Il nuovo regolamento europeo sulla privacy nel condominio: gioie o dolori?

Dal 25 maggio 2018, gli effetti del General Data Protection Regulation - d'ora in poi, per brevità, citato con l'acronimo GDPR o, più semplicemente, Regolamento - saranno definitivi. I due anni di tempo per mettersi sui binari della legalità sono terminati. Secondo le promesse del Garante europeo, per chi ignorerà il regolamento, non vi sarà alcuna tolleranza o sanatoria. Il Garante italiano, con una recente nota, ha confermato la linea europea, emanando un comunicato secondo il quale non sarebbe stata emessa alcuna proroga.

Attualmente, vige il Codice della privacy, documento normativo che ha ispirato in gran parte il GDPR. Chi era già in linea con il Codice, dovrà adeguarsi, mentre chi, differentemente, aveva ignorato la norma nazionale vigente, dovrà correre ai ripari immediatamente.

Le sanzioni previste dal Regolamento, infatti, sono molto aspre, in grado di toccare, per il trasgressore, i 20 milioni di euro o il 4% del fatturato globale mondiale, qualora fosse superiore.

Il primo aspetto da evidenziare riguarda l'applicabilità del Regolamento al condominio.

Il titolare del trattamento dei dati è chi determina le finalità (ad esempio, comunicazione della convocazione dell'assemblea dei condomini) e i mezzi (ad esempio, cartaceo ed informatico) del trattamento.

Secondo il Garante italiano, il condominio è soggetto all'applicabilità del Codice della privacy, e di conseguenza al GDPR. In più provvedimenti, ha identificato il condominio come titolare del trattamento e i condomini contitolari senza approfondirne la base giuridica. Evidentemente, l'Authority ha ritenuto di assimilare il condominio, sostanzialmente, alle società di persone. Infatti, nelle due realtà, sotto il profilo delle obbligazioni, sono tenuti all'adempimento prima la società o il condominio con le proprie sostanze, e in subordine i soci o i condomini.

Tuttavia, considerando i principi ispiratori del Regolamento (che si ricorda essere di fonte superiore rispetto la legge o gli atti aventi forza di legge), il ragionamento del Garante italiano sarebbe messo in discussione.

Il GDPR è stato concepito per la tutela dei dati personali utilizzati a fini commerciali (considerando n. 5). Infatti, il Regolamento prevede espressamente l'inapplicabilità del medesimo quando le finalità del trattamento sono esclusivamente ad uso personale e domestico, e quindi non commerciale (GDPR art. 2.2.c). Vi sono due certezze giuridiche alla base dell'istituto del condomino, che si tratti di un ente di gestione e che non operi in àmbito commerciale.

Diversamente, leggendo la definizione di «titolare del trattamento», appare indiscutibile che il titolare sia il soggetto che determina le finalità del trattamento, e che, oltre ad essere una persona giuridica, fisica, un'autorità pubblica, può essere un «altro organismo». Con questa ultima determinazione - a parere di chi scrive - si può aderire alla tesi del Garante, in quanto si reputi il condominio un «altro organismo».

Qualora, invece, si ritenesse che il condominio non fosse «altro organismo» come definito dal Regolamento, si dovrebbe optare per identificare il titolare dei dati nell'amministratore, oppure, negli stessi condomini quale entità collettiva.

Secondo alcuni, sarebbero proprio questi ultimi a dovere essere indentificati quali titolari dei dati (contitolari per essere precisi), in quanto il condominio essendo ente di gestione non potrebbe assumere la titolarità di responsabile.

Tra le due tesi sotto il profilo della responsabilità è poco incisivo, in quanto, in caso di sanzione, il loro patrimonio sarebbe comunque posto a garanzia del creditore o dall'ente sanzionatore.

Diversamente, se si determinasse nell'amministratore il titolare del trattamento, si dovrebbe superare il principio della scelta delle finalità del trattamento, attività che spetta all'assemblea condominiale. Riuscendo a superare quanto appena descritto, sarebbe l'amministratore il titolare, con la conseguenza che, per le infrazioni al regolamento, risponderebbe solo il medesimo in caso di sanzioni.

Si potrebbe anche ipotizzare, e non sarebbe osservazione peregrina, che l'amministratore possa essere contitolare con i condomini o con il condominio, in quanto l'assemblea determina le finalità, mentre, e questo accade sempre, l'amministratore sceglie le modalità di trattamento dei dati.

Pertanto - a parere di chi scrive - la struttura della gestione del trattamento dei dati è formata dal condominio quale titolare del trattamento dei dati, e, qualora nominato, l'amministratore quale responsabile del trattamento, solo se l'assemblea oltre a determinare le finalità, determinasse anche i mezzi del trattamento. Diversamente, vi sarebbe la contitolarità con l'amministratore.

L'amministratore, può essere nominato quale responsabile dei dati personali o meno dall'assemblea condominiale.

Infatti, secondo quanto prescritto dal GDPR, è responsabile per i dati personali chi «tratta dati personali per conto del titolare del trattamento». Tuttavia, affinché ricopra tale ruolo, deve ricevere una nomina formale, contrattualmente regolata, contenente tutta una serie di elementi necessari affinché tale nomina asseveri alla sua funzione.

Qualora l'amministratore non riceva tale investitura, sarà considerato quale mero delegato al trattamento, rimanendo, il titolare, anche il responsabile dei dati personali trattati. In questo caso, l'amministratore potrà rispondere solo per dolo o colpa grave nell'àmbito dell'esecuzione contrattuale. Di conseguenza sarà esentato da responsabilità verso l'ente amministrativo e da chi abbia subìto un danno materiale o immateriale causato dalla violazione del regolamento.

Inversamente, qualora sia nominato responsabile dei dati personali, risponderà in caso di mancata o scorretta applicazione del GDPR o qualora non abbia seguito le indicazioni impartite dal titolare del trattamento. Qualora, invece, il responsabile del trattamento dimostri di avere posto in essere tutte le cautele al fine di evitare la violazione del regolamento o delle istruzioni impartite dal titolare, sarà esonerato da ogni responsabilità come anche il titolare.

Ad esempio, il Regolamento prescrive, all'art. 24, paragrafo 1, che il responsabile deve attuare misure di protezione dei dati “adeguate” e, al paragrafo 2, che possono essere proporzionate rispetto alle attività di trattamento. Se un malintenzionato entra nottetempo nello studio dell'amministratore, sfondando la porta blindata e ruba il server con i dati all'interno, nulla dovrà temere l'amministratore, in quanto sarebbe sproporzionato chiedere che il server fosse protetto da una gabbia d'acciaio o che l'ingresso avrebbe dovuto essere difeso dalle guardie giurate.

Inoltre, la norma prevede un'ipotesi di responsabilità solidale tra il titolare del trattamento e il responsabile. Se il responsabile viola il regolamento, sarà considerato come un titolare del trattamento e risponderà assieme al titolare formale. In concreto, si configurerebbe la violazione di cui all'art. 28, n. 10, del GDPR nel caso in cui l'assemblea deliberasse l'esonero dell'amministratore all'applicazione del Regolamento.

Infine, qualora titolare e responsabile siano chiamati in giudizio nello stesso procedimento, il giudice potrà condannare in maniera diversa i resistenti in proporzione alla loro responsabilità (Considerando 146). Quindi, nel caso in cui il condominio abbia determinato che le finalità del trattamento dei dati devono essere limitate all'amministrazione condominiale come previsto nel codice civile ed in altre leggi, e l'amministratore abbia venduto i dati dei condomini per fini commerciali, verosimilmente il condominio avrebbe una sanzione minima, mentre all'amministratore verrebbe inflitta una sanzione esemplare.

Dunque, qualora l'amministratore di condominio sia nominato responsabile dei dati personali, e per leggerezza, oppure per accondiscendenza nei confronti del proprio cliente, decida di applicare il regolamento in “maniera morbida”, rischierà di dover risarcire il danno all'interessato leso, nonché a pagare la conseguente sanzione che il Garante infliggerà.

I dati personali possono essere certamente trattati dal condominio ma con determinate cautele, precisazioni e limiti.

Il trattamento dei dati personali deve soggiacere ai principi di liceità, correttezza e trasparenza nei confronti dell'interessato; in particolare, il faro che determina la liceità del trattamento è la sua finalità.

L'amministratore di condominio, qualora abbia il dubbio se un dato possa da lui essere trattato o meno, deve sempre verificare quale sia la finalità per la quale si rende necessario il trattamento. Infatti, secondo il principio della minimizzazione dei dati, essi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Ad esempio, l'amministratore di condominio che affigga, in spazi condominiali accessibili al pubblico, un avviso di rimozione delle autovetture parcheggiate nel cortile condominiale, contenenti indicazioni relative al numero di posto auto, delle targhe dei veicoli riconducibili ai condomini nonché le foto delle auto medesime; e inoltre comunichi successivamente ad altri condomini della mancata rimozione delle autovetture del cortile condominiale, nonché dati relativi alla targa e il modello della propria autovettura, configura sicuramente un illecito da parte del medesimo amministratore.

Infatti, il trattamento delle predette informazioni, da parte del condominio, avrebbe dovuto essere effettuato con modalità parimenti efficaci ma meno invasive, ricorrendo a forme di comunicazione individualizzate nei confronti dei condomini che non avevano tempestivamente provveduto a rimuovere il veicolo, ovvero ricorrendo ad un invito a provvedere, pur affisso nella bacheca, ma privo di riferimenti che identificassero i condomini.

Pertanto, è evidente che è stato violato il principio della minimizzazione dei dati, che sicuramente non erano pertinenti e nemmeno adeguati e tantomeno limitati a quanto necessario rispetto alle finalità per le quali erano trattati (doc. web 1635704).

Dovrà essere considerato anche il principio di necessità del dato personale.

Il numero di telefono e la mail del condomino, al fine di amministrare il condomino, non è un dato necessario. Se l'amministratore vorrà archiviare questi dati, dovrà ottenere il consenso da parte del condomino, e a semplice richiesta di questo dovrà essere rimosso.

In sintesi, dunque, l'amministratore di condominio, quando deve comunicare esternamente alla compagine condominiale delle informazioni che riguardino i propri condomini, dovrà tentare di limitare l'utilizzo dei loro dati il più possibile, usando quindi la massima parsimonia per non incorrere in condotte illecite.

Fortunatamente, il Regolamento indica con precisione quando il trattamento è lecito (art. 1.a), ossia, quando l'interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità, e, pertanto, quando dette finalità non sono compatibili con quelle per le quali si stanno trattando i dati, il trattamento sarà certamente illecito. Ad esempio, l'interessato ha dato il proprio consenso a fornire il numero di cellulare all'idraulico che deve aggiustare la colonna condominiale, ma l'amministratore lo fornisce anche ad un'azienda commerciale per finalità di marketing.

Rispetto al consenso, con il GDPR, non è sempre necessario avere il consenso da parte dell'interessato per poter trattare i suoi dati. Non sarà necessario il consenso qualora il trattamento sia volto all'esecuzione di un contratto, oppure qualora il trattamento sia necessario per adempiere a un obbligo di legge. Ad esempio, l'amministratore non avrà l'obbligo di chiedere il consenso per poter trattare i dati nelle proprie attività di gestione delle parti comuni del condominio, pertanto per assolvere il proprio obbligo contrattuale di amministrazione del condominio. Un'altra ipotesi è quella della consegna dei dati personali del condomino moroso al creditore non soddisfatto del condominio. Nel primo caso, si tratta dell'esecuzione di un contratto, mentre, nel secondo, di un obbligo di legge, come disposto dall'art. 63 disp. att. c.c.

Secondo il disposto dell'art. 12 del GDPR, il titolare, anche tramite il responsabile, dovrà sempre fornire l'informativa dei dati personali trattati.

È infatti diritto dell'interessato ricevere un'informativa «concisa, trasparente, intelleggibile e facilmente accessibile, con un linguaggio semplice e chiaro».

Operativamente, l'amministratore prima di trattare i dati di un interessato, che sia un condomino, la banca o l'idraulico, o contestualmente alla raccolta, dovrà consegnare un'informativa che abbia le caratteristiche indicate, nella quale spiegherà la base giuridica del trattamento (in esecuzione di un contratto), le finalità del trattamento (per ragioni amministrative e fiscali), con che mezzi (cartacei ed informatici), l'identità e i dati di contatto del titolare del trattamento (condominio Alfa c/o responsabile del trattamento Amministratore Giuseppe Garibaldi tel. ... email ...), il periodo di conservazione dei dati (10 anni per ragioni fiscali), il diritto dell'interessato a chiedere l'accesso ai dati di modificarli o cancellarli.

Il GDPR è basato sul principio dell'accountability, termine anglosassone che responsabilizza il titolare o il responsabile dei dati nel dimostrare di avere adempiuto agli obblighi previsti dal regolamento. Un documento che semplifica tale onere è il registro delle attività del trattamento previsto dall'art. 30 del GDPR.

Il registro è un documento che indica con precisione e completezza tutta l'organizzazione della privacy del condominio e del responsabile del trattamento dei dati.

Questo strumento non è obbligatorio nel condomino, ma è la mappa del tesoro che permette di individuare se i principi e le linee guida del Regolamento sono stati rispettati, e, nel contempo indica quali adempimenti deve svolgere il titolare o il responsabile.

Tutti dovrebbero avere il registro (al limite, anche il fruttivendolo). In caso di controllo, esibire il registro significa fornire all'Autorità la sintesi della propria struttura e fare rendere conto agli ispettori che vi sono alte probabilità che le norme del GDPR sono state rispettate.

Sino ad ora, si è parlato del trattamento dei dati, e cioè il primo blocco del GDPR. Altrettanto importante è il secondo, relativo alla protezione dei dati personali.

Il titolare e il responsabile devono mettere in atto tutte le misure di sicurezza tenendo conto dello stato dell'arte e dei costi, al fine di scongiurare il rischio che i diritti e le libertà delle persone fisiche possano essere in pericolo.

Possono essere a rischio la riservatezza, l'integrità, la disponibilità dei dati. Incendi, allagamenti, crolli, furti, virus e cryptolocker, cancellazione accidentale dei dati, sono eventi che possono mettere a grave rischio l'integrità dei dati.

Fortunatamente, c'è la possibilità di evitare intrusioni e sistemi di tempestivo ripristino utilizzando sistemi operativi Linux e Apple, oppure fornirsi di firewall, antivirus, programmi di back up di terze parti se si usano i sistemi operativi maggiormente diffusi.

Bisognerebbe valutare con interesse di trasferire tutti i dati del proprio computer o della propria rete sulla “nuvola” (con server rigorosamente in Europa), trasferendo anche tutta la responsabilità della loro sicurezza su chi offre detto servizio.

La soluzione definitiva sarebbe utilizzare un sistema operativo Linux o Apple, un gestionale via web ed il 100% dei documenti - se non già inseriti nel gestionale - in un driver on line. Tutto in Europa naturalmente.

I risvolti operativi sulla realtà condominiale non sono di particolare impatto se l'amministratore è già in regola con il Codice della privacy. Dovrà rivedere ed implementare le informative e richiedere i consensi per numeri di telefono e mail, dovrà predisporre il registro e chiedere un intervento al proprio tecnico informatico.

Se, diversamente, dovesse partire da zero, dovrà creare tutta la struttura privacy nel suo studio ed in tutti i condominii che amministra.

Certamente la strada più sicura e conveniente è di affidarsi a un consulente esperto in privacy che possa analizzare un “abito su misura”, diffidando da chi industrializza la consulenza in materia di trattamento e protezione dei dati personali.