Abbiamo parlato spesso dell'adeguamento del Condominio, ma anche lo studio dell'Amministratore deve adeguarsi alla nuova privacy.
Sulle pagine di questa rivista si è spesso parlato e sotto vari punti di vista del rapporto tra il Condominio e i condòmini o i terzi in materia di trattamento dei dati personali.
Tuttavia, si è parlato molto poco dell'adeguamento dello studio dell'Amministratore, anche gestito in forma individuale.
Oggi vogliamo allora dare alcune utili direttive così che, chi non si è ancora adeguato, corra ai ripari, mentre chi ha già predisposto le opportune misure possa verificare quanto fatto e, magari, modificare o implementare qualcosa in più.
Ma non bastava adeguare il Condominio?
Facciamo un passo indietro. Perchè l'Amministratore deve adeguare il suo studio a quanto previsto dal Regolamento (UE) 2016/679, ormai noto come GDPR?
Rammenta forse il nostro lettore attento che, in virtù di quanto previsto già a partire dalla Direttiva (CE) 96/45, nonché dalla nostra Legge 675/1996 e, successivamente, dal D. Lgs. 196/2003 (noto come Codice Privacy ), l'Amministratore era inquadrato come figura chiave del trattamento dei dati nell'ambito condominiale.
Egli, infatti, rivestendo sia la qualifica di legale rappresentante del Condominio, sia quella di soggetto esterno delegato dai condòmini al trattamento dei dati (loro e dei terzi che entrano in contatto con il Condominio), veniva ad essere, contemporaneamente, rappresentante del Titolare e Responsabile del trattamento.
Questa situazione era stata stigmatizzata anche dalla nostra Autorità di Supervisione, cioè dal Garante per la Protezione dei Dati Personali (di seguito, il Garante), con i suoi Provvedimenti del 18 maggio 2006 e del 10 ottobre 2013, il primo adottato in seguito all'emanazione del Codice della Privacy, il secondo contenente una revisione ed aggiornamento alla riforma condominiale, avvenuta con la Legge n. 220 dell'11 dicembre 2012, entrata in vigore il 18 giugno 2013.
Insomma, l'Amministratore è allo stesso tempo il rappresentante di chi determina le finalità ed i mezzi del trattamento (che chiamiamo, in gergo privacy, il Titolare) e il soggetto che materialmente esegue la maggior parte dei trattamenti in nome e per conto del Condominio, in proprio o a mezzo terzi (che chiamiamo, sempre in gergo privacy, il Responsabile).
Abbiamo spesso ricordato come le diciture utilizzate, cioè 'Titolare' e 'Responsabile', siano fuorvianti se non si spiega a che cosa si riferiscono: così il nostro 'Titolare' deriva dalla parola usata nel testo originale in inglese della prima normativa privacy, cioè la Direttiva 96/45, ovvero «controller», letteralmente colui che controlla i dati e non indica assolutamente un POSSESSO o una PROPRIETÀ dei dati trattati, come forse saremmo portati a pensare.
Il dato rimane sempre 'di proprietà' della persona a cui si riferisce, che noi chiamiamo l'Interessato.
Anche il Responsabile (dall'inglese «processor», colui che tratta i dati, perché in inglese «processing» significa 'trattare') non è il soggetto che RISPONDERÀ all'Interessato dell'illegittimità del trattamento o della violazione dei dati o del danno causato dal trattamento, perché di fronte all'Interessato colui che risponde di tutto ciò che concerne il trattamento è il Titolare.
Tuttavia, essendo incaricato dal Titolare, il Responsabile ha una responsabilità di tipo contrattuale nei confronti del Titolare, a maggior ragione laddove il trattamento illegittimo o il danno causato all'Interessato derivino da trattamenti eseguiti dal Responsabile stesso.
Su questo punto, il GDPR è intervenuto con l'art., che chiarisce (paragrafo 2):
- il Titolare del trattamento COINVOLTO NEL TRATTAMENTO risponde per il danno cagionato dal SUO trattamento che violi il presente Regolamento
- il Responsabile del trattamento risponde del danno causato dal trattamento SOLO SE NON HA ADEMPIUTO GLI OBBLIGHI DEL RESPONSABILE specificamente previsti dal Regolamento e diretti ai Responsabili del trattamento OPPURE HA AGITO IN MODO DIFFORME o CONTRARIO rispetto alle LEGITTIME istruzioni del Titolare
Un esempio, in ambito condominiale, di «Titolare coinvolto nel trattamento» è la AUTOCONVOCAZIONE DELL'ASSEMBLEA, ai sensi dell'art. 66 disp. att. c.c.: i condòmini che decidano di autoconvocare l'Assemblea, inoltrando le Convocazioni a tutta la compagine, saranno responsabili del trattamento dei dati personali così eseguito e dei danni eventualmente cagionati.
Lo stesso dicasi per tutti quei trattamenti che la compagine o alcuni condòmini compiano in prima persona senza delegare al loro legale rappresentante, cioè l'Amministratore.
Richiamiamo l'attenzione poi sul contenuto della responsabilità del Responsabile: egli viene chiamato a rispondere se non ha adempiuto gli obblighi imposti dal GDPR ai Responsabili del trattamento (in primis, quindi, l'adeguamento del trattamento alla normativa) e se ha agito in modo diverso o opposto alle direttive LEGITTIME, quindi da ciò si desume che l'Amministratore che non esegua le delibere assembleari illegittime vada esente da responsabilità in ambito privacy, mentre, in ambito civile, gli si potrebbe contestare di aver mancato ai suoi doveri ex art. 1130 c.c.
Un esempio potrebbe essere dato dal non aver adempiuto ad una delibera che gli imponeva la pubblicazione dei nominativi dei morosi con le relative somme a debito nella bacheca condominiale; o ancora, il non aver dato corso ad una delibera assembleare che gli vietava di comunicare i dati dei condòmini morosi ai terzi creditori che ne avessero fatto richiesta - delibera, peraltro, nulla in quanto in violazione di norma imperativa, cioè l'art. 63 disp. att. c.c. dichiarato non derogabile e, perciò, imperativo dall'art. 72 disp. att. c.c.
Inoltre, l'art. 82 (3) (cioè, paragrafo 3) GDPR prevede che sia il Titolare che il Responsabile possano andare esenti da responsabilità se dimostrano che l'EVENTO DANNOSO NON È IN ALCUN MODO A LORO IMPUTABILE.
Non solo. L'art. 28 GDPR, che disciplina la figura del Responsabile del trattamento, prevede che il Responsabile che violi il GDPR e determini finalità e mezzi del trattamento (compito che spetta al Titolare) è considerato COME SE FOSSE TITOLARE, quindi ricadranno su di lui tutti gli obblighi, ma anche le sanzioni in caso di violazione del GDPR o l'obbligo a risarcire l'Interessato in caso di danno.
Ecco perché è IMPORTANTISSIMO, se non addirittura esiziale, che l'Amministratore non pensi solamente ad adeguare i Condominii da lui amministrati, ma anche il suo studio; anzi, in realtà le due cose dovrebbero viaggiare di pari passo.
Come adeguare lo studio
Poche, semplici regole per districarsi in questo mondo apparentemente complicato della privacy.
Quanto indichiamo di seguito potrà essere fatto dall'Amministratore insieme ad un consulente di sua fiducia:
1. Fare una buona mappatura dei dati e dei processi e delle eventuali 'interferenze'
L'Amministratore deve innanzitutto capire QUALI DATI TRATTA e COME LI TRATTA.
Se ha adeguato i Condominii amministrati, diciamo che buona parte del lavoro lo ha fatto, dato che la maggior parte dei dati che egli tratta sono quelli relativi ai condòmini ed i loro aventi - causa (conduttore, usufruttuario, ove presenti) e dei terzi - persona fisica che vengono in contatto con il Condominio.
Ricordiamo infatti che i dati delle persone giuridiche (denominazione o ragione sociale, dati di contatto e di identificazione, come Codice Fiscale, Partita IVA, codice REA, etc.) non sono ritenuti dati 'personali' ai sensi della normativa privacy, quindi è del tutto superfluo fornire un'Informativa Privacy alle DITTE, SOCIETÀ, CONSORZI, ENTI che hanno a che fare con il Condominio, tranne che nei casi in cui si tratti di ditta individuale, laddove la ditta e il suo titolare coincidono.
Torniamo a dati e processi: l'Amministratore tratta quindi i dati dei condòmini e delle persone fisiche facenti parte del rapporto con il Condominio.
Ma egli, ove presenti, tratta anche i dati personali (ed a volte particolari) dei suoi DIPENDENTI o COLLABORATORI. Ai fini della privacy, non rileva il tipo di rapporto o contratto che lega l'Amministratore - Datore di Lavoro al dipendente/collaboratore, ciò che conta è la necessità di trattare i dati e la finalità del trattamento.
Rispetto poi a questo trattamento, l'Amministratore ricopre il ruolo di Titolare e i dipendenti/collaboratori quello di Interessati.
Quindi, anche per i dipendenti/collaboratori dovrà essere predisposta un'Informativa Privacy ai sensi dell'art. 13 GDPR, contenente tutte le informazioni di legge in merito a quali dati si trattano, la finalità del trattamento, la base giuridica, il trasferimento verso Paesi extra - UE, la comunicazione a terzi, il periodo di conservazione dei dati, etc.
Attenzione: l'Amministratore, nella sua veste di Responsabile del trattamento, NON È TENUTO A REDIGERE UN'INFORMATIVA PRIVACY ART 13 GDPR da fornire ai condòmini ed ai terzi. L'Informativa Privacy è un OBBLIGO DEL TITOLARE; certamente, l'Amministratore avrà dato incarico ad un consulente/società esterna che avranno predisposto PER IL CONDOMINIO amministrato, l'Informativa privacy che LO STESSO CONDOMINIO DEVE DARE AI CONDOMINI ED AI TERZI, ma, tra Amministratore e Condominio non c'è obbligo di Informativa, bensì di stipulare un contratto, chiamato ATTO DI INCARICO A RESPONSABILE DEL TRATTAMENTO.
È lì che l'Amministratore renderà noto ai condòmini la modalità con cui tratta i loro dati e quelli dei terzi che vengono in contatto con il Condominio; è sempre lì che l'Amministratore si impegnerà ed eseguire i suoi compiti di Responsabile, ai sensi dell'art. 28 GDPR.
Bene, una volta mappati i dati ed i processi, l'Amministratore dovrebbe anche capire in quale contesto svolge la sua attività: ad esempio, nel suo studio è da solo? Oppure sono presenti altri Amministratori? E, se sì, collaborano con lui PER GLI STESSI CONDOMINII oppure sono professionisti indipendenti? Non ci sono Amministratori, ma ci sono altri professionisti? Di che professionisti si tratta? L'Amministratore e gli altri professionisti utilizzano personale dipendente o in collaborazione COMUNE, cioè questo personale tratta i dati sia del nostro Amministratore, sia degli altri professionisti?
2. Rilevare le 'criticità', cioè i pericoli della modalità del trattamento eseguito
L'Amministratore deve essere consapevole dei RISCHI: per questo, deve far osservare la sua attività da un punto di vista tecnico, da un soggetto esperto di risk management, auspicabilmente nel settore dell'amministrazione immobiliare, che ha una sua specificità.
Facciamo esempi banali: l'Amministratore conserva presso il suo studio dati personali e particolari, ma anche titoli (provvedimenti giurisdizionali, assegni, cambiali, altro) nonché tutta la documentazione inerente i Condominii amministrati, documentazione che, allo scadere del mandato (o alla revoca) dovrà consegnare.
Il rischio 'generale' è il furto, quindi è necessario valutare come ovviare a tale rischio.
Strategie per garantire la sicurezza dei dati nello studio
Valutati tutti i rischi che la SUA attività corre, l'Amministratore deve correre ai ripari.
Attenzione, i rischi vanno valutati rispetto all'attività dell'Amministratore di cui si tratta: sebbene sussistano rischi 'generici', si deve sempre guardare alla situazione particolare di quell'Amministratore se si vuole rendere un buon servizio di consulenza in materia di protezione dei dati e privacy.
Esempio: l'Amministratore che ha avviato la sua attività e collocato il suo studio in una zona notoriamente malfamata di una città dovrà verosimilmente adottare misure precauzionali maggiori di un altro Amministratore che ha lo studio in una zona con una percentuale di criminalità molto vicina allo zero.
Infatti, il GDPR lascia il Titolare (ma anche il Responsabile, rispetto alle sue funzioni) LIBERO di adottare le misure che più ritiene ADATTE alla sua struttura, ferma rimanendo la sicurezza del trattamento eseguito.
Nella prassi quotidiana, al di là del furto, ciò che viene maggiormente attenzionato, anche in sede di controllo da parte del Servizio Ispettivo del Garante o del Nucleo speciale della Guardia di Finanza, è la GESTIONE DEL CARTACEO e la FORMAZIONE.
Molti studi hanno faldoni e pratiche in vista, con i dati personali riportati sull'esterno del fascicolo: questo va assolutamente evitato, stabilendo una zona 'archivio' dello studio o inserendo le pratiche dentro armadi chiusi e non trasparenti, chiusi a chiave.
Creare un manuale operativo per la gestione dei dati
È regola ferrea del GDPR che CHIUNQUE tratta i dati debba essere FORMATO (INFORMATO) su cosa deve fare.
Ecco perché la formazione dell'Amministratore e dei suoi dipendenti/collaboratori è essenziale allo scopo di rendere efficaci ed efficienti le misure adottate.
Esempio: è inutile avere un armadio chiuso a chiave dove inserire le pratiche, se è abitudine dell'Amministratore e dei suoi dipendenti/collaboratori lasciarle in giro per lo studio.
Ancora: è inutile cambiare la password di accesso ai PC che contengono i dati se poi l'Amministratore ed i suoi dipendenti/collaboratori comunicano i dati personali del condòmino al primo che si reca presso lo studio e li chiede - ipotesi aberrante, ma valga come esempio estremo.
Quindi sarebbe opportuno che ogni Amministratore si dotasse di policies, cioè piccoli vademecum sui comportamenti da tenere e quelli da evitare quando si trattano dati personali.
Implementare e rispettare le politiche di protezione dei dati
Possiamo avere le policies migliori del mondo, ma rimarranno carta straccia se non le METTIAMO IN PRATICA.
6. Valutare periodicamente l'efficacia e l'efficienza delle proprie regole
Molto spesso le policies vengono abbandonate perché troppo complesse da adattare alla realtà in cui devono operare: ecco allora che è essenziale VALUTARE PERIODICAMENTE che cosa funziona e che cosa invece crea solo attrito, decidendo poi di conseguenza di liberarsi di ciò che non serve e di tenere ciò che è utile.
Ultimo rilievo che ci sentiamo di fare: l'adeguamento al GDPR dello studio dell'Amministratore NON VA INSERITO NEL RENDICONTO/NEL PREVENTIVO CONDOMINIALE, come spesa a vantaggio della compagine condominiale e laddove fosse fatto si ritiene che la delibera sarebbe NULLA in quanto porrebbe a carico dei condòmini una SPESA NON CONDOMINIALE, bensì di un terzo soggetto.
L'Amministratore, in quanto soggetto che tratta dati personali, ha il dovere di adeguare i suoi trattamenti al GDPR: ciò significa che l'adeguamento è una SPESA 'PERSONALE' DELL'AMMINISTRATORE, ma non va sostenuta dal Condominio.
Al contrario, il Condominio dovrà sostenere la spesa di adeguamento al GDPR DEL Condominio, cioè la consulenza prestata per la mappatura dei dati e dei processi, la valutazione dei rischi e la predisposizione della modulistica per QUEL Condominio.