Riportiamo, di seguito, due interventi: quello dell’avvocato Carlo Pikler, che esprime soddisfazione per la recente apertura di un tavolo di confronto tra alcune associazioni dell’amministrazione condominiale e il garante per la privacy; e quella del dottor Ivano Rossi, che evidenzia come l’eventuale adesione a un documento di autodisciplina non riduca le responsabilità a carico di chi – come l’amministratore condominiale – è deputato al trattamento dei dati personali e anzi, talvolta, esponga al rischio di sanzioni perfino maggiori.

Pikler: “Bene l’apertura di un tavolo di confronto con il Garante”

[A cura di: avv. Carlo Pikler, amministratore unico Privacy and Legal Advice 2018 S.r.l.] Il 19 novembre 2018 rappresenta una data da ricordare in ambito condominiale. Le istituzioni e le associazioni di categoria aderenti al progetto di Codice di condotta in materia di trattamento dei dati personali, rappresentate dallo scrivente, si sono sedute allo stesso tavolo, con un fine comune: il bene della categoria degli amministratori di condominio e dei condòmini, che – ricordiamolo – rappresentano l’ottantacinque per cento della collettività nazionale.

L’interesse manifestato dalle istituzioni per quest’iniziativa ci ha fatto comprendere che la categoria si sta muovendo nella giusta direzione. Il percorso intrapreso è lungo e impegnativo, ma ha un obiettivo lodevole: raggiungere un interesse che riguarda la collettività, vale a dire il diritto alla tutela dei dati personali, costituzionalmente garantito e oggi divenuto primario con il Regolamento Europeo 679/16.

Fin da subito, però, il lavoro che porterà, in un futuro vicino o lontano, alla nascita di un Codice di condotta riconosciuto ai sensi dell’art. 40 del Regolamento europeo, ha dato alla luce un risultato che per gli amministratori è ancora più importante: la consapevolezza di poter essere ascoltati, di poter dire la propria in un ambito così spinoso come quello della privacy che, in maniera diretta prima e indiretta poi, tocca ogni aspetto della disciplina condominiale.

Poco importa se i Garanti Europei non si sono ancora pronunciati in ordine alla predisposizione delle linee guida in relazione alla forma di un Codice di Condotta; poco importa se si dovrà attendere per comprendere chi sarà deputato a raccogliere i Codici e a vigilare sugli stessi e sulla loro applicazione. Il canale che si è aperto permetterà di analizzare la disciplina condominiale a 360 gradi, declinare i dubbi, le dinamiche pratiche, le interpretazioni dottrinarie e giurisprudenziali, riunendole in un unico contenitore da condividere con il Garante per trovare le giuste risposte.

Cerchiamo di essere ancora più rappresentativi e, in questo senso, si auspica che anche le associazioni di categoria non ancora aderenti al Codice si facciano avanti; per poter dire la loro e per contribuire a portare avanti questo lavoro, che sempre più sta acquisendo una vasta portata.

Si deve lavorare raccogliendo ogni spunto pratico e teorico per comporre un quadro che aiuti sia l’amministratore sia il condomino, nell’ottica di ridurre il rischio di contenzioso e agevolare il lavoro dei professionisti. E il tutto potrà avvenire solamente partendo dalla diffusione di una cultura in materia di trattamento dei dati personali che, per l’appunto, interessa sia l’amministratore quale responsabile del trattamento, sia il condomino quale contitolare del trattamento.

Rimbocchiamoci le maniche, quindi, a partire dalle associazioni che dovranno garantire all’amministratore una formazione sempre più mirata, e diffondere le linee guida che si trovano nel Codice di Condotta depositato al Garante, e che al momento vanno intese come un ottimo punto di partenza.

Rossi: “Opportunità ma anche responsabilità”

[A cura di: dott. Ivano Rossi, consulente privacy e CEO & Founder ROKLER Management & Consulting Srl] Dopo l’entrata in vigore lo scorso 19 settembre del D.lgs. 101/2018, inerente le disposizioni per l’adeguamento della normativa nazionale ai dettami del Regolamento UE 2016/679 relativo al trattamento dei dati personali delle persone fisiche, nonché alla loro libera circolazione, ha preso di nuovo interesse la stesura di codici di condotta incentivati dallo stesso Parlamento europeo.

Codice di condotta

Per codice di condotta si intende l’insieme delle regole di autodisciplina che un determinato settore di attività-professione dichiara di impegnarsi a seguire nello svolgimento del proprio incarico, rispecchiando particolari criteri di adeguatezza e opportunità, in riferimento a un determinato contesto culturale, sociale o professionale.

I codici di condotta non sono una novità del GDPR. In Italia sono stati previsti per la prima volta nel campo della protezione dei dati personali all’art. 31, comma 1, lett. h) della legge 675/96 in sede di recepimento dell’articolo 27, paragrafo 3, della direttiva 95/46/CE.

Con il D.lgs. n. 196/2003 hanno assunto tutt’altra rilevanza, diventando oggetto di una disposizione autonoma e cioè dell’art. 12, mentre nella precedente legge rientravano semplicemente nell’elencazione dei compiti del Garante. In particolare, questi sono stati introdotti con lo scopo di disciplinare il trattamento dei dati personali in determinati settori quali internet, marketing, campo previdenziale, sistemi informativi, etc… Questi codici devono essere elaborati direttamente dalle parti interessate e quindi dagli utenti, dai consumatori, che potranno così difendersi dal pericolo derivante dall’uso improprio delle informazioni, dalle frodi, dalle violazioni di legge.

I codici di condotta riprendono ora forza in quanto nel Regolamento UE 2016/679 vi è un preciso incoraggiamento al loro utilizzo (art. 40), di cui troviamo nel D.lgs. 101/2018 (art. 2-quater) indicazioni su quelle che sono le procedure di consultazione e approvazione da parte dell’autorità di controllo italiana.

Opportunità?

Per comprendere se un codice di condotta proposto da un gruppo di soggetti portatori degli stessi interessi, possa essere considerato un’opportunità per il settore/categoria a cui è rivolto, occorre capire se esso possa essere utilizzato come uno strumento utile da parte degli stessi operatori del settore o viceversa se possa essere un pericolo in caso di verifica da parte dell’Autorità di controllo.

Partendo la nostra analisi dal paragrafo 2 dell’articolo 40 del Regolamento UE 2016/679, le associazioni rappresentative delle categorie dei titolari o responsabili del trattamento dovrebbero, attraverso i codici di condotta, approfondire e fornire agli operatori gli strumenti da utilizzare in merito:

a) al trattamento corretto e trasparente dei dati;

b) ai legittimi interessi perseguiti dai titolari del trattamento in contesti specifici;

c) alla raccolta dei dati personali;

d) alla pseudonimizzazione dei dati personali;

e) all’informazione fornita al pubblico e agli interessati;

f) all’esercizio dei diritti degli interessati;

g) all’informazione fornita, alla protezione del minore e alle modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;

h) alle misure e alle procedure di cui agli articoli 24 e 25 e alle misure volte a garantire la sicurezza del trattamento di cui all’articolo 32;

i) alla notifica di una violazione dei dati personali alle autorità di controllo e alla comunicazione di tali violazioni dei dati personali all’interessato;

j) al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali;

k) alle procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79.

Vale a dire che lo sforzo importante da parte delle associazioni o di chi si propone come intermediario con l’Autorità di controllo (Garante Privacy) dovrebbe essere quello di verticalizzare e argomentare ogni singolo punto richiamato dal suddetto paragrafo del Regolamento. Il vero scopo dovrebbe essere quello di rendere autonomo il titolare e/o il responsabile del trattamento dei dati nell’applicazione della normativa sul trattamento dei dati personali e di consentire agli interessati di poter interpretare il codice di condotta come forma di garanzia da parte dei soggetti responsabili quali titolare e/o responsabile del trattamento che hanno aderito allo stesso.

Responsabilità

Da qui la grande responsabilità etica e professionale di chi si propone autore di un codice di condotta. Fatto salvo il rispetto del paragrafo 2 del Regolamento, se dal un lato il codice può essere considerato uno strumento valido di lavoro, dall’altro potrebbe essere penalizzante in caso di ispezione dell’Autorità di controllo. Ricordo che l’Autorità di controllo (ispettori del garante – guardia di finanza) è indipendente “nell’adempimento dei rispettivi compiti e nell’esercizio dei rispettivi poteri previsti del regolamento, il membro o i membri di ogni autorità di controllo non subiscono pressioni esterne, né dirette, né indirette, e non sollecitano né accettano istruzioni da alcuno” (par. 2 art. 52 Reg. UE 2016/679). Dunque, deve essere chiaro che aderire a un codice non esime dalle ispezioni e, al contrario, potrebbe creare un danno maggiore attraverso l’irrogazione di una più elevata sanzione qualora il titolare e/o responsabile del trattamento dei dati non adegui la sua attività a quanto riportato nel codice di condotta sottoscritto.

E in condominio?

Calandoci nella realtà condominiale, un codice di condotta dovrebbe guidare l’amministratore passo dopo passo nelle attività di trattamento dei dati personali dei soggetti interessati (principalmente sono i detentori di diritti reali e di godimento) presso lo studio, quale titolare del trattamento, e nei confronti dei condòmini quale responsabile del trattamento.

Le associazioni e gli altri organismi previsti dal Regolamento che intendono elaborare un codice di condotta dovranno sottoporre il progetto all’autorità di controllo, cioè al nostro Garante. L’autorità di controllo esprimerà un parere sulla conformità al Regolamento e, se riterrà che esso offra garanzie adeguate, lo approverà. In questo caso l’autorità di controllo registrerà e pubblicherà il codice.

Limitandoci al trattamento dei dati con riferimento alla normativa nazionale (diversamente l’iter sarebbe più lungo investendo l’EDPB – Garante europeo della protezione dei dati) essendo il concetto di “garanzie sufficienti” abbastanza ampio e non riconducibile a casi pratici, può essere approvato anche un codice di condotta con delle indicazioni di massima, purché non vada contro il Regolamento UE 2016/679.

Essendo l’adesione a un codice di condotta approvato, dunque frutto di un comportamento volontario e non obbligatorio, esso può essere utilizzato come elemento (uno tra tanti) per dimostrare la conformità e il rispetto degli obblighi da parte del titolare del trattamento.

Ma l’adesione non riduce la responsabilità del titolare del trattamento e/o del responsabile del trattamento riguardo alla conformità al regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.

Come precedentemente accennato, dal punto di vista sanzionatorio l’adesione a un codice di condotta può essere un’arma a doppio taglio: se da un lato ben predispone l’autorità di controllo in caso di verifica, al contrario potrebbe far infliggere una maggiore sanzione. Sarebbe doveroso o quantomeno opportuno e auspicabile sensibilizzare e informare adeguatamente gli operatori dei vantaggi e dei limiti di un codice di condotta.

Chi ha la rappresentanza delle categorie professionali, specie in ambito condominiale dove abbiamo una maggiore frammentazione, ha una enorme responsabilità. Proporre al Garante un codice di condotta generico e non esaustivo potrebbe far perdere una grande opportunità a tutta la categoria, già vessata per altri aspetti, e nel contempo metterebbe a rischio di sanzione migliaia di amministratori professionisti, ignari di una normativa tanto complicata e articolata.

Lascia un commento Annulla risposta

Devi essere connesso per inviare un commento.