Nuova normativa sulla privacy: cosa cambia per il condominio?

Condominio

Nuova normativa sulla privacy: cosa cambia per il condominio?

Quotidiano Del Condominio
6 aprile 2018

[A cura di: Ivano Rossi, CEO Rokler Management & Consulting Srl] Alle porte del 25 maggio 2018 – fatidica data di attuazione del Regolamento UE 2016/679 in materia di privacy, anche conosciuto come GDPR – l’attività di trattamento dei dati dei condòmini da parte dell’amministratore diviene un’operazione sempre più delicata. E questo anche nell’ottica dell’articolo 1130, comma 6, del codice civile, che specifica che è obbligo dell’amministratore “curare la tenuta del registro di anagrafe condominiale contenente le generalità dei singoli proprietari e dei titolari di diritti reali e di diritti personali di godimento, comprensive del codice fiscale e della residenza o domicilio, i dati catastali di ciascuna unità immobiliare, nonché ogni dato relativo alle condizioni di sicurezza delle parti comuni dell’edificio”.

Diversi gli approfondimenti, le modifiche, gli aggiornamenti apportati dalla nuova disciplina, e alcuni di essi toccano anche da vicino l’attività professionale degli amministratori di condominio. La tematica è stata affrontata da Ivano Rossi, CEO di Rokler Management & Consulting Srl, nell’ambito del ciclo di convegni itineranti organizzati da Italia Casa e Quotidiano del Condominio, ultimo dei quali andato in scena il 23 marzo a Torino. Quella che segue è una sintesi del suo intervento, con un focus specifico per l’ambito condominiale.

Il trattamento

Si parte dalla semplice definizione che il Regolamento fornisce del termine “trattamento” come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4 punto 2 Reg. UE 2016/679). In questo contesto, qualsiasi operazione effettuata su un dato entra nella nozione di trattamento.

Innanzitutto, va precisato che l’amministratore riveste il duplice ruolo di titolare del trattamento dei dati (art. 24 Reg. UE 2016/679), quale rappresentante legale del condominio, e di responsabile del trattamento dei dati (art. 28 Reg. UE 2016/679) relativamente a tutte le attività svolte per la gestione condominiale presso il suo studio. Il titolare del trattamento dei dati “determina le finalità e i mezzi del trattamento dei dati personali”, mentre il responsabile del trattamento dei dati “tratta i dati personali per conto del titolare del trattamento”.

Di norma è in capo al titolare del trattamento che sussistono oneri ed eventuali sanzioni, ma il responsabile del trattamento risponde del danno causato dal trattamento se non ha adempiuto agli obblighi del regolamento specificamente diretti ai responsabili o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Il responsabile risponde in solido con il titolare qualora dovesse dare corso a trattamenti contrari al regolamento, seppur su indicazione dello stesso. Se fa proprie le finalità e i mezzi viene considerato come titolare del trattamento, determinando l’applicazione delle disposizioni relative (medesime incombenze e sanzioni).

L’informativa

Il documento principe sia della vecchia che della nuova normativa in termini di privacy rimane sempre l’informativa (artt. 13-14 Reg. UE 2016/679) da consegnare a ogni interessato (chiunque gode di diritti reali e/o di godimento). Essa ha lo scopo di informare l’interessato circa:

Dovranno essere chiaramente indicati anche il nome del titolare del trattamento e i recapiti di contatto. Tale documento deve essere fornito all’interessato all’inizio del trattamento, e lo stesso deve essere messo nelle condizioni di poterlo recuperare con facilità o a semplice richiesta.

Il consenso

Qualora l’amministratore, nell’ambito delle sue mansioni, dovesse trattare dati personali che dovessero rilevare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, dovrà inoltre raccogliere il consenso presso l’interessato (art. 9 Reg. UE 2016/679). Anche se volesse utilizzare i dati personali per effettuare un trattamento che esula dalle finalità per i quali sono stati raccolti, dovrà necessariamente raccogliere il consenso (ad esempio attività promozionali e/o commerciali). Quindi ogni operazione sui dati per scopi diversi da quelli per cui sono stati raccolti è illecita senza consenso (artt. 6, 7, 9 Reg. UE 2016/679).

Responsabilità

Un altro pilastro del GDPR è il principio di responsabilizzazione (accountability) dei titolari e responsabili del trattamento dei dati, che si esplica nell’adozione di comportamenti pro-attivi e tali da dimostrare la concreta attuazione di misure tecniche e organizzative finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità rispetto al D. Lgs 196/2003, in quanto viene affidato al titolare del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni principi specifici indicati nel regolamento.

Il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure tecniche e organizzative per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi: deve quindi poter dimostrare di aver svolto ogni possibile azione volta a ridurre al minimo il rischio di violazione o di perdita anche accidentale di dati.