Condomìnio titolarità e responsabilità in materia di privacy

Riferimenti normativi: Art. 1130, comma 6, c.c. - L.n. 220/2012 - Codice della Privacy (D. Lgs. n. 196/2003) - GDPR Regolamento dell'Unione Europea (UE 2016/679) - D.Lgs. n.101/2018.

Focus: Il Decreto legislativo n.101/2018, attuativo del GDPR (General Data Protection Regulation), in vigore dal 25/5/2018, ha sollevato molti dubbi in merito ai dati personali che devono essere protetti e alle regole che vanno rispettate per evitare la violazione della riservatezza nell'ambito condominiale. Interessati al trattamento dei dati sono i condòmini ma l'Amministratore di condomìnio che rimane, comunque, titolare del loro trattamento per conto del condomìnio non è stato esonerato dalle responsabilità connesse all'adozione delle misure minime di sicurezza e dalle sanzioni amministrative per inadempimento degli obblighi assunti.

Principi generali: Premesso che fonte direttamente applicabile in ciascuno degli Stati membri rimane il Regolamento europeo 2016/679, il citato D.Lgs. n.101/2018, emanato per armonizzare la normativa nazionale ed il GDPR non ha abrogato ma integrato il Codice Privacy (D.Lgs. n.193/2003) e tutti i provvedimenti antecedenti emanati dal Garante, come il vademecum sulla privacy condominiale del 2006 con il quale il Garante aveva ritenuto legittimo il trattamento di dati sensibili e giudiziari quando ciò fosse indispensabile ai fini dell'amministrazione del condomìnio. Si legge nel vademecum che a <<titolo esemplificativo, tale uso è possibile nel caso in cui l'assemblea debba deliberare l'abbattimento delle "barriere architettoniche" che rendono difficoltoso l'accesso a un condòmino diversamente abile, al fine di acquisire informazioni sulle persone che presteranno servizio alle dipendenze del condomìnio stesso, oppure (nei casi di richieste di risarcimento danni) quando si debbano trattare i dati anche sanitari di persone che abbiano subito danni negli spazi condominiali. In questi casi devono comunque essere adottate adeguate cautele al fine di salvaguardare la dignità degli interessati>>.

Limiti e modalità di trattamento dei dati dei condòmini da parte dell'amministratore sono stati, dunque, definiti dall'Autorità Garante al fine di permettere un corretto bilanciamento tra due opposti interessi: quello alla riservatezza dei propri dati da parte dei condòmini e quello al trattamento degli stessi da parte dell'amministratore.

Trattamento dei dati: I condòmini vanno qualificati come "interessati" al relativo trattamento. Ogni condòmino, infatti, è qualificabile come " persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale". Già prima del Codice della Privacy (D.lgs. n. 196/2003) e della legge sopra menzionata, anche l'art. 1130, comma 6 c.c., ha stabilito a carico dell'amministratore l'obbligo di "curare la tenuta del registro di anagrafe condominiale contenente ……… ogni dato relativo alle condizioni di sicurezza delle parti comuni dell'edificio". L'amministratore di condomìnio (o una figura esterna di supporto, in possesso dei requisiti conformi all'attuazione del regolamento GDPR) è, dunque, titolare del trattamento dei dati personali dei condòmini, sin dall'atto della nomina riportata in un verbale assem-bleare. Il Garante per la protezione dei dati personali nel Provvedimento del 19 maggio 2000 espresse il principio che << per quanto riguarda la normativa sulla protezione dei dati personali, i condòmini devono essere considerati contitolari di un medesimo trattamento dei dati di cui l'amministratore ha la concreta gestione. La contitolarità nel trattamento rende lecita per ciascun condòmino la conoscenza dei dati personali trattati presso il condominio, ai sensi degli artt. 1117 e ss. cod. civ., dati che sono raccolti ed utilizzati correntemente per le finalità riconducibili a tale disciplina>>.

La normativa europea impone all'art. 30 G.D.P.R. la tenuta del registro dei trattamenti al titolare e al responsabile. Esso è un documento scritto, in formato anche elettronico, contenente le principali informazioni, specificatamente individuate dal citato art.30, relative alle operazioni di trattamento svolte dal titolare (il condomìnio) e dal nominato responsabile del trattamento (l'amministratore), che possano presentare un rischio, che non sia occasionale o che includa i dati "sensibili" ex art. 9, par.1, per i diritti e le libertà dell'interessato. Se l'amministratore è allo stesso tempo mandatario di più condomìni <<dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce ( art.30, par. 2 G.D.P.R.)>>. La tenuta del registro costituisce uno dei principali elementi di "autoresponsabilità" (art. 24 G.D.P.R.) che la normativa europea pone a carico del titolare. Quest'ultimo deve adoperare tale mezzo proprio per tenere sotto controllo tutti i trattamenti effettuati, dovendo essere in grado di fornire l'evidenza della loro conformità al G.D.P.R. L'amministratore di condomìnio, su mandato degli interessati, avrà, quindi, piena autonomia nella scelta delle finalità e dei mezzi del trattamento effettuato (art. 4 par. 7 GDPR) per la tutela e la protezione dei dati personali di tutte le persone del condomìnio, pur sempre nel rispetto della normativa codicistica ( artt. 1129, 1130 e ss. cod. civ.) e del regolamento di condomìnio. In pratica il condomìnio, e per suo conto l'Amministratore, potrà limitarsi, ad esempio, a inserire nel Registro solo le indicazioni inerenti al portiere, lavoratore dipendente, per il cui rapporto di lavoro sia stata necessaria la raccolta dei relativi dati sensibili o giudiziari.

L'amministratore è, quindi, il soggetto direttamente sanzionabile in caso di violazione relativa al trattamento dei dati, poiché chiunque subisca un danno materiale o immateriale cagionato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento, ai sensi dell'art. 82 GDPR (principio di accountability o di responsabilità), salvo prova contraria. In tal modo, incombe sull'ammi-nistratore il compito di valutare il rischio cui sono esposti i dati trattati, selezionare e adottare le misure ritenute idonee per ridurre il rischio fino ad eliminarlo. Salvo alcuni casi, egli non è tenuto ad acquisire specifiche competenze analitiche di individuazione e gestione dei rischi in relazione al trattamento dei dati, per cui è "preferibile" che sia nominato un soggetto esterno alla struttura rappresentata dal titolare o responsabile del trattamento, anche nei casi in cui la suddetta nomina non è obbligatoria, al fine di controllare costantemente la conformità del trattamento, in base alle indicazioni fornite dal GDPR (e dalle norme nazionali). E' fondamentale, pertanto, definire i rapporti tra il titolare dei dati del condomìnio e il responsabile del trattamento (ove fosse l'amministratore), poichè si tratta di ruoli che possono non coincidere in capo allo stesso soggetto, specificando obblighi, compiti e responsabilità con un atto ben circostanziato che non potrà esaurirsi nella semplice nomina dell'amministratore in sede di assemblea.

Se l'amministratore vuole limitare l'area di rischio del mandato ex lege può farsi nominare responsabile del trattamento mediante un apposito atto o contratto che abbia i requisiti dettati dalla norma di riferimento, eventualmente prevedendo un apposito compenso per il ruolo che andrà a svolgere. In tal caso, infatti, il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi specifici, ex art. 28 GDPR, o non ha seguito le istruzioni che il condomìnio gli ha impartito all'atto di nomina a responsabile. 

La mancata osservanza delle predette misure necessarie espone il titolare del trattamento alle sanzioni stabilite dal D.Lgs.n.196/2003. In particolare, ai sensi dell'art. 162, comma 2-ter, del D.Lgs. 196/2003, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro. Egli, ad esempio, può scegliere di svolgere incombenze extra mandato come la semplice contabilità separata tra il proprietario e il suo conduttore, o attività che ancor di più si discostano da quelle previste ex lege: consulenza, contrattualistica, ecc. In tal caso il trattamento dei dati dei condòmini potrà essere curato a condizione che l'amministratore abbia acquisito i dovuti consensi. 

Tutela della privacy: Il titolare del trattamento, ovvero il condomìnio, non può esimersi dal verificare se l'amministratore abbia le competenze e gli strumenti idonei a salvaguardare le informazioni comunicate. Tale controllo può essere chiesto dall'assemblea di condomìnio ma anche da parte di un singolo condòmino. L'amministratore dovrà, in conclusione, dimostrare il rispetto del Regolamento UE 2016/679 nel trattamento dei dati personali dei condòmini. Infatti, il 16 maggio 2019 si è resa definitiva l'applicazione delle sanzioni amministrative per inadempimento dei nuovi obblighi sulla privacy introdotti dal Regolamento UE 2016/679.