A due anni dall'esordio del Regolamento Generale sulla Protezione dei Dati (GDPR) e nonostante le numerose Linee - guida emesse dal Comitato Europeo per la protezione dei dati (EDPB), ancora oggi noi addetti ai lavori della materia condominiale fatichiamo a comprendere quale sia il ruolo più consono da riconoscere ed affidare all'Amministratore rispetto ai trattamenti dei dati personali - ed a volte particolari - dei condòmini e dei terzi, che egli esegue nel rispetto delle sue funzioni e di quanto previsto dal Codice civile.
Evoluzione delle linee guida sulla privacy nel condominio
Dopo l'emanazione del 'Codice della privacy' (D. Lgs. 30 giugno 2003, n. 196), il Garante per la protezione dei dati personali emanava un proprio Provvedimento, poi divenuto noto come 'Vademecum del palazzo' (provv. 18 maggio 2006, in G.U. n. 152/2006).
In seguito alla riforma del Condominio (Legge 11 dicembre 2012, n. 220, entrata in vigore il 18 giugno 2013), il Garante 'aggiornò' il Vademecum, emettendo il Provvedimento 10 ottobre 2013.
Nel primo Vademecum il Garante affermò che l'Amministratore, da un punto di vista privacy, doveva essere considerato come Responsabile del trattamento, mentre la compagine condominiale era il Titolare.
Nel secondo Vademecum, ribadendo tale concetto, il Garante aggiunse che l'Assemblea dei condòmini PUÒ nominare l'Amministratore come Responsabile del trattamento.
Recentemente, come abbiamo letto nell'articolo del collega Di Rago, il Garante, nella propria Relazione sull'attività svolta nel corso del 2019, si è così espresso: "è stata colta l'occasione per confermare, in termini generali, quanto già indicato nel provvedimento 18 maggio 2006 in merito al trattamento di dati personali nell'ambito dell'amministrazione di condomini e per ribadire che le informazioni personali riferibili a ciascun partecipante possono essere trattate per la finalità di gestione ed amministrazione del condominio e che possono essere per tali ragioni condivise all'interno della compagine condominiale, tenendo anche conto che i condomini devono essere considerati CONTITOLARI di un medesimo trattamento dei dati (v. ora art. 4, par. 1, n. 7 e Capo IV, in particolare art. 26 del RGPD) di cui l'amministratore, agendo in EVENTUALE veste di responsabile del trattamento, ha la concreta gestione (v. ora art. 4, par. 1, n. 8 e Capo IV del RGPD)".
Ancora più recentemente, il 2 settembre 2020, l'EDPB - una sorta di Super Garante europeo - ha adottato le Linee - guida sulle figure di Titolare e Responsabile, le quali saranno in pubblica consultazione fino al 19 ottobre 2020 e, successivamente, saranno riviste in base ai feedback ricevuti ed emesse nella versione finale.
Tutto bene? Non proprio…
Problemi aperti sulla nomina dell'Amministratore in materia di privacy
Primo problema, non risolto nemmeno dalle Linee - guida 'provvisorie' sulle figure di Titolare e Responsabile: l'art. 28 GDPR, si apre affermando che «Qualora un trattamento DEBBA essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate etc.».
Come abbiamo avuto modo di evidenziare nei precedenti articoli in materia di privacy, Condominio e ruolo dell'Amministratore, il verbo usato («Debba») e la conseguenza resa all'indicativo («ricorre»), dovrebbero indurci ad una riflessione.
Innanzitutto, si dovrebbe chiarire cosa si intenda per trattamento che DEVE essere eseguito PER CONTO DEL TITOLARE: dobbiamo rinvenire una norma che stabilisca che il trattamento in questione non lo può eseguire il Titolare e che pertanto egli deve rivolgersi ad un soggetto terzo? Se sì, di quale rango deve essere la norma (primario, secondario)?
In secondo luogo, se l'art. 28 GDPR è rivolto ai trattamenti che DEVONO essere affidati ad un terzo da parte del Titolare, allora cosa accade quando il Titolare VOGLIA affidare al terzo i trattamenti, senza che sussista un obbligo in tal senso?
La domanda non è di poco conto e alla risposta - che ad oggi manca - sono interessate diverse categorie di professionisti, oltre agli amministratori condominiali, quali i consulenti del lavoro, i 'fiscalisti', i commercialisti, persino gli avvocati, dato che qualcuno ha sostenuto che l'avvocato sia un responsabile del trattamento che esegue per l'assistito.
Per quanto attiene al Condominio, sappiamo che la figura dell'Amministratore è prevista come obbligatoria laddove i condòmini (alias, proprietari delle unità immobiliari, la comproprietà vale sempre uno) siano almeno 9 (art. 1129 c.c.).
Quindi, seguendo il ragionamento che si dipana dall'art. 28 GDPR, siccome se il Condominio ha 9 o più proprietari, è obbligato a nominare l'Amministratore e, di conseguenza, è tenuto ad affidare il trattamento dei dati a questo terzo soggetto, allora ne dovrebbe discendere che la nomina debba essere obbligatoria.
Laddove invece il Condominio sia costituito da 8 o meno proprietari, la nomina diviene facoltativa, salvo il fatto che poi, se si decide di nominare l'Amministratore, valgono le regole generali in materia di attribuzioni, compiti, revoca, etc. e, pertanto, anche quelle in materia di privacy - ma qui torna il nostro interrogativo sul Responsabile 'facoltativo', cioè che non deve essere nominato, ma può essere nominato, gli si applica l'art. 28 GDPR oppure no?
Stando a tutte le interpretazioni ufficiali rese sia dal nostro Garante che dall'EDPB, anche nelle Linee - guida di settembre citate sopra, al di là della nomenclatura e del 'titolo' affidato, ciò che conta è quello che il soggetto realmente fa: quindi, se tratto i dati per conto di un altro e non sono io a stabilire finalità e mezzi del trattamento, sono un Responsabile, punto.
Se sono un Responsabile, devo ricevere un incarico 'formale' (contratto, altro atto giuridico equipollente e - comunque - in forma scritta).
Il Condominio, tuttavia, è una fattispecie complessa: l'Amministratore lo gestisce, questo è vero, gestendo con esso e per esso i dati personali e particolari dei condòmini e di terzi, tuttavia ci sono anche spazi lasciati all'iniziativa privata dei condòmini - ad esempio, l'autoconvocazione dell'Assemblea ai sensi dell'art. 66 disp. att. c.c. o tutti quei momenti di vacatio imperii, dove cioè non è ancora presente o manca, per vari motivi, l'Amministratore e la legge affida ad ogni singolo condòmino il potere di iniziativa per nominarlo oppure per adottare i provvedimenti urgenti, anche per eseguire le dichiarazioni fiscali.
In quest'ottica, comprendiamo come il Garante abbia inteso mantenere le maglie larghe, per poter garantire al Condominio, formato dai condòmini e dall'Amministratore, laddove presente, di poter gestire i dati della compagine e dei terzi nell'alveo della finalità gestoria e senza esulare dalla stessa.
Tuttavia, a livello pratico, continuare ad indicare l'Amministratore come 'eventuale' Responsabile crea problemi di non poco momento.
Infatti, laddove il Condominio non lo nomini, si potrebbe incorrere nelle sanzioni previste dall'art. 83 GDPR per la violazione dei principi del trattamento?
Se sì, chi è destinatario della sanzione? Il Titolare - come si ritiene dovrebbe essere in base alle norme generali poste dal GDPR - per aver omesso di incaricare il Responsabile oppure costui, per avere esercitato in difetto di nomina formale? Peraltro, il GDPR prevede che il Responsabile che, pur incaricato come tale (in via formale), si 'comporti' da Titolare, decidendo finalità e mezzi del trattamento, verrà considerato come Titolare sia a livello di responsabilità - se succede qualcosa durante il trattamento, ne risponde verso l'Interessato, cioè la persona fisica dei cui dati personali si tratta - sia a livello di conseguenti sanzioni - sarà lui a pagare, non il Titolare 'in pectore'.
Questioni di non poco momento.
Inoltre, siamo proprio sicuri che sia l'Assemblea condominiale a dover nominare l'Amministratore come Responsabile? O non dovrebbero forse essere i singoli condòmini, dato che il dato personale è, appunto, personale e non è un bene o un servizio comune, per cui si potrebbe affermare che la decisione circa il suo trattamento non rientri nella sfera delle attribuzioni dell'Assemblea, ai sensi dell'art. 1135 c.c.?
Ci sembra invece aberrante la conclusione, pur autorevolmente sostenuta da molti, per cui l'Amministratore nomina sé stesso quale Responsabile, in quanto rammentiamo che l'atto di incarico a Responsabile del trattamento, ai sensi dell'art. 28 GDPR, è un vero e proprio contratto e ricade anche nella fattispecie dei contratti normativi, come previsto dal paragrafo 3 dell'art. 28 stesso, nel senso che il contenuto del contratto è già previsto dal GDPR, le parti si possono limitare a variare laddove consentito - ad esempio, Titolare e Responsabile potrebbero decidere insieme se, al termine del trattamento, i dati vanno distrutti o restituiti, ma non potrebbero decidere altrimenti (v. art. 28 (3), lett. g) GDPR. Quindi è ovvio che, in quanto contratto, ci debbano essere due parti che decidono il contenuto, nei limiti previsti dall'art. 28 (3) GDPR e che si vincolano reciprocamente a rispettarlo ed adempierlo; altrimenti argomentando, sarebbe un contratto con sé stesso.
È pur vero che, in seguito alla nomina quale Responsabile, l'Amministratore - ove si acceda alla tesi della nomina tramite delibera - sottoscriverà il contratto di incarico sia quale legale rappresentante del Titolare (cioè del Condominio) sia quale Responsabile che accetta l'incarico, ma questa è questione diversa e pratica, non dimentichiamo che l'Amministratore, quale legale rappresentante del Condominio, ha poteri e attribuzioni limitati a quanto previsto dall'art. 1129 e 1130 c.c., nei quali, ad oggi, non sembra potersi ricomprendere la sfera dei dati personali se essi sono, appunto, questioni attinenti la sfera privata di ogni singolo condòmino.
Infine, la questione del compenso. Abbiamo già sollevato questo problema in altri articoli sul ruolo dell'Amministratore in ambito privacy, ma ribadiamo che un conto è l'adeguamento al GDPR del singolo Condominio, con le sue specificità (ad es., presenza di un portiere e di lavoratori dipendenti, presenza della videosorveglianza, presenza di conduttori di immobili comuni, etc.) ed altro e tutt'altro diverso aspetto è l'adeguamento dello studio o dell'impresa che svolge la funzione di Amministratore. Confondere i due aspetti significa non aver compreso il sistema privacy.
Imputare le spese occorse per l'adeguamento dello studio o dell'impresa che svolge la funzione di Amministratore al Condominio (di solito, in parti uguali a tutti i condominii amministrati) significa inserire nel rendiconto o preventivo di gestione una voce illegittima, in quanto l'Amministratore che inizia oggi e non amministra ancora nessun Condominio dovrebbe in ogni caso essere adeguato al sistema privacy, a maggior ragione quello che esercita da tempo e che ha già assunto il ruolo di Amministratore presso il Condominio, per cui non sussiste alcuna motivazione per imporre ai condòmini la spesa di adeguamento.
Ovviamente, le spese di verifica annuale delle misure adottate dal Condominio devono essere approvate dall'Assemblea, in quanto riguardano il sistema privacy del Condominio, non dell'Amministratore e del suo studio o della sua impresa.
Altrettanto ovviamente, nell'alveo della libera contrattazione tra le parti, laddove l'Amministratore presenti, ai sensi dell'art. 1129 c.c., un'offerta di compenso che includa una certa voce e relativo emolumento per "Gestione privacy" o "Adeguamento privacy" del Condominio, l'Assemblea potrà o approvare detto compenso oppure emendarlo o ancora non approvarlo affatto.
Infatti, il compenso dell'Amministratore ricomprende tutta l'attività che egli deve svolgere per il Condominio, eventuali attività non comprese eppure svolte possono essere remunerate solamente dietro approvazione assembleare - ex ante, cioè inserendole nell'offerta economica presentata al momento della nomina/conferma dell'Amministratore, oppure ex post, quando l'attività è stata compiuta e la si va a rendicontare.