Dalla lettura del documento emesso recentemente dal Garante della Privacy emerge innanzitutto che il libero professionista deve tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
da leggere => Privacy. Obbligatorio il registro dei trattamenti nel caso in cui il condominio tratti "dati sensibili" e giudiziari.
- il nome e i dati di contatto dello Studio di amministrazione, dei Condomini amministrati titolari del trattamento,
- le finalità del trattamento distinte per tipologie di trattamento (es. trattamento dei dati dei condomini per l'attività di amministrazione condominiale come da mandato conferito con delibera assembleare del …., trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori del Condominio, trattamento dei dati per finalità ulteriori a quelle di gestione ed amministrazione condominiale per le quali va indicato anche il particolare riferimento al legittimo interesse concretamente perseguito, indicando o rimandando ad apposito documento contenente le garanzie adeguate approntate).
- la descrizione delle categorie di interessati (es. condomini, fornitori, dipendenti, clienti) e quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati relativi a condanne penali o reati);
- le categorie di destinatari a cui i dati sono stati o saranno comunicati, riportati, anche semplicemente per categoria di appartenenza, indicando i titolari (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi, fornitori del Condominio).
Inoltre, devono essere indicati anche gli eventuali altri soggetti ai quali - in qualità di (sub) responsabili esterni del trattamento siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni quali il commercialista che redige il 770, società di postalizzazione, società di claud, fornitore che tratta dati personali quale ad es. l'idraulico o il citofonista ecc...).
- l'indicazione di eventuali trasferimenti di dati personali verso un paese terzo (se si utilizzano CLAUD siti all'estero) e la specifica delle garanzie prestate a tutela dei dati trasferiti;
- termini ultimi previsti per la cancellazione delle diverse categorie di dati, individuando i tempi di cancellazione per tipologia e finalità di trattamento (ad es. in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall'ultima registrazione - v. art. 2220 del codice civile, così come in caso documentazione fiscale);
- la descrizione generale delle misure di sicurezza, indicando le misure tecnico-organizzative adottate dal titolare ai sensi dell'art. 32 del RGDP tenendo presente che l'elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere.
Tale lista è di per sé dinamica, dovendosi continuamente confrontare con gli sviluppi della tecnologia e l'insorgere di nuovi rischi.
Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).
=> Chi è, cosa fa e quando nominare il Responsabile della Protezione dei Dati
Questo tipo di attività è diretta in maniera specifica verso il professionista esercente l'attività di trattamento dei dati. Quindi ogni costo relativo alla stessa deve necessariamente essere a suo carico.
Il Garante poi, nella FAQ, ha posto un nuovo obbligo, quello della predisposizione di analogo registro di trattamento anche per il singolo Condominio amministrato quale Titolare del trattamento dei dati, ove vi siano delibere assembleari che riguardano "categorie particolari di dati" (es. delibere per interventi volti al superamento e all'abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all'interno dei locali condominiali). Questa incombenza ulteriore, invece, riguardando il singolo condominio e determinate fattispecie predeterminate, sono ad onere e spesa del Condominio amministrato.
