Oggi rispondiamo al quesito di un lettore che ci permette di tornare sulla questione dell'adeguamento del Condominio alla normativa in materia di trattamento dei dati personali - in particolare, il Regolamento (UE) 2016/679, noto come GDPR:
"Buongiorno, siamo in un piccolo condominio di 9 appartamenti con 9 proprietari.
Il nostro amministratore ha inserito tra le voci di spesa, per il terzo anno consecutivo, € 100,00 indicando come causale "Modello Privacy".
Alla richiesta di spiegazioni, ci ha riferito trattarsi di un modello che un avvocato gli ha fatto e che va aggiornato annualmente.
Ha aggiunto che, volendo eliminare l'adempimento, con relativa spesa, si va incontro a controlli e forti multe (aggiornamento di nuovi inquilini, nuovi proprietari che cambiano durante l'anno).
I condomini, spaventati, hanno approvato per mantenere.
Vi chiedo quindi se si tratta di una prassi regolare o di un illegittimo 'aumento' del compenso dell'amministratore."
Come sempre, a favore degli impazienti, diamo subito la nostra opinione: sì, è una prassi regolare o che dovrebbe diventare tale.
Consiglio: in caso di dubbi, chiedere di verificare il contratto di incarico con l'avvocato cui l'Amministratore si è rivolto per adeguare il Condominio e le fatture emesse.
Nota a margine: l'importo della spesa è da ritenersi relativamente basso, data la complessità dell'attività da svolgere ogni anno per verificare la 'tenuta' dell'impianto privacy adottato.
Vediamo ora le motivazioni della nostra opinione e risposta al lettore.
I poteri dell'Amministratore rispetto agli adeguamenti obbligatori per legge
Come noto, l'Amministratore ha poteri e prerogative che gli consentono un potere di spesa nell'ambito della gestione ordinaria: quindi, di tutto ciò che concerne la conservazione dei beni comuni ed il godimento dei servizi comuni.
Egli può altresì compiere lavori straordinari laddove abbiano carattere di urgenza, erogando le rate necessarie a soddisfare il compenso del soggetto che esegue questi lavori e riferendone all'Assemblea, cioè rendicontando il suo operato di mandatario.
Tutto ciò che attiene alla straordinaria amministrazione, alle innovazioni ed alle liti, attive o passive, è invece di stretta ed esclusiva competenza assembleare, quindi l'Amministratore, in quel campo, si può muovere ottenendo una delibera di autorizzazione preventiva (al lavoro, all'azione ed alle relative spese) oppure può decidere, a suo rischio, di agire da 'uomo solo al comando', sperando di ottenere successiva ratifica da parte dell'Assemblea - d'altronde, così prevede l'art. 1711 c.c., norma dedicata al contratto di mandato, ma applicabile anche all'ufficio dell'Amministratore, la quale prevede appunto che «l'atto che esorbita dal mandato resta a carico del mandatario, se il mandante non lo ratifica».
Ebbene, come possiamo inquadrare, in questo contesto di riparto di poteri, tutte quelle norme che obbligano il Condominio, a vario titolo, ad adeguarsi a quanto in esse prescritto?
La Cassazione, chiamata nel passato ad esprimersi sull'adeguamento degli impianti a normativa, ha ritenuto di dirimere la questione dal punto di vista della spesa occorrente all'adeguamento: pertanto, se si tratta di spesa che sconfina nella gestione straordinaria, allora la competenza sarà assembleare, mentre se rientra nell'ordinaria, l'Amministratore avrà mano libera.
Bene. Ma cosa accade se l'Assemblea, pur di fronte ad una norma di legge che imponga determinati adeguamenti, modifiche, integrazioni, etc., a beni e servizi comuni o alle modalità di gestione, non intende ottemperare a detta norma?
Le conseguenze saranno di vario tipo: laddove, infatti la norma che impone l'adeguamento disponga altresì delle sanzioni (di carattere pecuniario o di altro tipo) per l'inadempimento, allora si ritiene che sarà il Condominio, in caso di accertamenti o ispezioni da parte delle Autorità preposte o di esposti da parte dei condòmini o di terzi o ancora in seguito al provvedimento di un'autorità giurisdizionale, a dover rispondere del mancato adeguamento e, così, a dover essere sanzionato per esso.
Dal punto di vista interno, cioè del rapporto di mandato con rappresentanza tra Amministratore e Condominio, l'Amministratore ha bene eseguito il suo dovere quando
i) ritenendo che rientrasse nei suoi poteri di ordinaria amministrazione, ha dato esecuzione all'adeguamento, erogando le spese (quindi, inserendo la spesa a bilancio preventivo oppure erogando rate straordinarie in caso di adeguamento necessario a gestione già avviata) oppure
ii) ritenendo che fosse di competenza dell'Assemblea, ha inserito l'adeguamento tra i punti all'Ordine del Giorno della prima Assemblea utile, informando i condòmini circa le conseguenze cui il Condominio va incontro in caso di mancato adeguamento.
A questo punto, se l'Amministratore non riesce a completare l'adeguamento perché viene meno la provvista necessaria (i condòmini smettono di pagare o non pagano affatto le rate dedicate ad esso) oppure se l'Assemblea delibera di non procedere all'adeguamento, allora si ritiene che nessuna omissione o negligenza o responsabilità vada ascritta all'Amministratore per il mancato adeguamento del Condominio.
Anche dal punto di vista della responsabilità aquiliana, quindi laddove il mancato adeguamento arrechi un danno alle persone o alle cose dei condòmini o a terzi, si ritiene che, laddove l'Amministratore abbia compiuto i passi già menzionati sopra, non vi possa essere per lui rimprovero alcuno.
Rammentiamo che, in caso di spesa da ritenersi ordinaria, qualora l'Assemblea, in sede di rendicontazione, dovesse invece opinare che si tratta di spesa straordinaria e qualora non procedesse a ratificare l'operato dell'Amministratore, deliberando che la spesa rimarrà a carico dello stesso Amministratore, avremo un duplice possibile esito.
In caso di opere o manufatti che sono inglobati all'edificio o alla struttura condominiali, se non è possibile disporne la rimozione, la spesa eseguita dall'Amministratore andrà compensata con il vantaggio tratto dal Condominio a cagione delle opere fatte eseguire, secondo il paradigma della negotiorum gestio (art. 2028 c.c.) o dell'arricchimento senza causa (art. 2041 c.c.), a seconda delle modalità del caso concreto.
Se invece le opere o i manufatti sono rimovibili, non vi sarà compensazione; riteniamo che l'Amministratore possa ricorrere in questo caso all'autorità giudiziaria, nella sua qualità di mandatario, per far riconoscere la correttezza del suo operato - ovviamente, laddove sia ragionevolmente certo che si tratti di spesa non esorbitante i limiti del mandato ricevuto.
Responsabilità del Condominio nell'adeguamento al GDPR
Veniamo ora al quesito del nostro lettore, potendo inquadrare l'adeguamento del Condominio ai dettami del GDPR nell'ambito sopra descritto di un adeguamento a nuova normativa che impone che qualcosa debba cambiare.
È ormai oggi in minoranza chi ritiene che il GDPR abbia cambiato poco o nulla nel panorama privacy italiano; l'assetto è completamente diverso e l'attenzione si è spostata dalla tutela della riservatezza (che comunque permane) alla protezione del dato.
Proteggere i dati significa innanzitutto conoscere quali dati si tratta, perché lo si fa, in che modo, per quanto li si conserva, etc.: in poche parole, proteggere i dati significa condurre un'analisi o un'anamnesi, proprio come il dottore fa con il paziente.
Se non conosco ciò che amministro, non posso nemmeno gestirlo.
Ecco perché il Condominio, che tratta dati personali (di condòmini e di terzi) su base non occasionale e non per uno scopo personale o domestico, ma per gestire sé stesso ed i suoi rapporti con l'esterno e con i condòmini stessi, deve giocoforza sapere quali trattamenti pone in essere, come li pone in essere e perché.
Non si tratta di attività che si può richiedere all'Amministratore di eseguire, perché la valutazione degli aspetti di rischio per la protezione dei dati e delle misure di contrasto deve essere assegnata a professionisti del settore o, quantomeno, persone specializzate sia nella privacy, sia nell'ambito condominiale e quindi in grado di individuare le criticità nei trattamenti del Condominio.
Esattamente come non ci sogneremmo mai di chiedere che l'Amministratore, personalmente, adegui l'impianto elettrico o il sistema antincendio comuni.
Se è vero, come il Garante per la protezione dei dati personali va ripetendo dal 2006 - cioè, dal primo Vademecum del Palazzo - , che il Condominio è Titolare del trattamento, cioè il soggetto sul quale incombono tutti gli oneri imposti dal GDPR circa la protezione dei dati ed il rispetto delle norme, allora è evidente che non ci si può più limitare a voltarsi dall'altra parte, fingendo che la privacy sia un aspetto secondario ed irrilevante nella gestione di un immobile.
Bene: quindi il Condominio deve prendere l'iniziativa ed adeguarsi al GDPR - avrebbe già dovuto farlo dal 24 maggio 2018, data di inizio dell'applicazione del GDPR negli Stati membri dell'UE.
Ruolo dell'Amministratore nella gestione dei dati personali
Come abbiamo già molte volte spiegato in queste pagine, l'Amministratore ha una duplice funzione: da un lato, egli è Titolare del trattamento dei dati personali (e, ove previsto, dei Dati Particolari) dei propri dipendenti (se ne ha) e dei propri fornitori (solamente coloro che siano persone fisiche, ad esempio professionisti, lavoratori autonomi, società di persone individuali, artigiani, etc.), per cui è comunque tenuto ad adeguare i suoi trattamenti e la sua struttura relativamente all'ambito dipendenti e fornitori.
Dall'altro lato, la sua attività principale è gestire dati personali (ed a volte Dati Particolari) per conto terzi, cioè per conto dei Condominii che lo nominano.
Su questo punto, cioè sulla gestione per conto terzi, se ci trovassimo in qualsiasi altro ambito, non avremmo dubbi, specialmente nell'era del GDPR, nel dire che occorre, anzi è obbligatorio, ottenere un Atto di Incarico a Responsabile del trattamento, ai sensi dell'art. 28 GDPR, atto che deve essere conferito dal Titolare.
Ma quando approcciamo la materia condominiale, ci troviamo di fronte ad un atteggiamento meno definito: lo stesso Garante si è espresso così, in epoche recenti, pre e post GDPR (rammentiamo che il Regolamento noto come GDPR fu emanato nel 2016, ma si diede tempo agli Stati membri per l'applicazione sino al 2018):
«il condominio, in virtù della disciplina normativa che ne regola i vari aspetti, agisce per il tramite dell'amministratore formalmente designato dall'assemblea al quale sono a tal fine attribuiti specifici poteri di rappresentanza relativamente ai diversi aspetti che ne riguardano la gestione (cfr. art. 1131 c.c.), rispetto ai quali, peraltro, la designazione formale dello stesso quale responsabile del trattamento costituisce una MERA EVENTUALITÀ, dovendosi intendere che, IN CASO CONTRARIO, L'AMMINISTRATORE OPERI COMUNQUE PER CONTO DEL CONDOMINIO in virtù del rapporto di mandato presupposto;» (così il Provvedimento del Garante per la protezione dei dati personali del 06 aprile 2017, doc. web n. 6517060);
«le informazioni personali riferibili a ciascun partecipante possono essere trattate per la finalità di gestione ed amministrazione del condominio e che possono essere per tali ragioni condivise all'interno della compagine condominiale, tenendo anche conto che i condòmini devono essere considerati CONTITOLARI di un medesimo trattamento dei dati (v. ora art. 4, par. 1, n. 7 e Capo IV, in particolare art. 26 del RGPD [GDPR, N.d.R.]) di cui l'amministratore, agendo in EVENTUALE veste di responsabile del trattamento, ha la concreta gestione (v. ora art. 4, par. 1, n. 8 e Capo IV del RGPD)» (Relazione Annuale Garante per la protezione dei dati personali anno 2019).
Riteniamo sia prudente affermare, tuttavia, che, anche alla luce della recente Decisione 2021/915 della Commissione UE, adottata ai sensi dell'art. 28 (7) GDPR, dove la Commissione ha stabilito le clausole contrattuali standard che gli Atti di Incarico a Responsabile del trattamento devono contenere, anche il nostro Garante, dinnanzi ad un Condominio ove difetti la nomina formale dell'Amministratore quale Responsabile del trattamento, con una definizione chiara degli aspetti indicati dalla Decisione e, soprattutto, del ruolo dei cc.dd. Sub - Responsabili, tenderà ad approfondire le modalità effettive dei trattamenti eseguiti e, probabilmente, indicherà al Condominio di procedere ad una nomina formale.
L'aspetto del legame tra Titolare e Responsabile è determinante rispetto all'intero impianto privacy per cui, attualmente, sarebbe prudente ritenere che anche le PMI e le piccole realtà - come i Condominii - debbano prendere nella massima considerazione le norme dettate dal GDPR e la soft law dei Garanti europei e della Commissione, senza ritenersi esenti per il solo fatto dimensionale o locale del trattamento.
La questione è cruciale e rivestirà sempre maggiore importanza: si pensi semplicemente al fatto che, come più volte ribadito su queste pagine, siccome l'art. 28 (1) GDPR impone al Titolare di ricorrere solamente a Responsabili che siano in grado di eseguire un trattamento in linea con il GDPR, va da sé che ogni aspirante Responsabile che non possa dimostrare di essersi adeguato al GDPR non dovrebbe nemmeno presentarsi dinnanzi al Titolare, né tantomeno essere nominato.
Il ché dovrebbe avere la conseguente ricaduta, nell'ambito condominiale, sulla nomina dell'Amministratore, per cui chi si presenta aspirando a questo ruolo all'Assemblea condominiale dovrebbe affermare (ma soprattutto essere in grado di dimostrare) che si è adeguato al GDPR.
Il Condominio, dal canto suo, dovrebbe decidere come riempire le clausole contrattuali standard, nei limiti di quanto previsto dal provvedimento della Commissione ed opportunamente adattando il tutto al contesto del trattamento, così da avere sempre pronto un Atto di Incarico da sottoporre ai propri aspiranti Amministratori.
Ad esempio, il Condominio, quale Titolare, avrebbe il diritto di imporre al Responsabile - ed ai Sub - Responsabili di cui costui si avvale - di non trasferire i dati al di fuori dell'Unione Europea, ad esempio nemmeno nei Paesi terzi dotati di una Decisione di Adeguatezza ai sensi dell'art. 46 GDPR.
In questo contesto, l'adeguamento del Condominio è cruciale e i condòmini non dovrebbero lesinare risorse, quindi privilegiare il prezzo più basso.
Insomma, nel caso del nostro lettore, bene ha fatto l'Amministratore ad inserire le spese per adeguare il Condominio alla privacy già da tre anni, perché significa che è stato pronto, al momento dell'applicazione del GDPR nel 2018, ad intervenire.
L'Assemblea, così come i singoli condòmini, potranno sempre chiedere all'Amministratore di visionare il contratto di incarico al professionista o alla società che ha eseguito la consulenza relativa all'adeguamento al GDPR e le relative fatture, in quanto documenti relativi alla gestione e giustificativi delle spese.
Quanto all'audit annuale, esso è implicitamente menzionato dall'art. 32 (1), lett. d) GDPR, che tratta delle misure di sicurezza, laddove si dispone che il Titolare, quindi il Condominio, debba avere una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.
La protezione dei dati è un ambito straordinariamente complesso, perché fortemente legato alla situazione concreta del trattamento del dato, alle modalità prescelte dai protagonisti del trattamento (Titolare e Responsabile) nonché dall'evoluzione tecnologica delle misure di sicurezza e delle minacce che aumentano il rischio di violazione del dato, per cui non è pensabile che un impianto privacy, una volta disegnato, non debba subire verifiche, aggiustamenti o integrazioni.