È ben nota la discussione - tutt'ora in corso - circa la natura giuridica del Condominio, ente di gestione con una personalità giuridica "frammentata" (non piena sotto il profilo patrimoniale, ma capace di contrarre autonomamente tramite il suo rappresentante, destinatario specifico di obblighi di natura fiscale, ma non soggetto IVA…).
Tale frammentazione si rileva - apparentemente - anche nell'ambito del trattamento dei dati, allorquando si debbano identificare i ruoli dell'organigramma privacy.
A titolo esemplificativo, basti ricordare come i condòmini individualmente siano qualificati come "interessati" al trattamento dei propri dati personali da parte del Condominio. Allo stesso tempo, però, i condòmini sono stati inquadrati dal Garante anche come Titolari (rectius: co-titolari) del trattamento (doc. web n. 42268, Garante, del 19 maggio 2000 in "Bollettino" n. 13 pag. 7 edoc. web n. 1053868, Garante, 16 luglio 2003).
Ad ogni modo, è certo che la gestione dei dati dei condòmini medesimi, in modo univoco e onnicomprensivo, non possa far capo che all'amministratore.
Questi è il soggetto che effettua i trattamenti (Art. 4 Regolamento, secondo il quale si definisce trattamento: «Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione») in ambito condominiale.
A detta del Garante, l'amministratore di condominio, laddove non venisse nominato Responsabile del trattamento, diverrebbe titolare del trattamento dei dati all'atto della nomina.
Si pone quindi il problema: quale strada conviene tra le due? E, soprattutto, quali le diverse responsabilità che si configurano in capo all'Amministratore-titolare rispetto all'Amministratore-responsabile.
Il Responsabile del trattamento risponde per il danno causato dalla violazione solo se non ha adempiuto agli obblighi specificamente a lui diretti come prevede l'art. 28 GDPR. Secondo tale configurazione, l'Amministratore dovrà seguire le istruzioni impartite dal Titolare e deve essere da questi formato (Art. 29), deve mettersi a disposizione per gli audit di verifica e di revisione, è tenuto ad adottare le misure richieste dall'art. 32 (di sicurezza ma anche tecniche ed organizzative adeguate), inoltre dovrà possedere la conoscenza specialistica della materia o, quanto meno, si dovrà rivolgere ad un soggetto che abbia tale requisito (Considerando 81); ai fini della migliore gestione delle attività nel rispetto delle indicazioni del Codice e del GDPR, dovrà anche disporre del potere della delega a nominare sub-responsabili esterni ed effettuare le nomine secondo i parametri dettati dal Regolamento informandone il Titolare.
In caso di data breach dovrà procedere agli incombenti derivanti dall'evento e curare le eventuali procedure per le valutazioni di impatto.
L'amministratore di condominio quale responsabile del trattamento dati.
Viceversa, ai sensi dell'art. 82 GDPR, «chiunque subisca un danno materiale o immateriale cagionato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento».
In tal senso, la materia "privacy" è considerata attività pericolosa e prevede la c.d.: probatio diabolica in capo al Titolare del trattamento, che deve dimostrare di aver adottato ogni attività possibile atta a mitigare il rischio del danno.
Di conseguenza, l'amministratore-titolare risponderebbe appieno in termini di responsabilità rispetto al Regolamento (non solamente quindi nei casi specifici elencati dall'art. 28 GDPR), con la conseguenza che ogni azione o sanzione in via solidale potrebbe essere demandata tanto al Condominio quanto all'Amministratore, ciò anche laddove quest'ultimo limitasse il proprio operato unicamente al mandato ad amministrare.
L'amministratore in caso di titolarità dovrà inviare ai condòmini interessati una propria informativa che necessiterà dei dovuti consensi specifici nel caso di attività svolta extra mandato.
Comunemente, si ritiene che nel caso in cui manchi una formale nomina a responsabile, l'amministratore diverrebbe titolare autonomo, con la conseguente piena autonomia nella scelta delle finalità e dei mezzi del trattamento effettuato (art. 4 par. 7 GDPR), che saranno comunque limitate dagli eventuali contenuti del regolamento di Condominio e, quindi, dall'Assemblea dei condomini, secondo l'obbligazione (e il rapporto) sottesi all'attività di amministrazione condominiale, nonché le indicazioni del Garante (stante l'attuale validità dei contenuti di cui al Vademecum del 2006).
Rispondere al quesito iniziale (Amministratore-titolare vs. Amministratore-responsabile) significherebbe, quindi, non solo dirimere il sistema dei rapporti tra Condominio/Assemblea e Amministratore, gestendone la natura giuridica e le competenze.
La soluzione al quesito non può prescindere da un ragionamento pratico, in stretta aderenza con il dato normativo, che apra la strada ad una lettura evolutiva della materia e del ruolo dell'Amministratore.
Appare consigliabile quindi, anche in considerazione delle maggiori responsabilità a cui si andrebbe incontro, accogliere l'interpretazione secondo cui l'amministratore sia inquadrato come "Responsabile del trattamento dei dati", anche a prescindere da una specifica nomina in tal senso, che può ritenersi implicita (e necessaria) nell'ambito del rapporto di amministrazione condominiale, ma che andrà comunque formalizzata in un secondo momento secondo le indicazioni impartite dall'art. 28 GDPR.
Ovviamente, allorquando l'Amministratore, oltre a svolgere l'attività di mandato ad amministrare, vada ad effettuare anche altre attività, scegliendo in piena autonomia le finalità del trattamento, andrebbe a rivestire il ruolo di Titolare del trattamento, con la conseguente necessità di acquisire previamente i dovuti consensi.
Si concluda considerando che, laddove il Condominio e l'Amministratore siano entrambi coinvolti in un'azione di responsabilità per violazione al GDPR, sia che l'Amministratore rivesta il ruolo di Titolare e sia che rivesta quello di Responsabile, essi rispondono in solido per l'intero ammontare del danno, il che significa che l'adempimento di uno libera gli altri, salvo poi il diritto di regresso nei rapporti interni (Art. 84 n. 5), previa verifica delle effettive responsabilità.
