ArticoliNormativaPrivacy

Condominio, Amministrazioni Condominiali e normativa privacy

Tra Condominio ed Amministrazione Condominiale

Il rapporto tra il Condominio e l’Amministrazione Condominiale è un rapporto complesso che merita d’essere approfondito specificatamente. Di seguito, quindi, provvederemo ad un’analisi il più possibile dettagliata e specifica – cercando, nel contempo, di risultare il meno prolissi possibili – di questa fattispecie particolare.

Di seguito le principali definizioni ex art. 4, Reg. (UE) 2016/679 (per ulteriori informazioni si rimanda alla lettura del prosieguo e alla consultazione del testo normativo – liberamente consultabile qui)

Dato Personalequalsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
Trattamentoqualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
Archivioqualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
Titolare del trattamentola persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
Responsabile del trattamentola persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
Destinatariola persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
Terzola persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
Consenso dell’interessatoqualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
Violazione di dati personalila violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

Di seguito si provvede la declinazione delle definizioni fondamentali, di cui al punto precedente, nell’ambito precipuo del Condominio e dell’Amministrazione Condominiale.

Dato personale Definizione parzialmente autoevidente, sono dati personali tutti i dati identificati o che consentono l’identificazione dei soggetti a cui si riferiscono. Dunque, nel caso condominiale, a titolo esemplificativo e non esaustivo, sono classificati quali dati personali il nome, cognome, codice IBAN, codice fiscale, numero di telefono, indirizzo email, indirizzo di residenza e di domicilio, etc.
Trattamento Un trattamento di dati è una qualunque operazione svolta su dati personali come, ad esempio, la compilazione dell’anagrafe condominiale, l’invio di una mail, la comunicazione per tramite canali di messaggistica istantanea, etc.
Archivio Un archivio è una qualunque banca dati, anche non ordinata, di dati personali sia questa un database elettronico, un archivio cartaceo, etc.
Titolare del trattamento Nell’ambito conbdominiale, il Titolare del trattamento dei dati condominiali viene identificato nella compagine nella forma dell’assemblea condominiale
Responsabile del trattamento Il Responsabile del trattamento, nell’ambito dei trattamenti di dati relativi alla compagine condominiale, è l’Amministrazione Condominiale.
Destinatario Il destinatario dei dati è qualunque ente/organismo/società che riceve i dati personali oggetto di trattamento.
Terzo Similmente eppure diversamente dalla definizione del destinatario dei dati, terzo identifica chiunque ottenga o abbia accesso a dati personali senza averne effettivamente diritto.
Consenso dell’interessato Il consenso dell’interessato è la manifestazione chiara, esplicita e, senza alcuna forma di dubbio, libera, della volontà del soggetto a cui si riferiscono i dati personali d’essere sottoposto ad un determinato trattamento.
Violazione dei dati personali Si definisce violazione di dati personali ogni accesso, modifica o perdita non autorizzata di dati personali.
 

Nell’ambito dei trattamenti di dati personali condominiali, il titolare del trattamento è il Condominio, nella forma dell’assemblea condominiale. Questo, se rientrante nell’obbligo ai sensi del Codice Civile, nomina (o deve nominare) un Amministratore Condominiale che, nella terminologia relativa alla protezione dei dati personali assume il ruolo di Responsabile del trattamento.

Il rapporto intercorrente tra il Titolare del trattamento e il/i suo/i responsabile/i del trattamento è sancito, preliminarmente ma non esclusivamente, ai sensi dell’art. 28, Reg. (UE) 2016/679, anche noto con l’acronimo di GDPR (General Data Protection Regulation) o RGPD (Regolamento Generale Protezione Dati). Vediamo insieme questo articolo.

Articolo 28

Responsabile del trattamento

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3.   I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a)

tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b)

garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c)

adotti tutte le misure richieste ai sensi dell’articolo 32;

d)

rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e)

tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f)

assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g)

su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h)

metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4.   Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

[…]

Il Titolare del trattamento, dunque, o, per meglio dire – nel nostro caso -, il Condominio deve nominare il Responsabile del trattamento mediante un atto di nomina che rispetti quanto stabilito al presente articolo e determinare, di conseguenza, le istruzioni specifiche alle quali lo stesso deve attenersi nel mentre dell’esecuzione dei termini contrattuali.

Tuttavia, essendo il Condominio il titolare del trattamento, i suo obblighi non si attestano esclusivamente al rispetto di questo articolo fondamentale.

Questi, infatti, mantiene tutti gli obblighi nei confronti degli interessati del trattamento, ovverosia dei singoli codnomini/inquilini. Egli deve dunque rispettare i dettami delle informazioni da rendere agli stessi (chiamati, in quest’ambito, interessati al trattamento) tutte le informazioni contenute negli rticoli 13 e, se del caso, 14, dello stesso Regolamento Europeo.

Nella fattispecie, questi articoli rappresentano punti nevralgici del rispetto della normativa e definiscono, per l’appunto, le informazioni da rendere agli interessati al trattamento in due casi specifici:

  1. Articolo 13: qualora i dati degli interessati siano raccolti presso (quindi, sostanzialmente, dagli) gli stessi soggetti;
  2. Articolo 14: qualora i dati siano raccolti presso altre fonti.

In particolare, questa distinzione la si vede in ambito condominiale nel mentre del rispetto, da parte dell’Amministrazione Condominiale, dell’obbligo di redazione dell’anagrafe condominiale: in questo specifico caso, infatti, l’Amministrazione è obbligata a raccogliere e catalogare le informazioni relative agli inquilini di un immobile (si pensi, per esempio, al caso in cui avviene un sisma: l’anagrafe condominiale consente di capire quante persone sono disperse, quante devono essere ricercate ed avere informazioni utili al loro salvataggio). Tali informazioni, se non fornite completamente, devono essere rinvenute presso ulteriori e diversificate sedi e, in seguito, l’Amministrazione Condominiale provvederà ad addebitarne il costo al singolo soggetto.

Tale obbligo normativo ci consente, dunque, di vedere che il trattamento di dati personali effettuato dall’Amministrazione Condominiale in favore della compagine condominiale è un trattamento che presenta una base giuridica diversa dall’esecuzione dei termini contrattuali di cui il mandato. Infatti, in questo caso parliamo di un trattamento di dati obbligatorio per assolvere ad un onere normativo il cui rispetto ricade sull’Amministrazione Condominiale in quanto legale rappresentante pro tempore del Condominio.

Il Condominio, in ogni caso, per quanto ottenga il rispetto dell’onere dal proprio Amministratore, deve informare i condomini di tutti i trattamenti di dati personali che deve porre in essere e ai quali saranno sottoposti. Per questo motivo, dunque, il Condominio in ogni caso dovrà emanare un’informativa sui trattamenti di dati personali (per avere un’esplicazione dei contenuti minimi e delle informazioni che devono essere indicate nelle informative, sia ex art. 13 che 14, GDPR, vi invitiamo alla consultazione delle nostre informative privacy pubblicate qui).

Oltre a ciò, infine, ovverosia oltre al rispetto di questi obblighi fondamentali (che, in ogni caso, in questa spiegazione semplificata non sono tutti gli obblighi vigenti sul Condominio), il Condominio potrebbe essere soggetto al rispetto di ulteriori disposizioni quali, ad esempio, la realizzazione di informative relative a videosorveglianze e/o sistemi d’allarme, etc.

Spesso ci arrivano richieste in cui si domanda se il Condominio sia soggetto all’obbligo di nomina del Responsabile della Protezione dei Dati (RPD), anche noto come Data Protection Officer (DPO). Riteniamo utile fare una piccola specificazione sulla questione. Partiamo dalla definizione: il DPO è sancito ex artt. 37 a 39, Reg. (UE) 2016/679 ed è obbligatorio esclusivamente in alcune casistiche:

  1. Se vi sono più di 250 (duecentocinquanta) dipendenti;
  2. Se vi sono trattamenti su larga scala (di dati personali, dati appartenenti alle c.d. categorie particolari ex art. 9 e/o dati relativi a condanne e reati ex art. 10, Reg. (UE) 2016/679);
  3. Se il trattamento o i trattamenti sono effettuati da un’autorità pubblica.

Com’è evidente, il Condominio di per sé o, per meglio dire, di base, non effettua trattamenti che potrebbero rientrare entro queste categiorie e, di conseguenza, non dovrebbe essere obbligato alla nomina del Responsabile della Protezione dei Dati (RDP o DPO).

Rileviamo necessario sottolineare una specifica autoevidente: il Responsabile della Protezione dei Dati (RDP o DPO) e il Responsabile del trattamento sono due figure distinte e molto differenti tra di loro. Il Condominio, come abbiamo detto, non dovrebbe essere – se non in casi eccezionali – soggetto all’obbligo di nomina di un Responsabile della Protezione dei Dati mentre è obbligato alla nomina dei propri Responsabili dei trattamenti.

Come abbiamo visto, sul Condominio, titolare del trattamento dei dati, vigono per lo meno i seguenti obblighi:

  1. Nomina dell’Amministrazione Condominiale a Responsabile del trattamento dei dati personali;
  2. Realizzazione delle informative sui trattamenti di dati personali ex artt. 13 e 14, Reg. (UE) 2016/679.

Ciò è vero fintanto che non occorrano ulteriori problematiche come, ad esempio, l’obbligo di realizzazione dei Registri delle Attività di trattamento, ex art. 30, par. 1, Reg. (UE) 2016/679 (per ulteriori informazioni al riguardo si rimanda alla consultazione della FAQ del Garante per la Protezione dei Dati Personali sui registri delle attività di trattamento che potete trovare qui) e/o installazione di sistemi videosorveglianza e/o allarme che richiedano una specifica verifica.

Abbiamo approfondito, dunque, la casistica specifica relativa al Condominio in qualità di titolare del trattamento. Per ulteriori informazioni non esitate a consultarci per mezzo del format sottostante!