Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679 in materia di privacy GDPR (General Data Protection Regulation) che disciplina a livello europeo la protezione dei dati personali. Chiunque per ragioni professionali venga in possesso di dati personali è soggetto al Regolamento quindi anche gli amministratori di condominio.
Il diritto alla protezione dei dati personali è un diritto assoluto rispetto alla propria vita privata e familiare, appartiene a tutte le persone ed è sancito dall’art. 8 della Carta dei diritti fondamentali della UE; diritto che va bilanciato con altri diritti di soggetti pubblici e privati e con il diritto di imprese, enti, professionisti che utilizzano tali dati, trattandoli, per finalità di mercato. Infatti, se per un verso ciascun individuo, come consumatore o fruitore di beni e servizi, ha il diritto di veder protetti i propri dati personali, dall’altro lato, le imprese, i professionisti e gli enti per lo sviluppo di una sana concorrenza hanno il dovere di attuare le idonee misure di protezione per evitare che con la diffusione incontrollata di tali dati tale diritto venga leso.
La protezione dei dati personali è tema non in ambito condominiale fina dal 2003, data di entrata in vigore del Codice della Privacy (D.Lgs. n. 196/2003), tanto che il Garante per la Protezione dei Dati personali, dopo l’entrata in vigore della L. n. 220/2012 che ha innovato la materia condominiale, è intervenuto a chiarire alcuni punti definendo i limiti e le modalità di trattamento dei dati dei condomini da parte dell’amministratore con il duplice intento di proteggere le persone in relazione al trattamento dei dati personali e alla loro libera circolazione e l’attività di trattamento dei dati dei condòmini da parte dell’amministratore.
Infatti l’art. 1130, comma 6, c.c. pone a carico dell’amministratore l’obbligo di “curare la tenuta del registro di anagrafe condominiale contenente le generalità dei singoli proprietari e dei titolari di diritti reali e di diritti personali di godimento, comprensive del codice fiscale e della residenza o domicilio, i dati catastali di ciascuna unità immobiliare, nonché ogni dato relativo alle condizioni di sicurezza delle parti comuni dell’edificio”.
Cos’è il dato personale?
Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (c.d. interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4 GDPR).
La tutela è approntata per le sole persone fisiche, perciò sono escluse le persone giuridiche (associazioni, fondazioni, società, enti): se un amministratore gestisce un condominio in cui i condomini sono tutte società, non si pone il problema della tutela di dati personali.
Nel condominio i dati personali sono i nomi dei condomini, raccolti nell’elenco, i loro recapiti telefonici, fissi e mobili, l’indirizzo e-mail.
Cosa vuol dire trattamento dei dati
E’ “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4 GDPR ). In questo contesto, qualsiasi operazione effettuata su un dato entra nella nozione di trattamento.
L’elaborazione dell’elenco condomini, la tabella millesimale, il verbale dell’assemblea sono da ritenersi operazioni di “trattamento” dei dati personali del tutto lecite e legittime perché riferite a informazioni pertinenti e non eccedenti le finalità da perseguire con il trattamento stesso.
E’ invece vietato riportare nell’elenco dei condomini in formato cartaceo o elettronico, accanto ai nomi dei condomini (o dei conduttori) annotazioni personali come “single”, “non verrà in assemblea”, “va in vacanza a giugno”, “risponde sempre la segreteria”: tali informazioni sono lesive della privacy , non sono pertinenti ed eccedono la finalità per la quale i dati sono raccolti (convocazione in assemblea).
Art. 5 GDPR
- trattati in maniera da garantirne un’adeguata sicurezza in termini anche di integrità e riservatezza;
- raccolti in modo lecito, corretto e trasparente nei confronti dell’interessato;
- per finalità determinate, esplicite e legittime;
- trattati successivamente solo in modo compatibile con le superiori finalità;
- adeguati, pertinenti e limitati al necessario per le finalità del trattamento;
- esatti e, se necessario, aggiornati;
- conservati in una forma che consenta l’identificazione degli interessati solo per il tempo strettamente necessario per le finalità del trattamento.
GDPR – Chi è il Titolare del Trattamento nel condominio e chi è il Responsabile del Trattamento
Il Titolare del Trattamento è colui che mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato secondo quanto disposto dal GDPR (art. 24): è dunque il singolo professionista o il legale rappresentante della società/associazione professionale che determina le finalità ed i mezzi del trattamento di dati personali.
Il Responsabile del Trattamento è il soggetto che tratta i dati personali per conto del Titolare.
Nel condominio, è la “compagine condominiale” il soggetto titolare del trattamento, ma poiché l’amministratore ne è il rappresentante legale , egli assume il duplice ruolo di titolare del trattamento dei dati (art. 24 GDPR), quale legale rappresentante del condominio, e di responsabile del trattamento dei dati (art. 28 GDPR) relativamente a tutte le attività svolte per la gestione condominiale presso il suo studio.
E’ perciò opportuno che l’assemblea dei condomini, all’atto della nomina dell’amministratore, conferisca allo stesso il ruolo di responsabile del trattamento dei dati.
Di norma è in capo al titolare del trattamento che sussistono oneri ed eventuali sanzioni, ma il responsabile del trattamento risponde del danno causato dal trattamento se non ha adempiuto agli obblighi del Regolamento specificamente diretti ai responsabili o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento. Il responsabile risponde in solido con il titolare qualora dovesse dare corso a trattamenti contrari al regolamento, seppur su indicazione dello stesso. Se fa proprie le finalità e i mezzi viene considerato come titolare del trattamento, determinando l’applicazione delle disposizioni relative (medesime incombenze e sanzioni).
Lo stesso amministratore può essere al contempo il responsabile e il titolare del trattamento dei dati e i dipendenti dello studio assumono la veste di incaricati, ossia i soggetti che operativamente trattano i dati dello studio stesso e dei condomini. Potranno esserci diversi incaricati, ciascuno responsabile del trattamento di specifici dati, quali:
- quelli relativi all’assemblea: soggetti da convocare, soggetti che partecipano; soggetti che deliberano
- quelli relativi alla bacheca condominiale: comunicazioni e informazioni
- la gestione trasparente del condominio
- la videosorveglianza
- il sito condominiale
- diritto di accesso ai propri dati, diritto all’oblio, diritto al trasferimento
- dati dei dipendenti e dei fornitori
- tutti i dati informatici
L’amministratore può trattare i dati che non eccedono le finalità di gestione e amministrazione del condominio, quali i dati anagrafici, l’indirizzo, nonché i numeri di telefono, fisso e cellulare, l’indirizzo di posta elettronica, se fornito direttamente dal condomino; anche dati sensibili (concernenti la salute) o giudiziari indispensabili per l’amministrazione del condominio.
GDPR – Il mandato ad amministrare
Anche gli amministratori di condominio devono perciò adeguarsi al nuovo Regolamento sia per tutelare sé stessi sia per garantire i condòmini che amministrano.
Innanzi tutto, in occasione del conferimento del mandato o nel momento del rinnovo, dovrà essere esplicitato che l’amministratore assume l’incarico di responsabile del trattamento dei dati, definendo i compiti e i limiti di utilizzo dei dati che tratterà. A sua volta, l’amministratore, in relazione all’organizzazione della propria attività, potrà nominare sub responsabili del trattamento, salvo che nell’atto dell’incarico da parte dell’assemblea ciò non gli sia stato vietato.
GDPR – L’informativa
Come nel Codice Privacy del 2003, anche nell’attuale Regolamento il documento che riveste la maggior importanza è l’informativa (artt. 13–14 GDPR) da consegnare a ogni interessato, ossia a tutti i condomini e a chiunque goda di diritti reali e/o di godimento. Si tratta di un documento che ha lo scopo di informare l’interessato circa:
· le finalità per cui i suoi dati vengono trattati;
· le modalità del trattamento degli stessi;
· la natura obbligatoria o facoltativa del conferimento dei dati;· i soggetti che possono venirne a conoscenza in qualità di autorizzati o di responsabili del trattamento;
· l’ambito di comunicazione o di diffusione dei dati medesimi;
· il periodo massimo o il criterio di detenzione dei dati personali e dei suoi diritti in qualità
Nel documento con cui viene fornita l’informativa devono essere chiaramente indicati anche il nome del titolare del trattamento e i recapiti di contatto. Tale documento deve essere fornito all’interessato all’inizio del trattamento, e lo stesso deve essere messo nelle condizioni di poterlo recuperare con facilità o a semplice richiesta.
GDPR – Il consenso
Qualora l’amministratore, nell’ambito delle sue mansioni, dovesse trattare dati personali che dovessero rilevare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, dovrà inoltre raccogliere il consenso presso l’interessato (art. 9 GDPR). Anche se volesse utilizzare i dati personali per effettuare un trattamento che esula dalle finalità per i quali sono stati raccolti, dovrà necessariamente raccogliere il consenso (ad esempio attività promozionali e/o commerciali). Quindi ogni operazione sui dati per scopi diversi da quelli per cui sono stati raccolti è illecita senza consenso (artt. 6, 7, 9 GDPR).
GDPR – Responsabilità
Un altro pilastro del GDPR è il principio di responsabilizzazione (accountability) dei titolari e responsabili del trattamento dei dati, che si esplica nell’adozione di comportamenti pro-attivi e tali da dimostrare la concreta attuazione di misure tecniche e organizzative finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità rispetto al Codice Privacy (D.Lgs n. 196/2003), in quanto viene affidato al titolare del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni principi specifici indicati nel regolamento.
In sostanza è il titolare del trattamento dei dati che deve essere in grado di dimostrare di avere adottato un processo complessivo di misure tecniche e organizzative per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi: deve quindi poter dimostrare di aver svolto ogni possibile azione volta a ridurre al minimo il rischio di violazione o di perdita anche accidentale di dati.
GDPR – Il Garante per la protezione dei dati personali
Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali. Già nel vigore della precedente normativa , il Codice Privacy (D.Lgs. 196/2003) il Garante era intervenuto fornendo alcune indicazioni in relazione ai casi più frequenti che si verificano in ambito condominiale in considerazione del fatto che numerosi sono i dati personali e sensibili dei condòmini di cui l’amministratore di condominio viene a conoscenza nell’espletamento della sua funzione.
GDPR – La bacheca condominiale
Le informazioni divulgate tramite la bacheca condominiale devono essere di carattere generale ossia avere ad oggetto informazioni e comunicazioni inerenti i beni e i servizi comuni, quale ad esempio, la comunicazione relativa ad interventi di manutenzione impianti. Le bacheche condominiali non possono quindi essere usate per comunicazioni riferite a singoli condomini e ciò sia in merito a dati personali sia per beni ad essi riferibili (per es. posti auto o targhe di veicoli). Le comunicazioni individuali potranno invece essere lasciate in busta chiusa nelle cassette delle lettere di ciascun condomino e gli eventuali inadempimenti di condomini che riguardano la gestione condominiale potranno essere conosciuti in sede di assemblea condominiale o previa richiesta all’amministratore.
GDPR – Videosorveglianza
I sistemi di videosorveglianza seguono regole differenti a seconda che siano installati per fini privati oppure su parti comuni. Infatti se l’impianto di videosorveglianza è installato da un condomino per fini propri, non occorre che sia segnalato con un cartello, ma se riguarda parti comuni, dovrà essere evidenziato. Anche le immagini degli impianti di videosorveglianza seguono regole differenti a seconda dei casi. Se riguardano parti private, esse dovranno avere un’area delimitata, per cui per es. quelle per la sorveglianza della propria porta di casa non potranno inquadrare tutto il pianerottolo cosi come quelle del singolo box o posto auto non potranno inquadrare tutto il garage. Queste regole sono applicabili anche ai moderni videocitofoni e apparecchi simili che visualizzano immagini.
GDPR – I verbali assembleari e la documentazione allegata
I documenti adottati con delibera assembleare potranno essere accessibili anche tramite un sito web del condominio. Per garantire l’accessibilità agli aventi diritto, dovranno essere adottate le opportune procedure di autenticazione, solitamente tramite password individuale. Particolare attenzione dovrà essere adottata nel caso in cui siano trattati dati sensibili relativi alla salute o giudiziari.
Il singolo condomino ha diritto a conoscere i propri dati e chiederne l’aggiornamento, la rettifica, l’integrazione ma non può conoscere le informazioni che riguardano altri condomini (per esempio non ha diritto a conoscere un contratto di affitto stipulato da un altro condomino con terzi).
Il conduttore di un immobile in affitto ha certamente diritto all’accesso ai propri dati personali e agli altri diritti garantiti dal codice della privacy, ma non può chiedere l’accesso ai dati sulla gestione del condominio.
Il trattamento dei dati potrà essere effettuato anche senza il consenso degli interessati quando è previsto da un obbligo di legge oppure quando è necessario per adempiere a obblighi contrattuali.
GDPR – Gli obblighi dell’amministratore
Come vuole la regola generale, possono essere trattati solo i dati pertinenti e non eccedenti le finalità di gestione e amministrazione delle parti comuni, per le quali sono raccolti.
Il che significa che l’amministratore può utilizzare i dati anagrafici e gli indirizzi di condomini e conduttori per le convocazioni di condominio, mentre non potranno essere utilizzati e divulgati altri dati, quali lo stato civile o le abitudini personali. Il trattamento dei dati personali sensibili, come quello sullo stato di salute, potrà essere usato per motivi strettamente attinenti la proprietà comune, per es. se si dovesse deliberare l’abbattimento delle barriere architettoniche o se si verificassero incidenti alle persone negli spazi condominiali.
Anche per i dati pubblici che riguardano l’amministratore vige il principio della divulgazione dei dati pertinenti e non eccedenti, e ciò a proposito dell’indicazione che deve darsi nel luogo di accesso al condominio o di maggior uso comune e quindi visibile a chiunque, di generalità, domicilio e recapiti anche telefonici dell’amministratore.
Le stesse informazioni di cui sopra vanno fornite nel caso ci sia una persona che svolge funzioni analoghe a quelle dell’amministratore.
In alcuni casi, alle riunioni assembleari possono partecipare persone diverse dai condomini (si pensi a consulenti a vario titolo o a tecnici per lavori da fare) ma ciò potrà avvenire solo per il tempo necessario a trattare lo specifico punto all’ordine del giorno che li riguarda.
L’assemblea condominiale potrà essere videoregistrata ma solo con il consenso informato di tutti i partecipanti.
Anche se non è possibile esporre avvisi di mora o sollecitazioni al pagamento negli spazi condominiali accessibili a terzi, l’amministratore è obbligato a comunicare ai creditori non ancora soddisfatti, che ne facciano richiesta, i dati dei condòmini morosi.
Infine, l’amministratore, su richiesta di un condomino, potrà fargli visionare ed eventualmente fargli estrarre copia delle movimentazioni bancarie afferenti il condominio, con spese a carico del richiedente.
In sintesi l’amministratore deve:
- conservare la documentazione relativa ai condomini, sia in forma cartacea che in forma telematica
- predisporre misure di sicurezza per proteggere i dati personali dei condomini, soprattutto se sensibili
- comunicare ai condomini i propri dati anagrafici e professionali che devono pure essere affissi.