Il ruolo di responsabilità dei trattamenti dei dati in ambito condominiale dell’amministratore di condominio fu già definito, dal Garante della Privacy, nel 2006 ed è stato riconfermato nel 2019, alla luce del GDPR, il nuovo regolamento europeo sulla protezione dei dati e del d.lgs. 101, il decreto che adegua il nostro codice privacy nazionale alla nuova normativa, nella relazione di luglio, presentata in Parlamento.
Il concetto potrebbe sembrare, in prima analisi, scontato e ovvio. In realtà, però, non tutti conoscono esattamente il significato attribuito dalla normativa sulla privacy.
L’ Amministratore è Responsabile dei trattamenti dei dati personali dei condomini:
Cosa vuol dire?
Quali sono i suoi obblighi?
La nomina è automatica?
Può assumere altri ruoli e quando?
Rispondiamo ai quesiti sopraesposti per chiarire meglio questa importante funzione:
Cosa vuol dire “Responsabile dei trattamenti”?
Per chiarire questo ruolo, è utile fare un passo indietro nel passato, quando era in vigore la precedente normativa.
Il ruolo in questione fu oggetto di un’errata interpretazione. Infatti, aziende e professionisti (anche molti consulenti privacy, purtroppo!) hanno inteso la figura del “responsabile” come spesso viene interpretata nelle aziende: un collaboratore che “si fa carico” degli adempimenti e delle buone pratiche indicate dalla normativa. Sbagliato.
In realtà, il collaboratore che “si occupa delle questioni privacy” in azienda deve essere insignito del ruolo di “persona designata agli adempimenti privacy”e non come responsabile, in quanto, l’unico responsabile, in un’organizzazione, è il legale rappresentante, il titolare o il manager che la rappresenta, nel ruolo apicale che riveste (principio di “accountability”), cioè il “titolare del trattamento”, nella sua veste di persona fisica (titolare del trattamento è anche l’impresa, nella sua forma giuridica).
Ma ancora non ci siamo, dato che “titolare del trattamento” e “responsabile del trattamento” sono due ruoli distinti.
Quindi?
La più attuale normativa specifica meglio il ruolo definendolo “Responsabile esterno dei trattamenti” (art. 28 del GDPR – Reg. Eu 678/2016).
Nella pratica, ci si riferisce a tutti soggetti che, all’esterno di un’organizzazione, trattano i dati per conto del titolare dei trattamenti. Alcuni esempi sono riscontrabili nelle figure dei consulenti del lavoro (trattano i dati dei dipendenti, la cui titolarità del trattamento è del datore); dei commercialisti (trattano i dati dei clienti, e dei fornitori, la cui titolarità è dell’impresa); dei manutentori di software gestionali; etc.
L’amministratore di condominio in che posizione si pone rispetto al condominio? Non è definibile come un manager perché non è assunto, non è definibile come il legale rappresentante perché il condominio non è entità giuridica e, in ogni caso, non si potrebbe configurare come socio o dipendente. E’ di fatto un professionista esterno che ha un incarico, esattamente come un commercialista. Per cui, riveste perfettamente il ruolo di Responsabile esterno dei trattamenti. Il titolare dei trattamenti è il condominio, nel quale ciascun condomino è contitolare dei trattamenti, insieme agli altri soggetti che condividono la comunità condominiale.
La responsabilità finale ricade sempre e solo su titolare, contitolare e responsabile dei trattamenti.
Quali sono i principali obblighi che ricadono sul Responsabile esterno?
La responsabilità autonoma dell’amministratore, responsabile esterno, sulla gestione attenta e lecita dei dati dei condomini è riconosciuta dal Garante della privacy. I soggetti “autorizzati ai trattamenti” come portieri, consiglieri, etc., sono soggetti riconosciuti responsabili solo dall’entità condominiale in quanto, come già accennato nel precedente punto trattato, la responsabilità, in tema di privacy, ricade sempre e solo su titolari e responsabili. Sarà tuttavia possibile intervenire sugli autorizzati (rivalsa) in sede civile e giuslavoristica, in caso di mancanze e responsabilità personali.
Il responsabile dei trattamenti può essere soggetto a sanzioni e risarcimenti in caso di danni cagionati a terzi.
Come abbiamo già accennato, la responsabilità, in caso di violazione o incidente (perdita di riservatezza, di disponibilità o di integrità del dato personale), è del titolare e/o del responsabile dei trattamenti, è quindi fondamentale che l’amministratore applichi tutte le misure di sicurezza “idonee” (definite così nel regolamento europeo), sia tecniche che organizzative; che conosca bene i principi di base del trattamento dei dati personali (formazione specifica da art. 29 del GDPR) e che svolga tutti gli adempimenti previsti (informative, analisi di impatto, registri dei trattamenti, etc.). In pratica, è necessario che sia conforme rispetto all’attuale normativa (reg Eu 679/16; d.lgs. 101/18).
Il responsabile esterno può svolgere le sue attività tramite collaboratori, che verranno nominati “autorizzati al trattamento” e formati sui principi di base della privacy (art. 29 del GDPR) e può nominare a sua volta dei responsabili esterni, ma solo con il consenso del titolare dei trattamenti (il condominio), che diverranno “sub-responsabili esterni dei trattamenti” (ad esempio, i manutentori di un software gestionale che potrebbero accedere ai dati dei condomini).
Il responsabile esterno deve inoltre comunicare tempestivamente al titolare dei trattamenti (nel caso degli amministratori, il condominio) qualsiasi violazione e/o incidente fisico e informatico che riguarda i dati personali trattati. In questo caso, dovrà anche seguire le indicazioni previste dal regolamento in materia di “data breach” (artt. 33-34 del GDPR), comunicando, nei casi che lo richiedono, entro 72 ore i dettagli dell’incidente/violazione, compresi gli impatti, le misure da intraprendere e tutti i parametri previsti, al Garante della privacy.
La nomina è automatica?
Il regolamento europeo è chiaro: la nomina deve essere rivestita tramite apposito atto giuridico. L’atto giuridico esprime le condizioni e gli obblighi relativi all’esecuzione dell’attività di trattamento dei dati.
In pratica, dato che il ruolo dell’amministratore richiede il “ruolo privacy” di responsabile esterno, l’atto giuridico deve essere redatto e controfirmato al momento della nomina del mandato di amministrazione, conferito dall’assemblea.
L’amministratore riveste tale ruolo sulla base dell’attività professionale che svolge, quindi non gli è consentito addebitare in parcella alcuna indennità per la responsabilità assunta.
L’amministratore può assumere altri ruoli privacy?
In realtà, l’amministratore riveste due ruoli privacy. Come abbiamo già detto, è “responsabile esterno dei trattamenti”, quando tratta i dati riferiti all’entità condominiale, quindi di fronte all’ assemblea, mentre è “titolare autonomo dei trattamenti”, quando tratta i dati per incarichi personali o per l’espletamento di adempimenti riferiti al singolo condomino, per esempio, nel momento in cui tratta le spese ripartite o i dati di contatto come mail e cellulari.
Inoltre, non dobbiamo mai dimenticare che l’attività dello studio, anche se finalizzata alla gestione condominiale, comprende una serie di situazioni e di rapporti collaterali, come la gestione dei dipendenti, dei fornitori, di altri professionisti, etc., che configurano il suo ruolo di titolare dei trattamenti.
Il ruolo di titolare dei trattamenti è automatico, non necessita di nomina.
Un ulteriore ruolo, può essere quello di “contitolare dei trattamenti”. Tale situazione si presenta quando, ad esempio, due differenti professionisti collaborano insieme per gestire in comune alcune realtà condominiali, oppure quando due o più professionisti autonomi associati lavorano sugli stessi dati per una finalità condivisa. Molto comune anche il caso di professionisti che
iniziano l’attività presso uno studio avviato che a breve gli cederà la gestione di alcuni immobili.
La contitolarità, come per il ruolo di responsabilità esterna, necessita di uno specifico atto giuridico, che delimiti i confini di responsabilità dei dati. Ad esempio, è probabile che i dati dei condomini risiedano su un server di studio e sul tablet di un contitolare. In questo caso, la responsabilità dei soggetti si limita alla gestione dei dati sui rispettivi supporti.
