Anche gli amministratori di condominio devono adeguarsi alla nuova normativa – GDPR – in tema di protezione e trattamento dei dati personali.
Questo va inteso anche alla luce della legge 11 dicembre 2012 n. 220 che ha rivoluzionato il capo del Codice Civile relativo al condominio negli edifici (ex artt. 1117 e ss.), impattando anche sulle attività di trattamento dei dati personali dei soggetti coinvolti e quindi, più in generale, nell’ambito privacy e condominio.
Indice degli argomenti
Privacy e condominio, dopo il GDPR
La parte più rilevante introdotta dalla riforma del condominio è quella relativa alla disciplina dell’amministratore di condominio. In particolare, sono dettate in maniera più stringente le sue le attribuzioni ed i doveri amministrativi e contabili in ragione della maggior conoscibilità del suo operato. È possibile affermare che le esigenze derivanti dal condominio debbano sempre essere bilanciate rispetto ai principi di trasparenza, riservatezza ed alle esigenze dettate dalla privacy.
Relativamente alla trasparenza, una novità tecnologica introdotta sempre dalla riforma, è la possibilità di creare un sito internet del condominio, in cui i singoli condomini avranno la possibilità di accedere individualmente, al fine di consultare i rendiconti e gli atti dell’amministratore.
I singoli condomini rivestono un duplice ruolo, quello di interessato del trattamento e anche quello di organo predisposto al controllo dell’operato dell’amministratore. Con la riforma, i condomini hanno, in virtù della trasparenza, la possibilità di avere maggiore conoscibilità dell’operato dell’amministratore. Quest’ultimo, sempre in forza della riforma, è obbligato a far transitare le somme ricevute a qualunque titolo dai condòmini o da terzi, nonché quelle a qualsiasi titolo erogate per conto del condominio, su uno specifico conto corrente, postale o bancario, intestato al condominio stesso; i condomini, dal loro lato, hanno il diritto di accedere ed estrarre copia, per prenderne visione, della rendicontazione periodica del c/c del condominio.
Alla luce del Regolamento Europeo 2016/679, meglio noto come GDPR (acronimo di General Data Protection Regulation), nonché del D.lgs. 101 del 10 agosto 2018, che ha adeguato la normativa nazionale del Codice in materia di protezione dei dati personali (D.lgs. 196/2003) ai principi sanciti dall’UE, tutti coloro che, per ragioni professionali, vengono in possesso di dati personali sono soggetti alle disposizioni del Regolamento. Appare evidente come
Titolarità del trattamento nei condomini
Il condominio rappresenta una ipotesi atipica nel panorama prospettato, in quanto il condominio è il soggetto titolare del trattamento, e poiché l’amministratore è il rappresentante legale, egli assume il duplice ruolo di titolare ex art. 24 GDPR nella qualità di rappresentante legale del condomino e responsabile del trattamento ex art 28 GDPR relativamente alle attività svolte per il condominio.
Ai sensi dell’art 1129 2 co. c.c. “contestualmente all’accettazione della nomina e ad ogni rinnovo dell’incarico, l’amministratore comunica i propri dati anagrafici e professionali, il codice fiscale, se si tratta di società, anche la sede legale e la denominazione, il locale ove si trovano i registri di cui ai numeri 6) e 7) dell’art. 1130…”, proprio in questa occasione, è opportuno che l’assemblea dei condomini provveda a nominare l’amministratore anche responsabile del trattamento dei dati. Come già stabilito dal Garante nel 2006, quindi, l’amministratore riveste rispettivamente sia il ruolo di titolare del trattamento dei dati, quale rappresentante legale del condominio, cioè colui che assume “le decisioni in ordine alle finalità, alle modalità di trattamento dei dati personali e agli strumenti utilizzati”, che il ruolo di responsabile del trattamento dei dati, in relazione a tutte le attività svolte per la gestione condominiale presso il suo studio, attività nelle quali “tratta i dati personali (ed eventualmente particolari) per conto del titolare del trattamento”.
Pertanto, dovrà adempiere agli obblighi previsti dal Regolamento Europeo 2016/679 agli artt. 24 e 28 e, in base anche al principio di accountability previsto dal GDPR, sarà onere dell’amministratore dimostrare di avere adottato, in ragione delle proprie attività, un processo complessivo di misure tecniche e organizzative per la protezione dei dati personali, volte a ridurre al minimo il rischio di violazione o di perdita anche accidentale di dati.
In particolare, il titolare del trattamento dei dati, condominio, (art. 24 Reg. UE 2016/679), attraverso l’amministratore, suo legale rappresentante, dovrà:
- trattare i dati secondo liceità (art. 6 Reg. UE 2016/679);
- rispettare e far rispettare i principi del regolamento e i diritti degli interessati (art. 5 e artt. 12 a 22 Reg. UE 2016/679);
- far predisporre una informativa adeguata rispetto al GDPR, da far pervenire o mettere a disposizione degli interessati (chiunque detiene diritto reale o di godimento nell’ambito del condominio o chiunque accede in uno stabile dotato di videosorveglianza);
- predisporre misure di sicurezza adeguate qualora vengano svolti trattamenti presso il condominio, in attività, quali, a titolo esemplificativo, predisposizione di archivio cartaceo, registrazioni immagini, smistamento corrispondenza e raccolta pacchi, monitoraggio degli accessi come lettura targhe ecc.;
- provvedere in forma scritta alle nomine dei responsabili e/o autorizzati al trattamento dei dati, quali ad esempio collaboratori, fornitori di servizi, videosorveglianza, dipendenti del condominio ecc.;
- valutare l’impatto privacy prima di ogni nuovo trattamento, da considerarsi in quanto tali, anche installazione di impianto di videosorveglianza, apertura varchi da remoto e registrazione accessi, utilizzo videocitofono da remoto e così via.
Inoltre, l’amministratore, quale responsabile del trattamento, dovrà:
- trattare i dati solo secondo le finalità e le modalità del suo mandato e dettate dalla legge;
- garantire la riservatezza delle persone da lui autorizzate al trattamento dei dati (ad esempio, collaboratori);
- adottare e dare evidenza alle misure di sicurezza presenti presso il suo studio;
- assistere il titolare del trattamento (il condominio) nel garantire i diritti degli interessati;
- assistere il titolare del trattamento (il condominio) al rispetto delle misure di sicurezza dei dati trattati, ai rapporti con l’Autorità di controllo, Garante, a valutare l’impatto di nuovi trattamenti, al rispetto dei diritti degli interessati da parte del titolare;
- consentire le ispezioni da parte del titolare per la verifica del rispetto del GDPR;
- informare immediatamente il titolare (il condominio) se uno dei trattamenti violi il regolamento o vi siano violazione dei dati in suo possesso.
Trattamenti posti in essere dal condominio
Nelle realtà condominiali occorre porre attenzione su quali trattamenti vengono posti in essere dal condominio. In particolare, occorre valutare due punti ben precisi:
- i presupposti di legittimità dell’installazione di un impianto di videosorveglianza sulle parti comuni;
- l’art. 5 della l. 202/12 inserisce dopo il primo comma dell’art 1120 c.c. la possibilità per i condomini di introdurre particolari innovazioni, con la maggioranza indicata dal secondo comma dell’art.1136 (maggioranza meno elevata rispetto a quella precedentemente indicata dal codice), innovazioni quali al n.1) “opere ed interventi volti a migliorare la sicurezza e la salubrità degli edifici”.
Soffermiamoci ad analizzare questa possibilità di installazione di impianti di videosorveglianza sulle parti comuni alla luce delle modifiche introdotte dal GDPR. Il condominio, in virtù della riforma, ha la possibilità di installare un sistema di videosorveglianza a seguito di una delibera assembleare in cui, nella votazione, sia raggiunto un numero favorevole pari alla maggioranza degli intervenuti (ex art. 1136 2 co. c.c.).
Come si evince dal primo comma dell’art. 1120 c.c., la videosorveglianza è ammissibile solo in relazione all’esigenza di preservare la sicurezza di persone e la tutela di beni da concreti pericoli (ad esempio, illeciti che si sono già verificati, zone ad alto rischio di criminalità, timore di aggressioni ecc.).
Il sistema di videosorveglianza delle aree comuni è sottoposto alle norme in materia di protezione dei dati personali.
Nell’eventualità in cui sorga la domanda, se le immagini sono dati personali, viene in soccorso l’utile definizione data dal Garante Privacy a riguardo: “sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute etc. Particolarmente importanti sono i dati che permettono l’identificazione diretta: nome, cognome, le immagini”.
Quindi il sistema di videosorveglianza applicato nell’area comune del condominio dovrà rispettare le norme in materia di protezione dei dati.
I sistemi di videosorveglianza possono seguire regole differenti a seconda che siano installati per fini privati oppure su parti comuni. Nell’ipotesi in cui il singolo condomino installi tali apparecchiature per fini esclusivamente personali e nell’ambito del proprio appartamento, non andranno applicate le norme sulla privacy, in quanto la videosorveglianza privata non è oggetto del GDPR. Potrebbe accadere, però, che le installazioni di videosorveglianza privata eccedano il perimetro dell’abitazione del singolo condomino. Pertanto, sarà onere dell’amministratore richiedere al singolo condomino copia della relazione tecnica e dei campi di visione delle videocamere installate.
Se, invece, l’impianto di videosorveglianza, come soprariportato, viene installato al fine di controllare le aree comuni, l’amministratore dovrà adottare le misure previste dal Codice della Privacy, attivandosi con le relative comunicazioni agli organi di controllo.
Nel secondo caso descritto, infatti, sorgono, in capo all’amministratore una serie di obblighi:
- l’affissione di cartelli nei quali si evidenza la presenza di telecamere;
- le registrazioni dovranno essere conservate per un periodo non maggiore a 24-48 ore e, laddove fosse necessario un tempo di registrazione maggiore, la stessa dovrà essere verificata ed autorizzata dal Garante Privacy;
- le telecamere dovranno riprendere solo le aree comuni e non quelle private;
- i dati delle riprese dovranno essere protetti secondo normativa vigente in ottica di data protection;
- l’installazione di tali apparecchi dovrà essere deliberata dall’assemblea con un numero di voti che rappresenti la maggioranza degli intervenuti e almeno la metà del valore dell’edificio.
Alle apparecchiature di videosorveglianza sono equiparati i videocitofoni a cui sono applicate per analogia le regole di cui sopra, salvo che siano installati da persone fisiche per uso strettamente personale.
Il trattamento di dati sensibili in ambito condominiale
Sempre in riferimento alla modifica apportata dalla riforma, l’art. 1120 c.c. afferma: “I condomini, con la maggioranza indicata dal quinto comma dell’articolo 1136, possono disporre tutte le innovazioni dirette al miglioramento o all’uso più comodo o al maggior rendimento delle cose comuni”.
Dopo il primo comma, l’art 1120 c.c. richiede la maggioranza dei condomini indicata al secondo comma dell’art 1136 c.c, al n. 1) come suddetto, per opere di sicurezza, mentre al n. 2) per interventi previsti per eliminare le barriere architettoniche (…).
Il verificarsi dell’esigenza di abbattere barriere architettoniche presenti nell’edificio, implica la presa di coscienza da parte del condominio, amministratore compreso, di problematiche attinenti alla salute di uno o più condomini.
La definizione di “dati relativi alla salute” è contenuta nell’art. 4 GDPR al n. 15) “sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.
Il GDPR prevede per il trattamento di categorie particolari di dati personali una disciplina specifica, infatti l’art. 9 del GDPR al primo comma vieta il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convenzioni religiose o filosofiche, o l’appartenenza sindacale, nonché il trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Al secondo comma, nei punti da a) a j) elenca le eccezioni al sopracitato divieto.
Nell’ipotesi in questione, l’amministratore potrà trattare i dati sensibili del condomino (interessato) previo espresso consenso dello stesso ex art. 9 co. 2 lett. a).
Condòmini morosi: legittima la comunicazione a terzi dei nominativi?
Ulteriore novità prevista dalla riforma del condominio riguarda l’obbligo per l’amministratore di comunicazione ai terzi creditori non soddisfatti, che ne facciano richiesta, i dati dei condomini morosi. L’amministratore è quel soggetto deputato a riscuotere i contributi dei condomini e ad erogare le spese necessarie alla gestione e conservazione delle cose comuni. Il nuovo comma 9 dell’art 1129 c.c. recita: “salvo che sia stato espressamente dispensato dall’assemblea, l’amministratore è tenuto ad agire per la riscossione forzosa delle somme dovute dagli obbligati entro sei mesi dalla chiusura dell’esercizio nel quale il credito esigibile è compreso, anche ai sensi dell’art. 63, primo comma, delle disposizioni per l’attuazione del presente codice”.
Ai sensi dell’art. 63 disp. att. c.c., pre riforma, “per la riscossione dei contributi in base allo stato di ripartizione approvato dall’assemblea, l’amministratore può ottenere decreto di ingiunzione immediatamente esecutivo nonostante opposizione”.
Post riforma lo stesso comma recita: “per la riscossione dei contributi in base allo stato di ripartizione approvato dall’assemblea, l’amministratore senza bisogno di autorizzazione di questa, può ottenere un decreto di ingiunzione immediatamente esecutivo, nonostante opposizione, ed è tenuto a comunicare ai creditori non ancora soddisfatti, che lo interpellino, i dati dei condomini morosi”.
Ai fini del trattamento dei dati suddetti, l’amministratore dovrà comunicare al condomino interessato, che i dati saranno destinati a terzi.
Dal vademecum del Garante sul tema privacy e condominio: “il diritto alla trasparenza non significa che si possano divulgare informazioni sulle spese o sulle morosità al di fuori dell’ambito condominiale”.
È quindi assolutamente vietato esporre avvisi di mora o sollecitazioni di pagamento in spazi condominiali accessibili a terzi (ad esempio all’ingresso del palazzo).
La riforma approvata nel dicembre 2012 obbliga espressamente l’amministratore a comunicare ai creditori non ancora soddisfatti, che ne facciano richiesta, i dati dei condòmini morosi. Il singolo condomino ha diritto a conoscere i propri dati e chiederne l’aggiornamento, la rettifica e l’integrazione, ma non può conoscere le informazioni che riguardano altri condomini, ad eccezione del conduttore di un immobile in affitto, il quale ha diritto all’accesso ai propri dati personali, ma non può chiedere l’accesso ai dati sulla gestione del condominio.
Il singolo condomino può richiedere all’amministratore di accedere alla documentazione e agli estratti bancari e/o postali del condominio e, sempre su richiesta, può estrarre copia senza alcuna limitazione, anche se in presenza di dati personali riferibili a terzi, con spese a proprio ed esclusivo carico.
Inoltre, anche se, come si vedrà nel prossimo paragrafo, l’amministratore non può utilizzare gli spazi condominiali accessibili a terzi per esporre avvisi di mora o sollecitazioni di pagamento, tali informazioni potranno comunque essere rese note agli altri condomini, i quali ne facciano previa ed esplicita richiesta all’amministratore ovvero in sede di assemblea. I dati dei condomini morosi, potranno anche essere trasmessi ai creditori non ancora soddisfatti, che ne facciano richiesta.
Uso legittimo della bacheca condominiale
Prima di affrontare il tema della bacheca condominiale, ci preme fare un breve accenno all’accesso ai dati. Nello specifico, come previsto dal nuovo art. 1130 c.c. n.9, l’amministratore ha l’obbligo di fornire al condomino che lo richieda le attestazioni relative allo stato dei pagamenti degli oneri condominiali e delle eventuali liti in corso.
Quindi, ogni condomino ha l’accesso ai propri dati detenuti dal condominio, e in base alle nuove disposizioni in materia del Codice ha anche la possibilità di avere conoscenza degli inadempimenti di spesa degli altri condomini. Ovviamente queste informazioni non potranno essere divulgate a terzi, pertanto saranno escluse dall’affissione sulla bacheca condominiale.
La bacheca condominiale è uno degli strumenti messi nella disponibilità dell’amministratore ed utilizzata, dallo stesso, al fine di divulgare informazioni inerenti alla gestione del condominio. Le informazioni comunicate tramite la bacheca condominiale rientrano nella categoria dei dati personali e, pertanto, sono soggette alla normativa del Regolamento Europeo 2016/976.
Non potranno essere inserite nella bacheca le comunicazioni concernenti i dati personali dei singoli condomini, sia con riguardo alla persona fisica che con riguardo a beni alla stessa riferibili. Le informazioni la cui affissione in bacheca è, invece, permessa, devono essere di carattere generale, ossia avere ad oggetto informazioni e comunicazioni inerenti beni e servizi comuni.
Inoltre, non potranno essere affissi i verbali di assemblea per i condomini assenti, come anche non potranno essere rese note comunicazioni concernenti le morosità dei singoli condomini.
Conclusioni
Il condominio quindi è il titolare del trattamento dei dati, mentre il responsabile del trattamento è l’amministratore pro tempore del condominio stesso.
I dati personali forniti (nome, cognome ecc.) costituiscono oggetto del trattamento e sono forniti all’amministratore in virtù del mandato conferitogli. La base giuridica su cui si fonda il trattamento è l’interesse legittimo ex art. 6, 1 co., lett. f) GDPR ad eccezione di finalità specifiche e/o categorie particolari di dati (ad esempio, dati sensibili) per cui è necessario in consenso dell’interessato ex art. 6, co. 1, lett. a) ed ex art 9, 2 co., lett. a).