[A cura di: dott. Ivano Rossi consulente privacy e CEO & Founder ROKLER Management & Consulting Srl] Seppur stia diventando un tormentone, è bene ogni volta ricordare che il Regolamento sulla Protezione dei Dati Personali delle persone fisiche e sulla loro circolazione (Regolamento UE 2016/679) è diventato attuativo dal 25 maggio 2018 e a quasi un anno di distanza, nonostante i vari articoli pubblicati e i seminari tenuti sull’argomento, ancora ci sono dubbi sulla duplice veste dell’amministratore condominiale e sui limiti di operatività del responsabile del trattamento dei dati

Ricordiamo insieme le definizioni di “Titolare del trattamento”, di “Responsabile del trattamento” e la corrispondenza tra queste figure e i soggetti all’interno del condominio.

Titolare del trattamento

Come riportato nell’articolo 4 del Regolamento, il Titolare del trattamento è “la persona fisica o giuridica…omissis…che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali;…omissis…”. In ambito condominiale, essendo il condominio titolare del trattamento dei dati (…oggetto di trattamento da parte della compagine condominiale unitariamente considerata…) è colui che stabilisce le finalità e i mezzi di trattamento.

Circa le finalità, è pacifico che sono quelle proprie della gestione condominiale, quali a titolo di esempio non esaustivo:

• anagrafica condominiale,
• convocazioni,
• contabilità,
• rilevamento e ripartizione consumi dei servizi individuali, ecc…

Su altri trattamenti sarà direttamente l’assemblea ad esprimersi, quali ad esempio:

• la video-sorveglianza,
• il controllo accessi,
• il sito web condominiale, e così via.

In merito ai mezzi di trattamento occorre fare alcune precisazioni. Il condominio, nella maggior parte dei casi, non ha una propria gestione interna con propri uffici e dipendenti, ma demanda l’intera attività di gestione a un soggetto esterno, l’amministratore di condominio, che potrà essere una persona fisica o una società.

Responsabile del trattamento

Quest’ultimo, pertanto, è per sua vocazione professionale il responsabile del trattamento, cioè colui che tratta i dati personali per conto del titolare. Richiamato questo concetto ormai noto, voglio porre l’attenzione sulle autonomie del responsabile del trattamento nei confronti del titolare del trattamento, vale a dire l’autonomia dell’amministratore nell’eseguire trattamenti sui dati personali dei condomini.

Riporto il paragrafo 2 dell’articolo 28 del Regolamento 2016/679 che recita: “Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”    .

Questo significa che l’amministratore di condominio nel momento in cui vuole demandare ad altri soggetti parte delle sue attività con il trasferimento dei dati personali dei condòmini, ha la necessità dell’autorizzazione preventiva da parte dell’assemblea dei condòmini. È comprensibile come questo limita il lavoro dell’amministratore confinandolo all’interno del suo studio.

Quali soluzioni

Come possiamo ovviare a questo? Ci sono diversi modi. Vediamone qualcuno insieme.

Al momento della nomina o alla prima assemblea utile è bene far verbalizzare, oltre alla nomina di responsabile esterno in materia di trattamento dati, anche la deroga all’art. 28 par. 2 del RGPD (Regolamento Protezione dei Dati Personali) attraverso la quale viene autorizzato a demandare alcuni trattamenti a soggetti terzi, ovvero nominare sub-responsabili senza autorizzazione preventiva. Una possibile traccia potrebbe essere: “L’assemblea, con riferimento al Regolamento UE 2016/679 in materia di protezione e circolazione dei dati personali, nomina l’amministratore del condominio sig…./ società… responsabile del trattamento dati. In detta veste è tenuto ad assolvere tale compito nel rispetto del RGPD e in particolare a quanto indicato dall’articolo 28 Reg. UE 2016/679. Contestualmente a parziale deroga dell’art. 28 par. 2, l’assemblea autorizza la nomina di eventuali sub-responsabili per alcune attività di trattamento sui dati personali nel rispetto del regolamento stesso. L’amministratore è tenuto a fornire l’elenco dei sub-responsabili a semplice richiesta”.

In caso di prima nomina è consigliabile evidenziare direttamente nell’offerta che alcuni servizi verranno demandati a terzi specificando la frase che dovrà essere riportata sul verbale oltre agli elementi essenziali indicati dal codice civile.

Altro metodo per non incorrere nei limiti del par. 2 art. 28 è quello di utilizzare la duplice veste dell’amministratore quale rappresentante legale del condominio (Titolare del trattamento) e professionista esterno (Responsabile del trattamento). Se, nel dare incarichi a eventuali terzi, come ad esempio al consulente del lavoro, al commercialista, alla società di postalizzazione, ecc.., egli interviene come rappresentante legale, sta agendo di fatto come titolare del trattamento. In questo caso, fatto sempre salvo quanto disposto dal paragrafo 1 dell’articolo 28, non ha necessità dell’autorizzazione preventiva dell’assemblea dei condòmini.

È evidente che se si capiscono bene i meccanismi della normativa è più semplice intervenire con un comportamento adeguato prevenendo situazioni di criticità anche in sede di controllo. Gli esempi riportati non possono assolutamente prescindere dal rispetto delle garanzie specifiche richieste dal par. 1 dell’art. 28 in merito al soddisfacimento e alla messa in atto di misure tecniche organizzative al fine di garantire la tutela dei diritti degli interessati. Questo significa che sia i condòmini, al momento della scelta dell’amministratore e della sua conferma, sia l’amministratore stesso nella scelta dei fornitori (sub-responsabili), dovranno assicurarsi preventivamente che il soggetto a cui demandano il trattamento dei dati personali lo svolga nel rispetto del Regolamento UE 2016/679.

Il compenso

Quale compenso è previsto per l’amministratore di condominio per l’attuazione e il rispetto del regolamento UE 2016/679?

Trattare i dati personali secondo i principi di liceità, di correttezza e di trasparenza, nonché l’adozione di misure di sicurezza adeguate rientrano negli obblighi di tutti coloro che trattano dati personali per fini diversi da quello domestico o strettamente privato. Non è previsto, né può essere previsto alcun compenso extra per questa attività che peraltro non è nuova. Ricordiamo, infatti, che la prima legge sulla tutela delle persone e sul trattamento dei loro dati è del 31 dicembre 1996 n. 675.

Lascia un commento Annulla risposta

Devi essere connesso per inviare un commento.