Con la deliberazione del 26 luglio 2018 (doc. web n. 9025338), il Garante della Privacy ha inteso dare evidenza pubblica ai criteri con cui verrà operata, nel periodo luglio-dicembre 2018, l'attività ispettiva del nucleo speciale della Guardia di Finanza preposto al controllo e all'irrogazione delle sanzioni per la violazione della normativa vigente.
Si utilizza non a caso tale termine poiché, proprio lo scorso 4 settembre, e dunque successivamente al provvedimento suddetto, è stato pubblicato in Gazzetta Ufficiale il D.Lvo n. 101 del 10 agosto 2018 di armonizzazione rispetto al Reg. UE 16/679, che entrerà in vigore il prossimo 19 settembre.
È interessante pertanto capire come potrà coordinarsi e armonizzarsi quanto deliberato dal Garante a luglio con la disposizione transitoria e finale di cui all'art. 22, comma 13 della norma nazionale. Ma andiamo con ordine.
L'iniziativa del Garante risponde, per stesso proclama del provvedimento, all'opportunità di orientare, secondo criteri di gradualità, l'attività ispettiva… sui trattamenti maggiormente rilevanti per dimensioni e concentrazione di dati, nonché per la loro rischiosità. Altresì, alla preferenza di indirizzare in modo razionale l'impiego delle risorse disponibili secondo un individuato ordine di priorità.
È appena il caso di notare come questi principi dovrebbero sempre permeare l'azione della P.A., o comunque "dell'autorità pubblica" (cfr. Cost., art. 97, e L. n. 241/1990).
Si tratta del così detto controllo "a campione", che non avviene su reclamo o segnalazione dei cittadini, bensì su autonomo impulso del Garante.
Ebbene, nel suo provvedimento questi stabilisce che il controllo affidato alla Guardia di Finanza sarà indirizzato, fra gli altri: "… (OMISSIS) b) a controlli nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell'obbligo di informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati".
A parere di chi scrive questo sta a significare, ad esempio, che sono passibili di tale controllo a campione praticamente tutti gli appartenenti a ordini professionali (e gli stessi ordini), come consulenti del lavoro, commercialisti, medici, avvocati, ma sicuramente, anche gli amministratori di condominio.
Questi ultimi, infatti, sebbene non facciano parte di un ordine istituito né siano iscritti a un albo speciale, svolgono senz'altro un'attività professionale specificamente riconosciuta e individuata dalla legge.
Categoria alla quale si applica una precisa normativa e che dunque bene può qualificarsi come categoria omogenea.
Particolare attenzione l'amministratore di condominio dovrà prestare alla dimostrazione di aver messo a disposizione un'informativa corretta e ai casi in cui il presupposto di liceità del trattamento si basa necessariamente sul consenso (come, ad esempio, per il trattamento di dati particolari (o "sensibili") in caso di sinistro: art. 9 Reg. Ue 679/16).
Non è da sottovalutare, inoltre, anche quella che è stata una delle principali novità introdotte dal legislatore europeo circa la necessità di indicare il tempo di conservazione del dato trattato.
Non si ritiene sufficiente, o comunque potrebbe essere altamente rischioso, fare generico riferimento alla conservazione "per tutto il tempo necessario all'attività di mandato", in quanto dovrà senz'altro essere preso in esame il periodo di prorogato legis fino al passaggio delle consegne col nuovo amministratore, senza dimenticare di conservazione dei documenti fiscali che, vista la responsabilità solidale dell'amministratore, prescindono dalla durata del mandato.
Come accennato sopra, il 19 settembre p.v. sarà in vigore il nuovo decreto legislativo "privacy".
Esso, tra le altre cose all'Art. 22 n. 13 dispone: Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie".
Ciò può essere ragionevolmente interpretato nel senso che in tal periodo il nucleo della Guarda di Finanza preposto ai controlli a campione esaminati, sarà tendenzialmente più clemente.
Nell'irrogare la sanzione, infatti, verosimilmente terrà in debito conto, ad alleggerire la posizione del titolare o del responsabile del trattamento, una serie di fattori tra cui, ad esempio, l'avvio e la calendarizzazione di procedure di adeguamento e di messa a norma, l'adozione di specifiche policy di protezione del dato personale, ecc.
In ordine alle sanzioni amministrative, il nuovo art. 166 (commi 1-2), rimanda in via generica all'art. 83, par. 4-5 del Regolamento Europeo il quale, pone solo i limiti massimi di tali importi, nelle due alternative (a seconda del gruppo di norme violato) di € 10.000.000,00/2% del fatturato annuo mondiale d'impresa (se superiore), e di € 20.000.000,00/4% del fatturato annuo mondiale d'impresa (idem).
Il che equivale a dire che sarà lo stesso Garante a stabilire, in concreto, l'entità della pena pecuniaria in rapporto alla violazione riscontrata in sede ispettiva.
Ciò in tutta evidenza rappresenta per gli amministratori di condominio, ma in generale per ogni soggetto controllato, un elemento di enorme incertezza e di alto rischio economico (e di impresa), dal quale difendersi a priori con un rispetto rigoroso della normativa.
