Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo. I dati personali
di un individuo, quale consumatore, cliente o utente, altro non sono che il suo “corpo virtuale” e chi li tratta è considerato il loro custode e garante. Ma cos’è veramente la privacy? Si esaurisce con il diritto alla riservatezza? E cosa si intende per dato sensibile? Esistono dei livelli di sicurezza minimi imposti dalla legge ed ai quali il sistema di gestione privacy deve attenersi. A vigilare sulla liceità di tutte le operazioni afferenti ai dati personali di un soggetto – acquisizione, archiviazione, trattamento, cancellazione, modifica, aggiornamento, segnalazione di data breach, ecc. – è stato posto il Nucleo Speciale Privacy della Guardia di Finanza.
Considerato quanto sopra, alla luce delle severe sanzioni amministrative previste dalla normativa, appare evidente come ogni realtà professionale, anche quella relativa all’amministrazione condominiale, abbia necessità di essere coadiuvata, anche solo per verificare la presenza di criticità e non conformità del proprio sistema di gestione del flusso di dati.
Risulta evidente, infatti, che l’amministratore di condominio nell’esercizio della propria professione
tratti dati dei singoli condomini (nome e cognome, luogo e data di nascita, residenza, codice fiscale, recapito telefonico, e-mail, quotamillesimale di comproprietà dei beni comuni, morosità), ma anche di ulteriori soggetti come portieri, imprese di pulizie, addetti alla sorveglianza, fornitori, consulenti legali, fiscali, società di postalizzazione, tecnici ed anche di eventuali soggetti terzi come, ad esempio, nel caso di incedente in condominio o in presenza di un impianto di videosorveglianza.
Da una parte, quindi, viene richiesta all’amministratore di condominio una sempre maggiore professionalità e competenza tecnica. Dall’altra, però, la normativa, in attesa della pubblicazione
di tutte le Linee guida in materia da parte dell’Authority e delle prime interpretazioni giurisprudenziali, appare sempre più eterogenea e lacunosa.
Lo stesso Garante, dando atto dei numerosi dubbi interpretativi della normativa privacy in ambito condominiale, già nel lontano 2006, ha provveduto a rilasciare un apposito (ma non esaustivo) vademecum, riproposto poi nell’anno 2013 a seguito della riforma del Condominio.
Alla luce di questo risulta che Titolare del trattamento dei dati è il Condominio, mentre l’amministratore riveste la figura di Responsabile del trattamento dei dati.
Il Regolamento Europeo si rivolge in primis al Titolare del trattamento, soggetto primo ad essere sanzionato, su cui incombe l’obbligo di adeguarsi e di dimostrare di aver ottemperato al principio di “Accountability”, nonché l’obbligo di dimostrare di aver attuato tutte le misure tecniche ed organizzative necessarie per la tutela dei dati personali che si acquisiscono e si trattano.
La normativa europea impone, ai sensi degli artt. 29 e 39 del Regolamento, una formazione periodica e continuativa da parte del Responsabile del trattamento dei dati, che andrebbe quindi effettuata almeno con una periodicità annuale.
Per i Condòmini, occorre adoperarsi predisponendo idonee informative conformi alle disposizioni del Regolamento europeo, ad effettuare una specifica nomina scritta per il responsabile del trattamento (amministratore), a nominare quali responsabili esterni al trattamento dei dati i fornitori onde manlevare l’amministratore per usi impropri o furti dei dati.
È poi necessario verificare se sono state adottate tutte le procedure idonee in caso di impianto di videosorveglianza, sia nel caso di presenza di dipendenti sia in loro assenza, partendo da un attento esame della delibera di installazione dell’impianto di videosorveglianza, dalla verifica della cartellonistica utilizzata e delle informative complete predisposte. Inoltre, in caso di presenza del dipendente, è doveroso verificare i consensi perla comunicazione dei dati a consulenti esterni (ad esempio, il consulente del lavoro per la predisposizione delle buste paga).
Infine è indispensabile esaminare la corretta impostazione del sito condominiale.
Il responsabile del trattamento dei dati amministratore ha degli obblighi di trasparenza. In tal senso il GDPR impone di contrattualizzare il rapporto tra titolare e responsabile, specificando l’assunzione dell’incarico con un documento formale redatto dal Condominio titolare del trattamento, nel quale vengano specificati gli obblighi e i limiti del trattamento dati che effettuerà l’amministratore nello svolgimento del suo ruolo di responsabile del trattamento.
Il responsabile del trattamento secondo il GDPR, deve avere una competenza qualificata dovendo
garantire una conoscenza specialistica della materia, e dovrà attuare quelle misure tecniche e organizzative in grado di soddisfare i requisiti stabiliti dal regolamento europeo.
Appare evidente quindi, nella fattispecie che riguarda la gestione dei dati in ambito condominiale, come l’Amministratore possa farsi coadiuvare nello svolgimento dell’attività di responsabile da soggetti che abbiano la competenza qualificata richiesta dalla norma.
Da una lettura attenta, può evincersi come la formazione svolta secondo i parametri indicati dalle norme UNI 11697/2017, debba essere condizione imprescindibile per lo svolgimento dell’incarico di responsabile del trattamento dei dati.
Considerando poi che la qualifica di responsabile del trattamento, è implicita nell’atto di accettazione alla nomina ad amministratore del condominio, vi è da chiedersi se, la mancata acquisizione della “competenze qualifica” come richiesta dall’art. 28 del GDPR o quanto meno il suo affiancamento con soggetti qualificati, possa essere motivo di revoca giudiziale in quanto verrebbe a mancare uno dei requisiti obbligatori previsti dalla legge.
Per l’Amministratore di condominio, inoltre, occorre procedere all’esame dei rischi, alla verifica delle corrette policy interne per gli addetti ai trattamenti, all’esame del sito dello studio e al controllo sull’impiego delle misure adeguate per la sicurezza dei dati trattati, onde poter evitare il rischio delle pesanti sanzioni indicate nell’art. 83 del Regolamento.