Il 19 settembre (dopo il termine di "vacatio legis" dalla pubblicazione in Gazzetta Ufficiale avvenuta il 6 settembre 2017) è entrato in vigore il Decreto di armonizzazione n. 101/2018 emanato per assicurare una pacifica "convivenza" tra la normativa nazionale (il D.Lgs. 196/2003 e tutti i provvedimenti emanati dal Garante) ed il GDPR.
Le variazioni di rilievo sono ben poche, ma, dall'analisi dei contenuti non c'è da stare molto tranquilli, in considerazione degli artifici introdotti.
In primo luogo giova precisare che tutte le indicazioni che il Garante della Privacy ha già pubblicato negli anni precedenti in merito al trattamento dei dati che coinvolgono Amministratore e Condominio (si veda in proposito il Vademecum del 2006) che restano in vigore fino a quando (e se) verranno modificate, sia nei contenuti che nelle prescrizioni.
Ciò non esonera comunque l'Amministratore di condominio dal dover affrontare le responsabilità connesse all'adozione delle misure minime di sicurezza, idonee a definire le (corrette) modalità di gestione del trattamento dei dati da parte dell'Amministratore che opera quale responsabile del trattamento per conto del Condominio (titolare).
Orbene, le misure minime di sicurezza sono oggi apoditticamente "citate" dalla normativa, ma non più definite nell'ormai abrogato Disciplinare Tecnico Allegato B al D. Lgs. 196/2003.
In pratica, il Titolare del trattamento deve dimostrare - allorquando gli venga richiesto - di aver adottato idonee misure di sicurezza, senza avere alcun riferimento minimo che costituita uno standard adottabile. Cambiano, pertanto, le responsabilità dell'Amministratore, aumentando esponenzialmente.
=> Condominio e sanzioni in materia privacy: nessuna tregua
Il professionista della gestione immobiliare viene caricato del compito di valutare il rischio cui sono esposti i dati trattati, selezionare e adottare le misure ritenute idonee per ridurre il rischio fino ad eliminarlo.
Ma come può un amministratore che, salvo alcuni casi, non è tenuto ad acquisire specifiche competenze analitiche di individuazione e gestione dei rischi in relazione al trattamento dei dati?
Si rischierebbe di esporsi ad un giudizio di parte che più facilmente può scaturire in un'accusa di scarsa attenzione (quando non "assoluta ignoranza") nel prevenire il danno causato dall'eventuale perdita, sottrazione o errata comunicazione dei dati trattati in suo possesso.
In effetti, ricollegando la normativa di coordinamento alle indicazioni del GDPR nella parte in cui prescrive che è "preferibile" nominare un DPO o Responsabile del trattamento anche nei casi in cui suddetta nomina non è obbligatoria, si può ben comprendere il motivo di tale affermazione.
Praticamente, in assenza di un soggetto terzo (il DPO dovrebbe essere un soggetto esterno alla struttura rappresentata dal Titolare del trattamento) che controlla costantemente la conformità del trattamento, in base alle indicazioni fornite dal GDPR (e dalle norme nazionali), il Titolare non ha nessuna possibilità, in sede di discussione, di difendersi dalle accuse mosse a suo carico per eventuali violazione alla vigente normativa.
Perché questo? Proviamo ad entrare in un'osteria e chiedere all'oste se il vino da lui servito è buono e genuino, secondo voi cosa può mai rispondere? Quindi la sua parola, non supportata da fatti concreti, nel caso in cui un suo cliente lo denunci perché si è sentito male dopo aver bevuto un bicchiere del suo vino, verrebbe facilmente smentita da analisi ed accertamenti successivi. Almeno fino a che non succede nulla!
Allorquando si registri un danno causato da un virus che infetta un computer e distrugge i dati in esso contenuti, prima si elencavano le misure minime di sicurezza messe in campo dal titolare che con ciò dimostrava di aver fatto tutto quanto in suo potere per prevenire il danno, paragonando quanto fatto alle indicazioni contenute nell'Allegato B.
Ma ora, ci si deve domandare, come si potrebbe affermare di aver fatto quanto necessario non avendo termini di paragone a cui fare riferimento.
Ora più che mai diventa fondamentale avvalersi della consulenza di professionisti esperti della materia, che possano fornire le giuste indicazioni ed il necessario supporto, affiancando costantemente ed in ogni situazione, l'Amministratore ed il Condominio nella corretta gestione del trattamento dei dati.
Tale consulente dovrà quindi accertare in modo chiaro ed inequivocabile quali le procedure, gli strumenti, gli accorgimenti che devono essere adottati per assicurare la corretta conformità del trattamento, anche ricorrendo alle linee guida predisposte dall'UNI (ente italiano di normazione) per il trattamento dei dati in ambito ICT.
=> Privacy condominiale. Ma quanto mi costi?
Ricordiamo che, con specifico riferimento alle linee guida ed al Regolamento Europeo emanate in tema di Privacy dal Garante nazionale, il titolare del trattamento dei dati (Condominio da un lato ed Amministratore in qualità di professionista con responsabilità del proprio trattamento dall'altro) deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative e tecniche, per la protezione dei dati personali, anche attraverso l'elaborazione di specifici modelli organizzativi.
Deve dunque essere dimostrato che il trattamento dei dati sia adeguato e conforme al Regolamento UE in materia di Privacy.
Il Titolare del trattamento dei dati deve dimostrare in modo sostanziale, con onere probatorio a suo carico, di aver adottato tutte le procedure idonee ad evitare la perdita dei dati.
Il Titolare del trattamento dovrà quindi effettuare un esame/valutazione dei rischi relativo al trattamento stesso, alla conservazione ed alla comunicazione dei dati.
L'Amministratore dovrà inoltre dimostrare di avere effettuato formazione in materia di Privacy, proprio in virtù del fatto che deve dimostrare di essere in grado di adottare suddette misure.
Centro Studi GS Italia
Avv. Peter Lewis
Avv. Fabiola De Giovanni
Dott. Vincenzo Borrelli
Dott.ssa Loredana A. Barbati
