Oggi cerchiamo di dare risposta ad un nostro lettore, che ci chiede un chiarimento su quanto segue:
«L'assemblea ha deliberato interventi rientranti nel Superbonus e deciso per un finanziamento bancario delle opere.
Tutto nel rispetto delle maggioranze previste dall'art. 119 D.l. Rilancio.
La banca, per la pratica, mi chiede copia della delibera e del piano di riparto per l'individuazione delle quote dei singoli.
Per l'assemblea avevo predisposto un riparto ad hoc per i lavori del Superbonus
Posso consegnarlo senza problemi di violazione della privacy?
In fondo è l'assemblea ad avere approvato il finanziamento.»
Per calmare gli animi dei curiosi e degli impazienti, rispondiamo subito: il verbale sì, a determinate condizioni e con determinate modalità, il riparto no, salvo diverse indicazioni sulla ragione della trasmissione.
Chi ben incomincia è a metà dell'opera
Abbiamo più volte spiegato, su queste stesse pagine, come, dopo l'avvio dell'applicazione del Regolamento (UE) 2016/679 (noto ormai come GDPR), avvenuto il 25 maggio 2018, ogni soggetto che tratti dati personali debba adeguare il proprio trattamento alle indicazioni dettate dalla nuova disciplina europea, immediatamente e direttamente applicabile in tutti gli Stati membri UE con efficacia vincolante.
Il Condominio ed il suo Amministratore sono soggetti che trattano dati personali - dei condòmini e di terzi: per questo, anche i Condominii e gli Amministratori sono tenuti ad adeguarsi al GDPR.
In particolare, secondo l'interpretazione del Garante per la Protezione dei Dati Personali (Garante Privacy), Autorità di Controllo italiana, per come tramandata attraverso i cc.dd. Vademecum del Palazzo (provvedimenti 18 maggio 2006 e 10 ottobre 2013), confermata sostanzialmente anche dalla Relazione sull'attività annuale 2019, il Condominio sarebbe Titolare del trattamento, mentre l'Amministratore può esser nominato Responsabile del trattamento.
Non potendo tornare ora sui concetti di Titolare e Responsabile del trattamento, che abbiamo già sviscerato in precedenti contributi, dobbiamo però rammentare che, ai sensi dell'art. 5 (2) GDPR, il Titolare è tenuto a fare sì che i dati siano trattati in modo lecito, corretto e trasparente nei confronti dell'Interessato (che è la persona fisica dei cui dati si tratta) ed è tenuto a provarlo (principi di liceità e di accountability del trattamento).
Ebbene, "liceità" significa, innanzitutto (ma non solo) individuare la Base Giuridica, cioè l'elemento che poniamo come pietra d'angolo dell'intero trattamento: il Titolare deve quindi domandarsi perché gli è necessario trattare i dati, a quale scopo, per quale finalità e, una volta individuato tale scopo deve riuscire ad inquadrarlo in almeno una delle 6 Basi Giuridiche indicate dall'art. 6 (1) GDPR (consenso, contratto, obbligo di legge, interessi vitali dell'Interessato o di altra persona fisica, esecuzione di compito di interesse pubblico o esercizio pubblici poteri, interesse legittimo)
Dopo aver individuato la Base Giuridica corretta relativa a ciascun trattamento posto in essere, il Titolare deve coerentemente procedere a progettare e programmare il proprio trattamento in modo tale da rispondere alle norme del GDPR: ad esempio, se la Base Giuridica del mio trattamento è il Consenso dell'Interessato, dovrò predisporre misure tecniche ed organizzative che mi permettano, quando l'Interessato dovesse esercitare il diritto di revoca del consenso, di bloccare immediatamente il trattamento - ferma rimanendo la liceità del trattamento già eseguito sino al momento della revoca.
Allo stesso modo, se la Base Giuridica del suo trattamento è l'Interesse Legittimo (proprio o di terzi), il Titolare dovrà aver valutato quali potrebbero essere gli interessi ed i diritti e libertà fondamentali dell'Interessato che potrebbero prevalere sul suo Interesse Legittimo o su quello del terzo, tali da obbligarlo, in caso di opposizione dell'Interessato, a bloccare il trattamento o sospenderlo del tutto, salvo trovare altra Base Giuridica per eseguirlo.
Non solo. Il Titolare deve anche predisporre il Registro dei trattamenti ex art. 30 GDPR e procedere ad aggiornarlo laddove, ai trattamenti già eseguiti, si aggiungano trattamenti nuovi o vengano modificati alcuni aspetti del trattamento - ad esempio, se la legge impone o consente al Titolare di eseguire un trattamento diverso e ulteriore rispetto a quelli già in corso oppure se il Titolare cambia lo strumento di esecuzione del trattamento, acquisendo un nuovo hardware, un nuovo software o altra dinamica organizzativa per eseguirlo.
Ebbene, nel caso del Condominio, un Condominio che avesse già adeguato i propri trattamenti al GDPR avrebbe altrettanto adottato un Registro del trattamento, quale Titolare del trattamento - sebbene il Garante Privacy si sia espresso nel senso di un unico trattamento da inserire, per il Condominio, ovvero l'abbattimento barriere architettoniche, lo stesso ha poi consigliato a tutti i Titolari e Responsabili di adottare il Registro per definire meglio ed in modo trasparente l'intero complesso dei trattamenti posti in essere, per cui il Registro viene generalmente predisposto rispetto all'intera categoria di trattamenti realizzati dal Condominio.
Detto Registro, con l'avvento del Superbonus, avrebbe quantomeno dovuto essere aggiornato, andando a verificare se le dinamiche prescritte dalla legge per l'acquisizione del Superbonus mutavano o meno quanto già in essere - ad esempio, per altri benefici fiscali già inseriti in Registro, come Ecobonus, Sismabonus, etc. - e, quindi, ci si sarebbe dovuti chiedere: quali dati dovremo trattare per acquisire il Superbonus?
A chi dovremo comunicare questi dati?
Qual è la Base Giuridica per questi trattamenti?
Con quali mezzi verranno eseguiti?
Per quanto dovremo conservare questi dati? etc.
Dall'aggiornamento del Registro del trattamento del Titolare (Condominio) e del Responsabile (Amministratore) avrebbe poi dovuto discendere, ove opportuno, un aggiornamento dell'Informativa Privacy ai sensi dell'art. 13 GDPR da fornire a tutti i condòmini ed agli altri soggetti i cui dati debbano necessariamente essere trattati ai fini dell'acquisizione del beneficio fiscale. - con inserimento delle informazioni in risposta alle domande viste sopra, ovvero quali dati, a chi vengono comunicati, come vengono trattati, perché, etc.
Perché è importante predisporre, conservare e aggiornare il Registro dei trattamenti? Perché esso consiste in una fotografia della struttura del Titolare (o del Responsabile, nel caso di Registro del Responsabile) e di ciò che qui avviene, permettendo allo stesso di verificare ciò che non va o che andrebbe cambiato.
Non solo: il Registro è uno degli strumenti che il Titolare ha a sua disposizione per dimostrare che sta rispettando il principio di liceità e di accountability, come visto sopra e previsto dall'art. 5 (2) GDPR.
Ed ancora: chi ben compila il Registro del trattamento del Titolare, ha sostanzialmente già a sua disposizione le informazioni che è tenuto a fornire all'Interessato in quel documento che chiamiamo Informativa Privacy, previsto dall'art. 13 GDPR.
Sempre nel contesto dell'adeguamento al GDPR, la dinamica del finanziamento (mutuo) concesso da banche o istituti di credito al Condominio per l'esecuzione di manutenzione dell'edificio o innovazioni avrebbe già dovuto essere mappata ed inserita nel Registro del trattamento.
Quindi, ammettendo che la pratica del finanziamento al Condominio sia già stata mappata ed inserita come un trattamento, quantomeno possibile, all'interno di quelli che il Condominio potrebbe fare rispetto ai dati dei condòmini (nel senso che, magari, quel Condominio non ha mai chiesto un finanziamento, ma potrebbe farlo in futuro), allora i condòmini di quel Condominio dovrebbero anche aver ricevuto l'Informativa Privacy dove, in ossequio a quanto disposto dall'art. 13 (1), lett. c) ed e) e (2), lett. e) GDPR, dovrebbero aver appreso dell'esistenza, della Base Giuridica e dei diritti connessi a detto trattamento, incluso la comunicazione obbligatoria o facoltativa dei propri dati.
Il fatto che il finanziamento sia acquisito nel contesto dell'esecuzione di lavori che possano aspirare alla concessione del c.d. Superbonus non rileva ai fini del quesito del lettore.
Rilevanza del verbale e del piano di riparto nel finanziamento condominiale
Guardiamo al finanziamento da parte di una banca a favore di un Condominio dal punto di vista della protezione dei dati personali secondo GDPR: si tratta di un trattamento in base al quale il Condominio si vincola verso l'istituto di credito ad ottenere in prestito una determinata somma di denaro, che da un lato verrà corrisposta ad un terzo e, dall'altro, verrà rimborsata ratealmente all'istituto da parte del Condominio, con l'aggiunta di interessi sul capitale ottenuto, i quali costituiscono il guadagno dell'istituto nell'affare.
Si tratta quindi di un trattamento disciplinato innanzitutto da norme che regolano il Condominio, i contratti in generale ed il contratto di mutuo di denaro in particolare; si tratta anche di un trattamento che ricade sotto la disciplina imposta dalla legge alle operazioni mobiliari relative ai finanziamenti, così come alle norme antiriciclaggio ed alle altre norma di volta in volta applicabili.
Per eseguire detto trattamento, il Condominio, quale parte che ottiene il finanziamento ed è quindi obbligata al rimborso dello stesso, è tenuta quantomeno ed essere identificata dall'istituto di credito come soggetto che riceve il mutuo e ad eseguire il pagamento. Non solo.
Quando un terzo negozia con l'Amministratore di Condominio per affari che esorbitano dalla gestione ed amministrazione ordinaria (sue prerogative precipue, ex art. 1130 c.c.) è legittimato, ai sensi dell'art. 1393 c.c. (norma applicabile al mandato con rappresentanza, quale è l'ufficio dell'Amministratore), a richiedere a costui di mostrare i propri poteri, cioè di mostrare l'autorizzazione da parte dell'organo preposto (l'Assemblea) a negoziare un ambito al di fuori della sua portata.
Come avviene l'identificazione e la legittimazione a contrarre, trattandosi di Condominio, quindi di ente di gestione sfornito di personalità giuridica?
Senza entrare nelle complesse vicende, non ancora risolte a livello giurisprudenziale o normativo, relative al contratto di mutuo al Condominio ed a chi ne sia realmente parte (se Condominio e banca o singoli condòmini e banca), ci basti qui evidenziare che, posto che il contratto verrà sottoscritto dall'Amministratore, quale legale rappresentante del Condominio, a ciò autorizzato dall'Assemblea con la medesima delibera che ha deciso per l'ottenimento del mutuo, allora va da sé che alla banca occorrerà sapere:
i) che Tizio Rossi, al 18 maggio 2021, data della stipula del mutuo, è effettivamente e validamente Amministratore del Condominio di Via Garibaldi, 5 a Milano;
ii) che l'Assemblea di Via Garibaldi, 5 ha effettivamente e validamente deliberato di ottenere un finanziamento dalla Banca Alfa S.p.a.;
iii) che il finanziamento è stato deliberato per l'importo di 150.000,00 Euro e che verrà rimborsato in XX rate trimestrali da Euro YY cadauna con bonifico bancario sul rapporto indicato dalla banca, secondo la proposta della banca approvata dall'Assemblea.
Quindi, i trattamenti di eventuali dati personali da parte della banca rispetto al Condominio ed ai condòmini saranno giustificati e giuridicamente basati o sulla Legge (art. 6 (1), lett. c) GDPR) oppure sulle norme che regolano il contratto di mutuo e dalle conseguenze che da esse discendono (art. 6 (1), lett. b) GDPR).
In virtù di quanto detto, che cosa il Condominio, nella persona dell'Amministratore, dovrà/potrà consegnare all'istituto di credito per potersi sedere e sottoscrivere il mutuo?
- la delibera assembleare che ha nominato/confermato l'Amministratore che si presenta alla firma del mutuo;
- la delibera assembleare che ha approvato la richiesta di finanziamento, così come proposta dalla banca ed alle condizioni indicate, con autorizzazione all'Amministratore a sottoscrivere il relativo contratto e ad eseguire gli adempimenti connessi.
Sempre in virtù dell'art. 5 GDPR, ma stavolta in base a diverso principio del trattamento, ovvero la minimizzazione dei dati, l'Amministratore dovrà avere cura di oscurare o stralciare, dal verbale che contiene le delibere di cui sopra, le parti che si riferiscano ad argomenti discussi nella medesima Assemblea, ma non pertinenti il finanziamento o la sua nomina/conferma.
Rispetto al piano di riparto, dobbiamo operare la seguente valutazione.
Il piano di riparto consiste in un documento che indica, rispetto ad una spesa deliberata dall'Assemblea, le quote imposte a ciascuna unità immobiliare appartenente al Condominio di cui si tratta, ottenute tramite la divisione della spesa unitaria per il totale dei millesimi di cui si compone l'edificio e la moltiplicazione di quanto ottenuto per i millesimi spettanti a ciascuna unità.
Lo scopo del riparto è di rendere 'liquido', cioè determinato nel suo ammontare, l'obbligo del singolo condòmino di corrispondere al Condominio la sua quota per la spesa deliberata, a preventivo o rendiconto, dall'Assemblea.
È quindi un rapporto totalmente interno, tra Condominio e condòmino, in quanto fotografa la parte rispetto al tutto, cioè l'obbligazione individuale del condòmino verso il Condominio rispetto all'obbligazione totale del Condominio verso il terzo con cui ha contratto o contrarrà.
In base alle norme che regolano il Condominio e la sua rappresentanza negoziale, affidandola all'Amministratore, in proprio o per deliberato assembleare, il terzo contrae con il Condominio; per il terzo, l'obbligazione che il Condominio ha nei suoi confronti è unitaria, cioè la sua controparte contrattuale è il Condominio, non i singoli condòmini - si ribadisce che qui abbiamo lasciato volutamente da parte le diatribe in merito alla personalità giuridica del Condominio ed all'attribuzione, vuoi ad esso, vuoi ai singoli condòmini, delle conseguenze giuridiche degli atti di gestione dell'Amministratore e dell'Assemblea.
Vi è una sola occasione in cui il terzo 'entra' nel rapporto interno Condominio - condòmino, cioè quella in cui il Condominio sia inadempiente.
L'art. 63 disp. att. c.c., come noto, dispone infatti che «l'amministratore… è tenuto a comunicare ai creditori non ancora soddisfatti che lo interpellino i dati dei condòmini morosi».
Tra questi dati, oltre a quelli contenuto nel Registro Anagrafe Condominiale, anche la quota dovuta dal singolo condòmino.
Perché? Perché il terzo, in virtù dell'art. 63, 2° comma, disp. att. c.c., ha il dovere di escutere, cioè di richiedere il denaro o l'obbligazione, prima i condòmini morosi e, solamente dopo, in caso di incapienza degli stessi, ai condòmini 'virtuosi', cioè coloro che la propria quota l'avevano già pagata.
Ed è proprio in questo norma che troviamo la risposta negativa al quesito del lettore: il riparto non può essere consegnato alla banca perché non sembra sussistere una Base Giuridica a sostegno di detto trattamento.
Infatti, la banca non è, al momento della delibera di approvazione del finanziamento, un «creditore non ancora soddisfatto», per la semplice ragione che il suo credito (la restituzione rateale delle quote prese a mutuo dal Condominio), non essendo ancora stata erogata la somma, non è (ancora) esigibile - in parole povere, non possono ancora esistere morosi e virtuosi, dovendo il Condominio ancora porre in riscossione le rate del mutuo.
Quindi, l'art. 63 disp. att. c.c. non costituisce valida Base Giuridica del trattamento del piano di riparto da parte della banca - e, di conseguenza, nemmeno da parte dell'Amministratore.
Peraltro, la banca, che è Titolare del trattamento, è tenuta ad eseguire, come tutti i Titolari, la valutazione relativa ai propri trattamenti, quanto a liceità e minimizzazione dei dati, per citare solo due dei principi del trattamento previsti dall'art. 5 GDPR, nonché a dare l'Informativa Privacy ex art. 13 GDPR all'Interessato.
Spetterà quindi alla banca, quale Titolare del trattamento, indicare all'Amministratore del Condominio cui richieda lo stato di riparto del finanziamento deliberato, la Base Giuridica e la finalità di detto trattamento, con indicazione, laddove si individui l'Obbligo di Legge, delle specifiche disposizioni di legge applicabili al caso concreto che prevedano detto conferimento.
Rammentiamo infine che, in virtù dell'art. 2 ter del Codice Privacy (D. lgs. 30 giugno 2003, n. 196, modificato dal D. Lgs. 10 agosto 2018, n. 101) impone che per "Obbligo di Legge" si debbano intendere, per ciò che concerne l'Italia, norme derivanti da Legge o Regolamento, non fonti secondarie di grado inferiore (come, ad esempio, prassi amministrative o circolari).