Il 25 Maggio 2018, con l’entrata in vigore del Regolamento UE 2016/679 sul Trattamento dei dati personali, si è configurata una nuova responsabilità per il Condominio.
Quest’ultimo è stato infatti riconosciuto come “Titolare del trattamento dei dati”.
L’adozione di procedure conformi al GDPR da parte del Condominio permette di trattare in maniera corretta i dati personali e quindi di evitare di incorrere in sanzioni amministrative (pecuniarie) e penali.
Regolamento (UE) 2016/679: il condominio deve adeguarsi al regolamento, ma serve un nuovo approccio alla gestione dei dati personali
Partiamo da qualche definizione per capire meglio il problema.
Il Titolare del Trattamento è colui che mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato secondo quanto disposto dal GDPR (art. 24): è dunque il singolo professionista o il legale rappresentante della società/associazione professionale che determina le finalità ed i mezzi del trattamento di dati personali.
Una volta definito il Titolare del trattamento passiamo ad un’altra figura centrale, ovvero il Responsabile del Trattamento.
Il Responsabile del trattamento è il soggetto che tratta i dati personali per conto del Titolare.
Chi riveste questi ruoli in un condominio?
Nel condominio, è la “compagine condominiale” il soggetto titolare del trattamento, ma poiché l’amministratore ne è il rappresentante legale , egli assume il duplice ruolo di titolare del trattamento dei dati (art. 24 GDPR), quale legale rappresentante del condominio, e di responsabile del trattamento dei dati (art. 28 GDPR) relativamente a tutte le attività svolte per la gestione condominiale presso il suo studio.
E’ perciò opportuno che l’assemblea dei condomini, all’atto della nomina dell’amministratore, conferisca allo stesso il ruolo di responsabile del trattamento dei dati.
Di norma è in capo al titolare del trattamento che sussistono oneri ed eventuali sanzioni, ma il responsabile del trattamento risponde del danno causato dal trattamento se non ha adempiuto agli obblighi del Regolamento specificamente diretti ai responsabili o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento.
Il responsabile risponde in solido con il titolare qualora dovesse dare corso a trattamenti contrari al regolamento, seppur su indicazione dello stesso. Se fa proprie le finalità e i mezzi viene considerato come titolare del trattamento, determinando l’applicazione delle disposizioni relative (medesime incombenze e sanzioni).
Lo stesso amministratore può essere al contempo il responsabile e il titolare del trattamento dei dati e i dipendenti dello studio assumono la veste di incaricati, ossia i soggetti che operativamente trattano i dati dello studio stesso e dei condomini.
Potranno esserci diversi incaricati, ciascuno responsabile del trattamento di specifici dati, quali:
- quelli relativi all’assemblea: soggetti da convocare, soggetti che partecipano; soggetti che deliberano
- quelli relativi alla bacheca condominiale: comunicazioni e informazioni
- la gestione trasparente del condominio
- la videosorveglianza
- il sito condominiale
- diritto di accesso ai propri dati, diritto all’oblio, diritto al trasferimento
- dati dei dipendenti e dei fornitori
- tutti i dati informatici
L’amministratore può trattare i dati che non eccedono le finalità di gestione e amministrazione del condominio, quali i dati anagrafici, l’indirizzo, nonché i numeri di telefono, fisso e cellulare, l’indirizzo di posta elettronica, se fornito direttamente dal condomino; anche dati sensibili (concernenti la salute) o giudiziari indispensabili per l’amministrazione del condominio.
Quello che emerge dalla normativa è che il principio ispiratore del GDPR è quello dell’accountability (responsabilizzazione) in base al quale bisogna adottare un comportamento proattivo favorendo anche l’adozione di controlli periodici per garantire in maniera costante un’attività di trattamento dei dati conforme alla normativa, ed evitare possibili azioni sanzionatorie.
Trattandosi di una materia dinamica, soggetta ad evoluzioni nel tempo, gli audit successivi l’adozione del “modello privacy”, condotti da auditor esperti del settore, consentono di verificare se:
- Le procedure adottate in materia di protezione dei dati personali sono applicate correttamente;
- Devono essere apportate modifiche alle attività, allo scopo di rendere più efficiente la gestione dei dati personali;
- Decidere in merito l’adozione di eventuali azioni correttive;
- Valutare l’aggiornamento del Registro delle attività di trattamento.
Quali sono le sanzioni per chi non si adegua al Gdpr?
Il GDPR ha previsto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali. In particolare, l’art. 83 del GDPR distingue due gruppi di sanzioni amministrative:
- Nel primo gruppo rientrano le violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
- Il secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le norme applicate dal Garante per l’irrogazione della sanzione prevedono:
- Per omessa o inidonea informativa all’interessato prevede il pagamento di una somma da seimila euro a trentaseimila euro;
- Per omessa o incompleta notificazione stabilisce una sanzione da ventimila euro a centoventimila euro;
- Per omessa informazione o esibizione al Garante la sanzione è da diecimila euro a sessantamila euro.
L’ Amministratore di Condominio oltre a rispondere ad eventuali esposti da parte degli interessati (condòmini), dovrà essere in grado di fornire risposte adeguate rispetto agli ampissimi poteri di controllo e ispettivi forniti al Garante che verranno effettuati dal Nucleo Privacy della Guardia di Finanza.