Il nuovo amministratore deve anche essere nominato responsabile del trattamento dei dati personali?

Il vecchio amministratore era stato nominato con apposita delibera condominiale responsabile del trattamento dei dati personali. Si è recentemente provveduto a sostituire l'amministratore. Il nuovo professionista deve essere investito con apposita delibera assembleare della carica di responsabile del trattamento dei dati personali? In caso di assenza cosa si rischia?

In argomento giova ricordare che il Responsabile del Trattamento è il soggetto che materialmente tratta i dati personali per conto del titolare del trattamento (art. 4 GDPR). In ambito condominiale, questo soggetto è senza dubbio l'amministratore, posto che il Titolare del trattamento è il Condominio.

Premesso ciò, all'interno della Relazione 2019, pubblicata il 23 Giugno 2020, il Garante ha dedicato un apposito paragrafo al Condominio, intitolato: “Il trattamento dei dati personali nell'ambito del Condominio”.

In tale relazione, il Garante ha precisato che: “i condomini devono essere considerati contitolari di un medesimo trattamento dei dati (art. 4, par. 1, n. 7 e Capo IV, in particolare art. 26 del GDPR) di cui l'amministratore, agendo in eventuale veste di responsabile del trattamento, ha la concreta gestione (art. 4, par. 1, n. 8 e Capo IV del GDPR). L'amministratore, in base a quanto previsto dagli articoli 28, par. 3, lett. b), e 29 del GDPR, può individuare persone autorizzate al trattamento dei dati personali che agiscono sotto la sua autorità, purché si siano impegnate alla riservatezza e siano state loro fornite le relative istruzioni”.

Ebbene, alla luce dell'interpretazione fornita dal Garante, l'amministratore, dunque, può rivestire il ruolo di “Titolare autonomo del trattamento”, ovvero essere nominato “Responsabile del trattamento dei dati”.

Secondo i primi commentatori, laddove non intenda procedere a farsi nominare Responsabile del Trattamento dei dati, svolgendo il ruolo di Titolare autonomo, l'amministratore dovrà inviare apposita informativa ai condòmini amministrati in cui riportare i propri dati di contatto quale Titolare del Trattamento. In questa ipotesi,

l'amministratore nell'informativa deve indicare che va a svolgere le sue mansioni secondo le finalità che gli sono consentite in virtù del proprio mandato ad amministrare (artt. 1129 e 1130 c.c. ma anche Regolamento di condominio e assemblea condominiale). Per quanto concerne, invece, l'esecuzione di ogni e qualsivoglia ulteriore attività che l'amministratore vada ad espletare e che non rientri nei compiti dell'amministratore di condominio (attività extra mandato), questa deve essere rappresentata in maniera specifica all'interno dell'informativa che, a differenza della precedente, non vedrà come titolare del Trattamento il Condominio, bensì il medesimo Studio di amministrazione. Diversamente, in caso di nomina dell'amministratore quale Responsabile del Trattamento dei dati, ciò deve avvenire necessariamente secondo le indicazioni previste dall'art. 28 GDPR “da un contratto o da altro atto giuridico”.

A questo proposito si osserva che il Garante per la protezione dei dati personali (precedentemente) aveva osservato che “L'amministratore deve sempre saper conciliare le esigenze di trasparenza nella gestione condominiale con la riservatezza dei singoli. L'assemblea può decidere di designarlo anche formalmente “responsabile del trattamento” dei dati personali dei partecipanti al condominio (proprietari, locatari, usufruttuari), attribuendogli uno specifico ruolo in materia di privacy” (Garante intervenuto con “Il Condominio e la Privacy”, doc. web: 2680240 del 10 ottobre 2013). L'indicazione del Garante è quella di prevedere la nomina dell'amministratore quale responsabile del trattamento dati attraverso il passaggio in assemblea. Tuttavia, secondo l'altra posizione, la nomina può essere formalizzata dall'amministratore senza la necessità di passare in via preventiva per il tramite di delibera assembleare, ma semplicemente formalizzando l'incarico mediante un atto giuridico che lo stesso, in qualità di legale rappresentante del Condominio, redige secondo i parametri legali previsti dal GDPR. Nonostante quest'ultima posizione, secondo gli esperti, “l'investitura da parte dell'assemblea” sarebbe più appropriata in contrapposizione alla posizione che vede l'amministratore soggetto che nomina sé stesso quale Responsabile. Alla luce delle considerazioni innanzi esposto, soprattutto a seguito dell'ultima relazione del Garante pubblicata nel 2020:

- titolari del trattamento dei dati sono i condòmini e l'amministratore;

- il titolare del trattamento, a sua volta, nomina il responsabile dei dati; tale figura può essere ricoperta dall'amministratore oppure da un soggetto terzo. L'incarico deve risultare per iscritto.

In conclusione è importante il rispetto della normativa del GDPR in quanto l'amministratore oltre a rispondere ad eventuali esposti da parte degli interessati (condomini), dovrà essere in grado di fornire risposte adeguate rispetto agli ampissimi poteri di controllo e ispettivi forniti al Garante. Tanto più che anche in tale ambito il rischio di sanzioni, revoca e contenzioso per l'amministratore è piuttosto elevato (Cass. civ., sez. II, 8 settembre 2011, n. 18421 e lo sarà anche di più in futuro, visto l'inasprimento delle responsabilità previste nelle nuove norme in caso di inadempimento. Nel dubbio circa l'applicazione delle norme, è consigliabile rivolgersi a soggetti terzi per l'eventuale conferimento del ruolo di responsabile del trattamento.