Condominio e GDPR: ecco una guida per far chiarezza sugli aspetti legati alla data protection nell’ambito della gestione di un edificio residenziale. A cominciare dalla definizione di chi riveste il ruolo di titolare del trattamento dei dati, è utile per professionisti e interessati approfondire la situazione.
Indice degli argomenti
GDPR e condominio, chi è il titolare del trattamento
Relativamente alla normativa sulla protezione dei dati personali occorre chiarire se il condominio rientra nella sua applicazione e in caso affermativo come comportarsi, stabilendo anzitutto chi sia il titolare del trattamento, se il condominio oppure l’amministratore.
Nel giugno 2006 il Garante Privacy chiarisce, con un comunicato stampa, che “il condominio, in quanto titolare del trattamento, può trattare solo informazioni personali pertinenti e necessarie per la gestione e l’amministrazione delle parti comuni. Le informazioni possono riguardare sia tutto il condominio (dati relativi a consumi collettivi), sia i singoli partecipanti (dati anagrafici, indirizzi, quote millesimali). […] Per prevenire illecita comunicazioni e diffusioni di dati personali l’amministratore deve adottare idonee misure di sicurezza previste dal Codice della privacy”.
Ne consegue che il titolare del trattamento dei dati è il condominio, rappresentato dalla compagine condominiale, mentre l’amministratore, che rappresenta legalmente il condominio, risulta essere responsabile del trattamento.
In quanto titolare del trattamento il condominio decide il motivo del trattamento e ne determina le modalità (art. 4 n.7 GDPR). L’amministratore, quale responsabile del trattamento, tratta concretamente i dati secondo le disposizioni ricevute dal titolare (art. 4 n.8 GDPR).
Obblighi del condominio titolare del trattamento
Secondo la normativa il titolare del trattamento è responsabile giuridicamente del rispetto degli obblighi previsti dalla normativa stessa, sia nazionale che internazionale, per quanto riguarda la protezione dei dati e conferisce una importanza fondamentale al principio cosiddetto di accountability o responsabilizzazione del titolare del trattamento.
Quest’ultimo dovrà, tra le altre cose, adottare tutte le misure tecniche ed organizzative adeguate (artt. 25 e 32) per garantire la tutela dei diritti dell’interessato e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente, né diffusi al di fuori del trattamento (vincolo al dovere di riservatezza – art. 90).
Vanno inoltre designati i responsabili e gli autorizzati del trattamento, sia interni che esterni (artt. 28-29 GDPR e art. 2 D.lgs. 101/18) ai quali affidare mansioni importanti e di elevata professionalità, in fase di gestione dei dati personali.
Il condominio dovrà pertanto redigere un “manuale” nel quale raccogliere l’analisi delle misure tecniche, indicare i responsabili interni ed esterni, determinare quali sono i rischi per gli archivi conservati nel condominio, provvedere alla eventuale formazione (art. 29) ed alla tenuta del registro dei trattamenti (art. 30; comunicato stampa 8 ottobre 2018); dovrà inoltre fornire idonea informativa agli interessati secondo quanto previsto dagli artt. 13 e 14 del GDPR.
È tenuto a provvedere alla notifica al Garante in caso di violazione dei dati personali (art. 33-34) comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Quando si parla di violazione dei dati (data breach) facciamo riferimento ad una violazione accidentale o volontaria dei dati, che può compromettere gli interessi dell’interessato. In genere si pensa a dati violati nella rete informatica, ma nel condominio può accadere che la violazione dei dati avvenga proprio all’interno del condominio stesso a seguito ad esempio della visualizzazione delle registrazioni, in un condominio con la videosorveglianza, da parte di soggetti non autorizzati.
In caso di violazione dei dati l’obiettivo primario da raggiungere è quello di minimizzare il danno derivante da tale violazione.
GDPR e condominio: il registro dei trattamenti
Sono queste le principali ragioni per le quali il condominio, come ogni titolare del trattamento, deve provvedere agli adempimenti previsti dal GDPR.
Per quanto riguarda il registro dei trattamenti, la sua tenuta è obbligatoria nei casi previsti dall’art. 30 GDPR e tenendo altresì conto del comunicato del Garante del 8 ottobre 2018 nel quale specifica, tra le altre cose, che il condominio è obbligato alla tenuta del registro dei trattamento qualora tratti “categorie particolari di dati” portando ad esempio i casi di delibere finalizzate all’abbattimento di barriere architettoniche, richieste di risarcimento danni comprensive di spese mediche relativi a sinistri verificatisi all’interno dei locali condominiali.
GDPR e condominio: la nomina del DPO
Relativamente all’ipotesi di nominare un DPO – figura che ha un ruolo di supporto e controllo della protezione dei dati personali, un esperto che ha il compito di affiancare e supervisionare i sistemi e le procedure adottate per la protezione dei dati; che effettua valutazioni di opportunità, correttezza, efficienza ed efficacia dei trattamenti messi in essere dal titolare, dai responsabili e dagli altri soggetti preposti al trattamento dei dati, che funge da facilitatore dell’accesso, da parte dell’autorità di controllo (il Garante) ai documenti e alle informazioni necessarie per l’adempimento dei compiti ispettivi o connessi all’esercizio dei poteri di indagine, correttivi, autorizzati vi e consultivi che le sono attribuiti nel rispetto di quanto previsto dagli artt. 37-39 del GDPR – il condominio, in linea di massima non è tenuto a nominarlo, neppure quando si considera di applicare il concetto di “larga scala” (art. 37) per i condomini più grandi.
Il ruolo dell’amministratore
L’amministratore tratta i dati per conto del condominio titolare, secondo le finalità e i mezzi da questo determinati, facendo in modo da garantirne la sicurezza. Affiancherà inoltre il condominio dei rapporti con l’autorità di controllo e vigilerà sulla correttezza dei nuovi trattamenti, informando il condominio nel caso in cui uno dei trattamenti, nuovi o esistenti, violi il regolamento.
L’amministratore inoltre, in quanto professionista, dovrà provvedere ad adeguare il proprio studio alla normativa sulla protezione dei dati personali in quanto titolare del trattamento (art. 4 GDPR).
Conclusioni
Con il GDPR sono dunque aumentati gli adempimenti in materia di protezione dei dati personali per il condominio ed il suo amministratore, ma ciò avviene nell’ottica di rendere sempre più sicuri i dati delle persone fisiche.
