Preliminarmente, giova specificare che l’amministratore di condominio viene a conoscenza e utilizza moltissimi dati dei condomini e dei soggetti che detengono diritti reali o di godimento su immobili condominiali ed effettua operazioni su dati personali per la gestione dei beni comuni.
Ed infatti, l’art. 1130, comma 6 c.c. obbliga l’amministratore condominiale a curare la tenuta del registro di anagrafe contenente le generalità dei singoli proprietari e dei titolari di diritti reali e di diritti personali di godimento, comprensive del codice fiscale e della residenza o domicilio, i dati catastali di ciascuna unità immobiliare, nonché ogni dato relativo alle condizioni di sicurezza delle parti comuni dell’edificio. Obbligo reso ancora più reale con l’entrata in vigore il Regolamento UE 2016/679 in materia di privacy (GDPR).
Si ricorda che, ai sensi della normativa citata, si considera dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (c.d. “interessato”), intendendo per persona fisica chiunque possa essere identificato, direttamente o indirettamente, con un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on-line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4 GDPR).
I dati personali dei singoli condomini
I dati personali dei singoli condomini vengono necessariamente acquisiti dall’amministratore e, poi, trattati.
Per dati personali, nel caso di specie, s’intendono ad es. nome, cognome, indirizzo, numero di telefono, codice fiscale, coordinate bancarie e dati relativi ai consumi effettuati.
Sul punto si richiama la sentenza della Corte di Cassazione n. 1593/2013 la quale statuisce che “[…]ai sensi dell’art. 4, comma 1 lett. b), “dato personale” oggetto della tutela apprestata dal D. Lgs. n. 196 del 2003 (c.d. Codice della privacy, e già dalla L. n. 675 del 1996 ) è “qualunque informazione” relativa a “persona fisica, persona giuridica, ente o associazione”, che siano “identificati o identificabili”, anche “indirettamente, mediante riferimento a qualsiasi altra informazione”.
Si può quindi affermare che i dati dei singoli partecipanti al condominio raccolti ed utilizzati per le finalità di cui agli artt. 1117 ss. c.c. sono senz’altro da ricondurre a tale nozione, e conseguentemente assoggettati alla disciplina posta dalla suindicata fonte.
Si è al riguardo precisato anche che, in ambito condominiale, le informazioni relative al riparto delle spese, all’entità del contributo dovuto da ciascuno e alla mora nel pagamento degli oneri pregressi possono essere oggetto di trattamento anche senza il consenso dell’interessato.
Il ruolo del condominio e dell’amministratore di condominio alla luce del GDPR
I soggetti che effettuano operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione sono soggetti alle norme di cui al regolamento UE 2016/679 (art. 4 Regolamento UE 2016/79).
Tra questi soggetti vi rientra, dunque, l’amministratore di condominio, nella sua qualità di rappresentante legale dello stesso condominio, il quale rappresenta sia il titolare dei dati (in quanto determina le finalità ed i mezzi del trattamento dei dati personali) sia il responsabile del trattamento dei dati (poiché tratta i dati personali per conto del titolare del trattamento).
L’art. 4 , parag. 1, p. 8 del Regolamento in esame statuisce che il condominio deve dotarsi di un proprio disciplinare col richiamo esplicito a norme del GDPR che deve rendere disponibile alla compagine condominiale ed all’amministratore di condominio nella veste di titolare del trattamento dei dati.
Il Garante della privacy, con il provvedimento del 18 maggio del 2006 doc. Web n. 1297626, chiariva già il ruolo del Condominio, riconoscendolo quale “Titolare del trattamento dei dati” ossia come colui che assume le decisioni in ordine alla finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza (art. 4 c. 2 lett. f D.Lgs 196/2003).
L’amministratore, invece, può essere nominato in veste di responsabile del trattamento (colui che per conto del titolare svolge i compiti assegnati utilizzando i dati personali raccolti dal titolare secondo determinate finalità) ai sensi degli artt. 4, comma 1, lett. g), e 29 D.Lgs 196/2003. In base all’art. 28 del Regolamento UE 2016/79 il condominio è, pertanto, un ente di gestione che demanda la maggior parte dei trattamenti all’amministratore con l’obbligo di nominarlo come responsabile del trattamento.
Il responsabile del trattamento dei dati (l’amministratore di condominio), per conto del titolare del trattamento dei dati (il condominio), ha l’obbligo di proteggere e garantire i diritti degli interessati (i condòmini, gli inquilini e così via) riducendo per quanto possibile i rischi di violazione o perdita, anche accidentale, dei propri dati.
Cosa cambia per l’amministratore di condominio col GDPR
Con il GDPR il Titolare del trattamento resta il Condominio che, non essendo dotato di propria struttura demanda tutti gli adempimenti all’amministratore che svolge le funzioni nelle sue qualità di professionista esterno (svolge le attività per la gestione condominiale presso il suo studio) e rappresentante legale del condominio. Ciò detto, possiamo affermare con chiarezza che gli obblighi sono a carico dell’amministratore e non del Condominio.
Una novità introdotta dal GDPR è il principio di responsabilizzazione dei titolari e responsabili del trattamento dei dati. Tale principio si esplica nell’adozione di comportamenti da parte del titolare del trattamento tali da dimostrare la concreta attuazione di misure tecniche e organizzative finalizzate ad assicurare l’applicazione del regolamento: decisione autonoma sulle modalità, sulle garanzie e sui limiti del trattamento dei dati personali; dimostrazione di svolgimento delle azione volte a ridurre al minimo il rischio di violazione o di perdita anche accidentale di dati.
Vengono, pertanto, ampliate le responsabilità ed i doveri del responsabile del trattamento. In base all’art. 24 del Regolamento de quo, l’assemblea ed il suo legale rappresentante devono:
- far predisporre un’informativa adeguata e conforme al GDPR detiene un diritto reale o di godimento e i cui dati sono in possesso del condominio o di chiunque accede in uno stabile dotato di videosorveglianza;
- rispettare e far rispettare i principi del regolamento e i diritti degli interessati (art. 5 e artt. 12 – 22 Reg. UE 2016/679);
- trattare i dati secondo liceità (art. 6 Reg. UE 2016/679);
- provvedere in forma scritta alle nomine dei responsabili al trattamento e/o autorizzati (amministratore di condominio, fornitori di servizi che utilizzano dati personali, videosorveglianza e dipendenti del condominio);
- predisporre misure di sicurezza adeguate qualora vengano svolti trattamenti presso il condominio (ad esempio un archivio cartaceo, registrazioni immagini, smistamento corrispondenza e raccolta pacchi e monitoraggio degli accessi come lettura targhe);
- valutare l’impatto privacy prima di ogni nuovo trattamento (ed esempio installazione di impianto di videosorveglianza, apertura varchi da remoto e registrazione accessi e utilizzo videocitofono da remoto);
- informare il titolare se uno dei trattamenti violi il regolamento o vi siano violazione dei dati in suo possesso.
In particolare, l’amministratore, in qualità di responsabile del trattamento, deve:
- trattare i dati solo secondo le finalità e le modalità del suo mandato e dettate dalla legge (obbligo giuridico);
- garantire la riservatezza delle persone da lui autorizzate al trattamento dei dati (collaboratori);
- adottare e dare evidenza delle misure di sicurezza presenti presso il suo studio;
- assistere il titolare del trattamento, il condominio, nel garantire i diritti degli interessati;
- assistere il titolare del trattamento, il condominio, al rispetto delle misure di sicurezza dei dati trattati, ai rapporti con l’Autorità di controllo, Garante, a valutare l’impatto di nuovi trattamenti;
- attenersi al rispetto dei diritti degli interessati da parte del titolare;
- consentire le ispezioni da parte del titolare per la verifica del rispetto del GDPR;
- informare immediatamente il titolare se uno dei trattamenti violi il regolamento o vi siano violazione dei dati in suo possesso;
- prima di nominare altro responsabile esterno (ad es. servizi in cloud), demandare alcuni servizi o detenere i dati personali presso provider inserire nella nomina a responsabile del trattamento, che ricordo dovrà essere in forma scritta, una deroga all’art. 28 par. 2, circa l’autorizzazione preventiva da parte del titolare.
Il rispetto degli obblighi sanciti dal GDPR ed il registro delle attività del trattamento
L’amministratore di condominio deve tener conto dello stato dell’arte, dei costi di attuazione, delle finalità del trattamento, dei rischi connessi al trattamento, determinare i mezzi e le misure tecniche adeguate.
Non sono più previste “misure minime”, ma è il singolo professionista a dover adeguare la propria attività allo stato dell’arte e della tecnica.
Per prevenire illecite comunicazioni e diffusioni di dati personali, l’amministratore deve conservare la documentazione, sia cartacea, sia in formato elettronico (ad esempio: verbali, estratti conto, fatture, immagini del sistema di videosorveglianza, il registro dell’anagrafe condominiale) al riparo da intrusioni indebite, predisponendo adeguate misure di sicurezza a protezione dei dati (Cfr. vademecum del Garante della Privacy).
Deve anche compilare e conservare il registro delle attività, previsto dall’art. 30 del Regolamento, dove descrive le organizzazioni e le modalità del trattamento dei dati.
L’informativa sui dati personali
L’informativa sui dati personali è il principale documento da consegnare agli interessati di cui sopra poiché li informa circa
- le finalità per cui i suoi dati vengono trattati;
- le modalità del trattamento degli stessi;
- la natura obbligatoria o facoltativa del conferimento dei dati;
- i soggetti che possono venirne a conoscenza in qualità di autorizzati o di responsabili del trattamento;
- l’ambito di comunicazione o di diffusione dei dati medesimi;
- il periodo massimo o il criterio di detenzione dei dati personali e dei suoi diritti in qualità di interessato.
Gli artt. 13-14 Reg. UE 2016/679 sanciscono che l’informativa dovrà essere adeguata alle previsioni del GDPR e dovrà pervenire o essere messa a disposizioni degli interessati, ossia coloro che detengono il diritto reale o di godimento i cui dati sono in possesso del condominio o di chi accede allo stabile dotato di sistemi di videosorveglianza.
Dovrà inoltre contenere le generalità del titolare del trattamento e i suoi recapiti di contatto, le modalità e le finalità del trattamento dei dati, il periodo di conservazione dei dati, la natura obbligatoria o facoltativa del conferimento dei dati, il periodo massimo o il criterio di detenzione dei dati personali e dei suoi diritti in qualità di interessato. Le medesime informazioni andranno fornite anche laddove vi sia una persona che svolge funzioni analoghe a quelle dell’amministratore.
Il trattamento dei dati personali sensibili
Innanzitutto, giova sottolineare che i dati personali dovranno essere trattati secondo liceità (art. 6 GDPR). Il trattamento si considera lecito nel caso in cui ricorra una delle seguenti condizioni:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (eccetto nel caso di trattamento da parte di pubbliche autorità nell’esecuzione dei loro compiti).
Il trattamento dei dati, in linea generale, deve essere possibile previo consenso dell’interessato o sulla base di un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata.
Al fine di di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto anche del nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; del contesto in cui i dati personali sono stati raccolti (in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento); della natura dei dati personali (ai sensi degli artt. 5 e 10 R. GDPR); delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati e dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
Nello specifico, però, l’amministratore di condominio può ben trattare i dati dei condomini senza consenso degli stessi (D. LGS N. 196/2003), dovendo adempiere al mandato conferitogli dall’assemblea ed essendo condizione necessaria per svolgere i suoi doveri, purché le autorizzazioni siano limitate ai dati strettamente necessari e pertinenti allo svolgimento dell’incarico di amministratore; rientrino nell’ambito di tale incarico tutte le attività derivanti dagli articoli del codice civile; il titolare del trattamento adempia agli obblighi di informativa e agli altri obblighi previsti dal regolamento.
Con tutto ciò, in caso di trattamento dei dati personali che dovessero rilevare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, deve raccogliere il consenso presso l’interessato (art. 9 Reg. UE 2016/679).
I dati personali sensibili (ad esempio riguardanti l’origine razziale o etnica, le opinioni politiche, la salute o la vita sessuale o l’orientamento sessuale della persona) necessitano di un consenso esplicito prestato dall’interessato (art. 9 Reg. UE 2016/679).
I dati raccolti dall’amministratore dovranno inoltre essere trattati in maniera pertinente e non eccedente le finalità di gestione e amministrazione precisate al momento della raccolta degli stessi dati personali; ad esempio indirizzi e dati anagrafici saranno trattati per la convocazione delle assemblee condominiali, ma non potranno essere divulgati per finalità eccedenti.
L’interessato ha, comunque, in ogni caso, sempre diritto a chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati.
Il diritto dei condomini alla modificazione dei dati
Ogni condòmino ha diritto a vedere corretti i propri dati previa comunicazione all’amministratore di condominio che ha l’obbligo di evadere la richiesta entro un mese.
Gli interessati possono anche chiedere la cancellazione di alcuni dati ossia quelli non necessari rispetto alla gestione dell’immobile ed all’adempimento degli oneri contrattuali in capo all’amministratore. A riguardo, le informazioni fornite ai condòmini.
Nell’ipotesi di manifesta infondatezza e ripetitività delle richieste, il titolare dei dati può addebitare un contributo o rifiutarsi di soddisfare la richiesta. L’onere di dimostrare il carattere di infondatezza e di eccessività delle richieste incombe sul titolare del trattamento (art. 12 GDPR).
vorrei sapere se tutti gli hanno deve essere rinnovato il disciplinare privacy per il condominio o basta farlo la prima volta e basta?
Grazie
Michela