Dopo il 25 maggio 2018 – data di attuazione del Regolamento UE 2016/679 in materia di privacy, anche conosciuto come GDPR – l’attività di trattamento dei dati dei condòmini da parte dell’amministratore è divenuta più complessa. Infatti l’art. 1130, comma 6, del codice civile, specifica che l’amministratore è obbligato a “curare la tenuta del registro di anagrafe condominiale contenente le generalità dei singoli proprietari e dei titolari di diritti reali e di diritti personali di godimento, comprensive del codice fiscale e della residenza o domicilio, i dati catastali di ciascuna unità immobiliare, nonché ogni dato relativo alle condizioni di sicurezza delle parti comuni dell’edificio”.
Nello specifico, la nuova normativa invita ad effettuare il trattamento dei dati, a predisporre la necessaria informativa e a raccogliere il consenso degli interessati, il tutto rispettando il principio diresponsabilizzazione dei titolari e responsabili del trattamento dei dati.
Il trattamento
Il Regolamento definisce col termine “trattamento” “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4 punto 2 Reg. UE 2016/679). In questo contesto, qualsiasi operazione effettuata su un dato entra nella nozione di trattamento.
Va precisato, dunque, che l’amministratore riveste il duplice ruolo di titolare del trattamento dei dati (art. 24 Reg. UE 2016/679), quale rappresentante legale del condominio, e di responsabile del trattamento dei dati (art. 28 Reg. UE 2016/679) relativamente a tutte le attività svolte per la gestione condominiale presso il suo studio. Il titolare del trattamento dei dati “determina le finalità e i mezzi del trattamento dei dati personali”, mentre il responsabile del trattamento dei dati “tratta i dati personali per conto del titolare del trattamento”.
Di norma è in capo al titolare del trattamento che sussistono oneri ed eventuali sanzioni, ma il responsabile del trattamento risponde del danno causato dal trattamento se non ha adempiuto agli obblighi del regolamento specificamente diretti ai responsabili o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Il responsabile risponde in solido con il titolare qualora dovesse dare corso a trattamenti contrari al regolamento, seppur su indicazione dello stesso. Se fa proprie le finalità e i mezzi viene considerato come titolare del trattamento, determinando l’applicazione delle disposizioni relative (medesime incombenze e sanzioni).
L’informativa
Il documento principe sia della vecchia che della nuova normativa in termini di privacy rimane sempre l’informativa (artt. 13-14 Reg. UE 2016/679) da consegnare a ogni interessato (chiunque gode di diritti reali e/o di godimento). Essa ha lo scopo di informare l’interessato circa:
- le finalità per cui i suoi dati vengono trattati;
- le modalità del trattamento degli stessi;
- la natura obbligatoria o facoltativa del conferimento dei dati;
- i soggetti che possono venirne a conoscenza in qualità di autorizzati o di responsabili del trattamento;
- l’ambito di comunicazione o di diffusione dei dati medesimi;
- il periodo massimo o il criterio di detenzione dei dati personali e dei suoi diritti in qualità di interessato.
Dovranno essere chiaramente indicati anche il nome del titolare del trattamento e i recapiti di contatto. Tale documento deve essere fornito all’interessato all’inizio del trattamento, e lo stesso deve essere messo nelle condizioni di poterlo recuperare con facilità o a semplice richiesta.
Il consenso
Qualora l’amministratore, nell’ambito delle sue mansioni, dovesse trattare dati personali che dovessero rilevare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, dovrà inoltre raccogliere il consenso presso l’interessato (art. 9 Reg. UE 2016/679). Anche se volesse utilizzare i dati personali per effettuare un trattamento che esula dalle finalità per i quali sono stati raccolti, dovrà necessariamente raccogliere il consenso (ad esempio attività promozionali e/o commerciali). Quindi ogni operazione sui dati per scopi diversi da quelli per cui sono stati raccolti è illecita senza consenso (artt. 6, 7, 9 Reg. UE 2016/679).
Responsabilità
Un altro pilastro del GDPR è il principio di responsabilizzazione (accountability) dei titolari e responsabili del trattamento dei dati, che si esplica nell’adozione di comportamenti pro-attivi e tali da dimostrare la concreta attuazione di misure tecniche e organizzative finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità rispetto al D. Lgs 196/2003, in quanto viene affidato al titolare del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni principi specifici indicati nel regolamento.
Il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure tecniche e organizzative per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi: deve quindi poter dimostrare di aver svolto ogni possibile azione volta a ridurre al minimo il rischio di violazione o di perdita anche accidentale di dati.