Ho sempre iniziato tutti i corsi in materia di tutela dei dati personali chiarendo subito una cosa:
“quando si parla di trattamento dei dati personali la “P” che deve sempre rimanere impressa nella mente non è quella di Privacy, bensì quella di Paranoia.”
Sì, perchè la paranoia è ciò che ci assale quando iniziamo ad addentrarci nella materia, tra obblighi e sanzioni, senza che il legislatore ci invii mai un segnale di tranquillità.
Tutto ciò non è cambiato con l’entrata in vigore del Regolamento Europeo 2016/679 (per brevità GDPR). Anzi è aumentata la sensazione di insicurezza nel momento in cui in Europa si è preferito optare per l’applicazione del principio di “accountability”, cioè il principio per il quale il titolare del trattamento dei dati personali compie le sue scelte di gestione e di sicurezza e poi ne risponde per responsabilità laddove qualcosa non vada bene. Per sintetizzare, il concetto si potrebbe riassumere così:
“salvo circostanze particolari non ti impongo oneri specifici nella gestione dei dati personali. Fai tu, ma se si creano problemi passerai dei brutti momenti”.
In Italia siamo abituati a ragionare in altro modo. Dimmi che devo fare e io mi adeguo. La prima importante rivoluzione di questo GDPR è dunque culturale, di approccio. Una responsabilizzazione del titolare al posto del controllo sul compitino svolto.
Segui il corso dal tuo PC e scegli dove tenere l'esame in aula dalla rosa di città disponibili in tutta Italia.
Per essere in regola, quindi, bisogna capirci di privacy – il che non è scontato né automatico. Capirci di privacy, perchè sulla base di quelli che sono i trattamenti che mi trovo ad effettuare dovrò valutare quali sono le regole del gioco.
A prescindere da tutto, è comunque necessario avere esattamente il polso
- della propria attività;
- della propria organizzazione interna;
- avere idea di quali tipologie di dati tratto, di quali tipologie di trattamenti effettuo;
- di quali rischi corrono i dati trattati con certe modalità, se effettuo trasferimenti di dati…
Venendo alla professione di amministratore di condominio, è utile valutare che impatto abbia avuto l’entrata in vigore del GDPR e cosa debba fare il professionista per essere in regola.
Premesso che servirebbe un trattato e non solo poche righe per sviluppare l’argomento, è importante evidenziare che la maggior parte degli oneri posti a carico del titolare del trattamento riguarda le società con oltre 250 dipendenti o con caratteristiche specifiche, il che esclude che tali regole siano obbligatorie per la categoria degli amministratori di condominio.
Un esempio per tutti. Si è sentito parlare moltissimo della figura del DPO (Data Protection Officer) o RPD nell’acronimo italiano (Responsabile della Protezione dei Dati). Bene. La nomina di tale figura non è obbligatoria.
O meglio, è obbligatoria solo se:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (quelli che chiamavamo dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il che non è nel caso dell’amministratore di condominio. Di certo, tuttavia, la nomina di un DPO è utilissima anche nel caso in cui non sia obbligatoria e personalmente consiglio di effettuarla, salvo realtà molto ridotte.
Allora cosa deve fare l’amministratore di condominio?
- In primo luogo fare un check sulla struttura del suo ufficio. La cosa migliore è quella di creare un organigramma, specificando chiaramente chi fa cosa su quali dati personali. Così facendo si potranno avere chiari i ruoli e le responsabilità e predisporre pertanto quei documenti che sono necessari per un lecito trattamento dei dati. Facciamo il caso di uno studio di amministrazione con due amministratori in società di persone, si potrà configurare il caso di contitolarità del trattamento, oggi regolamentato dall’art.26 del GDPR. Nel caso di uno o più dipendenti si potranno configurare una serie di “incaricati del trattamento” che per trattare lecitamente i dati dei condomini devono ricevere dall’amministratore una specifica lettera di incarico che li autorizzi a compiere determinate operazioni sui dati personali e solo quelle. Un organigramma aggiornato e strutturato in questo modo consente anche di redigere una corretta informativa da fornire a tutti.
- L’informativa deve essere cambiata rispetto a quella che avevamo prima dell’ingresso del GDPR. Oggi sono stati introdotti nuovi diritti degli interessati, sono state inserite nuove informazioni che devono essere fornite ed anche le tempistiche sono un po’ modificate. Ovviamente quello che si scrive nell’informativa deve essere vero, per cui è necessario che realmente il titolare sia in grado di dare pronto riscontro all’interessato che avanzi una legittima richiesta o eserciti un suo diritto. Per cui è utile predisporre una serie di procedure, magari corredate di idonea modulistica, che consenta un riscontro efficace. Una di queste è la predisposizione e compilazione di un registro dei trattamenti previsto dall’art.30 del GDPR – ma obbligatorio solo nei casi ivi previsti (più di 250 dipendenti, trattamento di dati particolari ex art.9 GDPR, trattamento di dati giudiziari…).
- Elemento chiave è la gestione della sicurezza. Le misure da applicare per proteggere un trattamento dati personali cambiano a seconda di quali dati si trattino ed in che modalità si trattino. Un numero di telefono sulla rubrica di un cellulare o su un’agenda cartacea deve essere gestito in diverso modo e protetto in diverso modo. Anche in questo caso una corretta analisi della propria struttura potrà aiutare l’amministratore a capire quale sia il complesso di misure (fisiche, logiche ed organizzative) utili per raggiungere lo scopo.
- In questo contesto si colloca anche la valutazione di impatto sulla protezione dei dati personali che bisogna effettuare nei casi previsti dall’art.35 GDPR e che è comunque fortemente consigliata ogni qual volta il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche. L’analisi dei rischi è una risorsa importante per ragionare su quello che si sta facendo e su come lo si sta facendo.
- L’amministratore in genere non deve chiedere il consenso ai condomini per trattare i loro dati personali, in quanto la base giuridica del trattamento è l’esecuzione del mandato conferitogli. Tuttavia ci possono essere situazioni particolari in cui l’amministratore debba trattare dati particolari, sanitari o di giustizia, ed in quel caso è sempre utile avere un consenso scritto che autorizzi il trattamento e, se necessario, autorizzi anche la comunicazione dei dati ad altri.
Leggi anche Revoca delibera assembleare del condominio
Sintetizzando in pratica, verso i condomini l’amministratore dovrebbe:
- Redigere una informativa aggiornata e portarla a conoscenza dei condomini nei mezzi più idonei (personalmente preferisco una comunicazione ad personam, con conferma di ricezione – firma- o in modalità telematica, ma si può anche affiggere nella bacheca condominiale, per esempio);
- deve acquisire il consenso laddove il trattamento non sia diretto svolgimento del mandato assembleare o vi siano dati rilevanti da tutelare;
- deve aver curato la sua organizzazione interna in modo che il lavoro sia svolto nel rigido rispetto dei diritti degli interessati, con accorgimenti tecnici e standardizzazione di procedure.
Molto ci sarebbe ancora da dire su un provvedimento così ricco e di così ampia portata, ma esula dalla tipologia di scritto e dalla finalità del presente blog.
Leggi anche Ripartizione spese citofono
Avvocato civilista e Presidente del Polo di Diritto Immobiliare. Sopravvissuto ad un'infanzia senza smartphone e tablet, conduco il mio studio legale a tempo pieno e cresco le mie figlie a tempo pieno... ...
Vai agli articoli dell'autore >