Nulla di nuovo sotto il sole. Anche con la Relazione sull'attività svolta nel corso del 2019, recentemente presentata alla stampa, l'Autorità Garante per la protezione dei dati personali non ha preso una posizione netta sul ruolo dell'amministratore condominiale in ambito privacy, richiamandosi al contenuto del provvedimento sull'amministrazione dei condomini del 18 maggio 2006 (e, quindi, anche all'ottimo vademecum stilato nel 2013, che è sempre utile consultare.
Il richiamo operato sic et simpliciter dall'Authority alla Guida redatta sotto la vigenza del "vecchio" Codice privacy di cui al D.Lgs. 196/2003 è la miglior prova di come sulla predetta questione non abbiano inciso più di tanto le modifiche introdotte a seguito dell'entrata in vigore della normativa comunitaria di cui al regolamento n. 2016/679. Invero, a seguito del c.d.
GPR molto si è scritto in merito alla sua applicazione in ambito condominiale, a volte però quasi dimenticando che la normativa italiana in materia risale addirittura al 1996 (anno di emanazione della Legge n. 675) e che in oltre venti anni di onorata attività il Garante privacy ne ha approfondito compiutamente i vari aspetti pratici e operativi in numerosi provvedimenti generali e particolari.
Il Codice privacy del 2003, come ricordato più volte dal compianto Segretario Generale dell'Authority Giovanni Buttarelli, che non caso a fine 2014 venne nominato Garante europeo per la protezione dei dati, è stato preso ad esempio a livello internazionale per la disciplina di questa nuova branca del diritto e di certo non si sbaglia in questo caso nell'affermare che la normativa comunitaria in materia di trattamento dei dati personali discende da quella italiana e non viceversa.
L'amministratore è titolare o responsabile del trattamento?
Operata questa doverosa premessa, pare utile tornare sul tema dell'inquadramento giuridico dell'amministratore dal punto di vista del trattamento dei dati personali in ambito condominiale, per cercare di spiegare il perché di quello che solo apparentemente potrebbe sembrare un comportamento reticente da parte del Garante.
Nella predetta Relazione l'Authority riporta che nel corso dell'attività svolta nel 2019 "è stata colta l'occasione per confermare, in termini generali, quanto già indicato nel provvedimento 18 maggio 2006 in merito al trattamento di dati personali nell'ambito dell'amministrazione di condomini e per ribadire che le informazioni personali riferibili a ciascun partecipante possono essere trattate per la finalità di gestione ed amministrazione del condominio e che possono essere per tali ragioni condivise all'interno della compagine condominiale, tenendo anche conto che i condomini devono essere considerati contitolari di un medesimo trattamento dei dati (v. ora art. 4, par. 1, n. 7 e Capo IV, in particolare art. 26 del RGPD) di cui l'amministratore, agendo in eventuale veste di responsabile del trattamento, ha la concreta gestione (v. ora art. 4, par. 1, n. 8 e Capo IV del RGPD)".
Quest'ultimo aspetto, ovvero quello dell'eventuale nomina dell'amministratore a responsabile del trattamento, si trova in realtà meglio esplicitato nel menzionato vademecum del 2013, laddove è scritto che "l'assemblea può decidere di designarlo anche formalmente responsabile del trattamento dei dati personali dei partecipanti al condominio (proprietari, locatari, usufruttuari), attribuendogli uno specifico ruolo in materia di privacy".
Titolare e responsabile del trattamento.
Pare allora utile riportare anche le disposizioni del GDPR nelle quali viene indicato cosa debba intendersi, rispettivamente, per titolare e responsabile del trattamento. Titolare, ex art. 4, comma 1, n. 7), è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali". Responsabile, ex art. 4, comma 1, n. 8), è invece "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento".
La differenza tra le due figure, almeno sulla carta, è molto semplice. Il titolare è il soggetto che, attenendosi alla normativa in materia, individua le finalità del trattamento e determina le modalità per fare in modo che quest'ultimo sia effettuato in sicurezza e minimizzando l'utilizzo dei dati personali.
Il responsabile, al contrario, è il soggetto che viene incaricato dal titolare di compiere una o più delle operazioni di trattamento da quest'ultimo individuate.
In tema di responsabilità civile si osserva quindi come il titolare sia chiamato a rispondere verso i terzi anche nel caso di nomina del responsabile del trattamento, per culpa in eligendo o in vigilando, mentre quest'ultimo, quale mandatario, risponde nei limiti dell'incarico assegnatogli.
Da quanto sopra risulta soprattutto evidente come la figura del responsabile sia del tutto eventuale. Anzi, generalmente sarà proprio il titolare del trattamento a svolgere le operazioni di trattamento dei dati personali.
L'esigenza di nominare un responsabile, interno o esterno alla struttura organizzativa del titolare, che lo coadiuvi nello svolgimento degli adempimenti privacy, sorgerà laddove il numero e/o la complessità dei trattamenti e delle relative operazioni sia tale da giustificare l'individuazione di un soggetto che si occupi in modo specifico di tale ambito.
La stessa esigenza può porsi, con maggiore pregnanza, laddove il titolare del trattamento sia una persona giuridica, poiché in questo caso l'attività viene naturalmente svolta per mezzo di persone fisiche e appare quindi inevitabile che venga individuato un soggetto che si occupi in maniera specifica degli adempimenti privacy.
Da questo punto di vista l'ambito condominiale sconta l'ulteriore criticità del mai risolto dubbio della natura giuridica del condominio, che complica quindi il discorso.
Videosorveglianza condominiale nell'era del GDPR: cosa cambia?
Il rapporto tra condominio, condomini e amministratore.
Operate queste premesse, si può ora passare a trattare più compiutamente del trattamento dei dati personali in ambito condominiale.
Nel ricordare come i condomini siano tra loro contitolari del trattamento e come non sia possibile attribuire una titolarità al condominio in quanto tale, per la nota questione della mancanza di personalità giuridica, occorre evidenziare come il rapporto tra amministratore e singoli condomini sia per così dire intermediato dall'assemblea, le cui deliberazioni quest'ultimo è tenuto a eseguire, al pari degli altri obblighi fissati dalla legge e dal regolamento condominiale.
Non dimentichiamo, infine, che nei fatti è l'amministratore ad avere, per esprimerci con le parole del Garante privacy, "la concreta gestione" del trattamento dei dati condominiali.
Morosità e privacy: arriva il primo risarcimento del danno
La prima - sicuramente la più "naturale" e maggiormente utilizzata, anche se il più delle volte a livello implicito e inconsapevole - che vede operare i due soggetti quali titolari autonomi nella cornice del contratto di mandato con rappresentanza e in base alla quale l'amministratore, nell'ambito delle finalità di trattamento connesse allo svolgimento del suo incarico, ne individua autonomamente le modalità operative, assumendosi le connesse responsabilità.
La seconda - in qualche modo maggiormente "artificiale" e di difficile esecuzione pratica in condominio - che ipotizza invece l'intervento dell'assemblea, la quale dovrebbe operare la nomina dell'amministratore a responsabile del trattamento e, soprattutto, fornirgli le indicazioni operative per svolgere correttamente tale compito.
Quanto sopra presupporrebbe quindi che i condomini riuniti in assemblea fossero in grado di determinare natura, durata e finalità del trattamento dei dati personali condominiali e indicare all'amministratore le misure tecniche e organizzative adeguate e necessarie ad assicurare la correttezza del trattamento.
Poiché nella stragrande maggioranza dei casi non è sicuramente questa la situazione riscontrabile in un condominio e poiché il riparto di ruoli e competenze in materia di privacy, come si è tentato di spiegare, non è nulla di artificiale e indotto, ma dovrebbe semplicemente rispecchiare l'effettiva attribuzione del potere di scelta delle modalità del trattamento, pare evidente come la soluzione preferibile sia la prima, anche perché responsabilizza gli amministratori nell'esecuzione di compiti che, forse a loro insaputa, stanno svolgendo quantomeno da oltre un decennio.
