessari rispetto alla gestione dell’immobile ed all’ adempimento degli oneri contrattuali in capo all’amministratore;

• l’amministratore dovrà dare riscontro alla richiesta da parte del condomino entro un mese.

Le informazioni fornite all’ interessato sono normalmente gratuite.

Se le richieste dell’interessato sono manifestamente infondate ed eccessive (art. 12 comma 5 GDPR), in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitare un contributo spese ragionevole, oppure rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

GDPR e condominio – Responsabilità del trattamento dei dati

Per rispettare i principi previsti dal GEPR, il professionista dovrà, tenuto conto dello stato dell’arte, dei costi di attuazione, delle finalità del trattamento, dei rischi connessi al trattamento, determinare i mezzi e le misure tecniche adeguate.

Non sono più previste “misure minime”, ma è il singolo professionista a dover adeguare la propria attività allo stato dell’arte e della tecnica.

Il garante, all’ interno del suo vademecum, aveva precisato che per prevenire illecite comunicazioni e diffusioni di dati personali, l’amministratore doveva conservare la documentazione, sia cartacea, sia in formato elettronico (ad esempio: verbali, estratti conto, fatture, immagini del sistema di videosorveglianza, il registro dell’anagrafe condominiale) al riparo da intrusioni indebite, predisponendo adeguate misure di sicurezza a protezione dei dati.

GDPR e condominio – Modello di registro delle attività del trattamento

Uno dei modi per dimostrare di aver adempiuto agli obblighi previsti dal regolamento è quello di compilare e conservare il “Registro delle attività del trattamento” previsto all’ articolo 30.

Il registro deve descrivere l’organizzazione e le modalità con cui vengono trattati i dati.

…Leggi tutto.