Da quando il Legislatore ha introdotto il c.d. Superbonus 110% all'interno della già ampia normativa di carattere fiscale che agevola e sostiene gli interventi edilizi privati, abbiamo sentito spesso parlare di questioni connesse alla privacy dei soggetti coinvolti nelle operazioni volte all'acquisizione del beneficio fiscale.
Cerchiamo allora di capire se sussiste realmente una 'questione privacy' nell'ambito dei bonuses fiscali e quale sia (davvero).
Adeguarsi, adeguarsi, adeguarsi
Ciò che si lamenta maggiormente tra gli addetti ai lavori è una scarsità, in percentuale, dei soggetti, pubblici e privati, che si sono - realmente - adeguati alla normativa dettata dal Regolamento (UE) 2016/679, al secolo noto come GDPR.
Normativa complessa, d'impatto, futurista, che va prima compresa e successivamente applicata.
E qui sta l'intoppo: nella fretta di procurarsi - di produrre, come si usa ormai dire - i documenti di compliance, cioè le carte che dimostrino che i Titolari ed i Responsabili del trattamento si sono adeguati, ci si dimentica di adeguare le persone ed i trattamenti...
Scrivere nelle nostre Informative Privacy che «i dati sono trattati con le misure di sicurezza previste dall'art. 32 GDPR» NON SIGNIFICA che poi ciò accada realmente: le informative e gli altri documenti 'cartacei' dovrebbero descrivere ciò che materialmente ed effettivamente viene eseguito nell'ambito dei trattamenti.
Nella materia che amiamo e di cui parliamo spesso da queste pagine, cioè l'ambito condominiale, è possibile dire che un Condominio 'si è adeguato al GDPR' se è materialmente possibile apprezzare una valutazione su alcune prassi o comportamenti tenuti sino al 2018 ed un loro eventuale cambiamento - ad esempio, «abbiamo valutato che la 'chat condominiale' via Whatsapp viene utilizzata prevalentemente per... quindi abbiamo deciso di abolirla oppure di diramare una direttiva per cui tutti i condòmini si obbligano ad utilizzarla solamente per…» oppure «abbiamo incaricato il portiere come soggetto istruito dal Titolare al trattamento dei dati, ex art. 32 (4) GDPR e gli abbiamo fornito un vademecum di ciò che deve fare e di ciò che deve invece assolutamente evitare nella gestione della corrispondenza o in occasione di trattamenti di altro tipo dei dati personali», e così via.
Insomma, adeguarsi significa fare un passo in più e, soprattutto, avere sempre l'occhio e l'orecchio attento ai mutamenti.
Ebbene, il Superbonus è un mutamento? Cioè, è un trattamento nuovo nell'ambito condominiale e rispetto a quelli che sinora il Condominio ha dovuto o potuto eseguire sui dati dei propri condòmini e/o loro aventi - causa (cioè conduttori, usufruttuari, comodatari, titolari di uso o abitazione, etc.)?
Si ritiene di no, laddove il Condominio, quale Titolare di trattamento, abbia correttamente mappato, cioè inserito, tra i trattamenti che egli esegue sui dati dei condòmini o dei loro aventi - causa in ambito fiscale, per conto del proprio Responsabile, cioè l'Amministratore pro tempore, tutte le detrazioni ed agevolazioni che le leggi statali permettono e che la normativa di rango secondario o le prassi assegna a determinati soggetti, quali appunto l'Amministratore per il Condominio.
In parole povere, significa che il Condominio ha già previsto che, per lo svolgimento di determinate operazioni (nel nostro caso, lavori di manutenzione/ristrutturazione e acquisizione dei benefici fiscali connessi) sarà necessario trattare i dati di condòmini/aventi - causa ed eventualmente comunicarli a terzi (Agenzia delle Entrate, soggetto terzo esterno che eseguirà la contabilizzazione e l'invio, ove prescelto, etc.).
Da questa corretta mappatura discenderà il fatto che nell'Informativa Privacy che è stata già fornita ai condòmini e loro aventi - causa, è stato dichiarato che l'Amministratore utilizzerà i dati anagrafici e le quote millesimali allo scopo di contabilizzare le somme che i vari soggetti potranno portare in detrazione, facendo ciò personalmente oppure con l'ausilio di terzi, che all'uopo saranno stati nominati quali Sub - Responsabili al trattamento.
Privacy: cosa cambia con il Superbonus 110%
Francamente, ci verrebbe da dire che cambia poco.
Come sappiamo, il Superbonus 110% prevede tre modalità di acquisizione/fruibilità del bonus ottenibile, ovvero:
- l'utilizzo diretto, cioè ogni condòmino o avente - causa, in base alle quote versate e contabilizzate dall'Amministratore, richiederà di ottenere la detrazione direttamente in sede di dichiarazione dei redditi annuale;
- sconto in fattura, cioè l'impresa appaltatrice cui vengono affidati i lavori grazie ai quali si usufruirà del Superbonus 110% pratica, direttamente nella propria fattura (quindi sul proprio compenso) uno 'sconto' di importo pari al bonus spettante; l'impresa andrà poi a recuperare questo sconto chiedendo la detrazione della somma relativa nella propria dichiarazione reddituale;
- cessione del credito, cioè l'importo pari al bonus spettante viene ceduto all'impresa appaltatrice dei lavori, la quale, a sua volta, potrà cederlo, facendoselo rimborsare, ad altri soggetti.
Ora, è ovvio - o almeno a noi così sembra - che, allo scopo di eseguire tutti i delicati e complessi passaggi che conducono il contribuente all'ottenimento del beneficio fiscale, dallo studio di fattibilità sino all'ultima asseverazione inviata all'Agenzia delle Entrate o all'ENEA, sia necessario eseguire di concerto un trattamento dei dati personali dei condòmini e / o loro aventi - causa (a seconda di chi sostiene la spesa degli interventi).
Trattamento che verrà eseguito da vari soggetti a seconda delle opzioni su menzionate e prescelte dal Condominio in sede Assembleare.
Soggetti i quali sarebbe opportuno incaricare quali Responsabili del trattamento - oppure Sub - Responsabili qualora essi agiscano su mandato dell'Amministratore negli ambiti di competenza di costui, per come individuabili e valutabili in sede di Superbonus 110%.
Soggetti i quali devono essere, a loro volta, adeguati al GDPR e garantire un livello di sicurezza del proprio trattamento commisurato al rischio di probabile accesso, modifica o distruzione dei dati trattati e delle conseguenze che ciò potrebbe avere sulle persone fisiche interessate (i condòmini o loro aventi - causa).
Come valutare se i soggetti di cui sopra si sono adeguati efficacemente al GDPR?
Per esempio, laddove venisse sottoposta a tutti i condòmini una richiesta di CONSENSO AL TRATTAMENTO DEI DATI, già potremmo sollevare forti dubbi sull'adeguamento del soggetto al GDPR o sulla sua effettività.
Rammentiamo che il Garante per la protezione dei dati personali (meglio noto come Garante Privacy) ha già iniziato a sanzionare quei Titolari (e Responsabili) che richiedono il consenso al trattamento dei dati ai propri interessati laddove il consenso non sia la base giuridica del trattamento.
E questo non solo e non tanto per violazione dell'art. 7 GDPR, ma soprattutto per contrarietà al principio di liceità del trattamento fissato dall'art. 5 GDPR, che è la norma cardine e si atteggia a faro di tutte le scelte che il Titolare compie nella progettazione ed esecuzione dei trattamenti.
Perché è scorretto richiedere il consenso per l'esecuzione dei trattamenti connessi al Superbonus 110%?
Perché, per quanto riguarda quei trattamenti che la legge prevede debbano essere svolti dai vari soggetti che concorrono alle pratiche per l'ottenimento del bonus, essi sono trattamenti la cui base giuridica - e, quindi, la cui liceità - risiede nell'obbligo di legge, come previsto dall'art. 6 (1), lett. c), GDPR oppure nel contratto (sempre art. 6 (1), lett. b), GDPR).
Quindi, come dovrebbe essere redatta l'Informativa Privacy relativamente ai soggetti che 'cooperano' agli interventi relativi al Superbonus 110%?
Si dovrebbe semplicemente dire, in ossequio agli artt. 13 e 14 GDPR, che i dati personali (e, a seconda dell'intervento, particolari) dei condòmini e / o aventi - causa verranno comunicati dall'Amministratore ai soggetti che hanno ricevuto mandato dal Condominio allo scopo di eseguire le pratiche e le operazioni volte all'utilizzo del Superbonus 110% e che, in difetto di comunicazione, non sarà possibile, al condòmino o avente - causa, partecipare a detto beneficio.
Punto.
Superbonus 110% e privacy: quello che non si vede…
Premesso quanto sopra, dobbiamo sottolineare con forza che tutti i trattamenti DIVERSI DA QUELLI STRETTAMENTE NECESSARI all'esecuzione degli interventi ed all'ottenimento del Superbonus 110% devono individuare una propria finalità ed una propria base giuridica.
Per esempio, laddove l'impresa intenda acquisire numeri di telefono cellulare e le e - mail dei singoli condòmini/aventi - causa che partecipano agli interventi del Superbonus 110% allo scopo di inviare loro newsletter o iniziative promozionali relative ai propri prodotti e servizi, detto trattamento, trattandosi di marketing diretto, sarà soggetto al consenso DELL'INTERESSATO, quindi l'impresa dovrà acquisire il consenso del singolo condòmino/avente - causa.
La firma dell'Amministratore, per questo tipo di trattamento, non basterà, dato che non è lui l'interessato, bensì il singolo condòmino o avente - causa.
Ristrutturazione iniziata prima del 2020 e superbonus
Superbonus 110% e privacy: problema dati particolari
Come noto, poiché lo abbiamo menzionato più volte su queste pagine, i Dati Particolari (tra i quali, i dati sulla salute) non possono essere trattati (regola), a meno che il Titolare possa invocare una delle 10 eccezioni previste dall'art. 9 (2), lett. a) - j) GDPR.
Ebbene, sempre su queste pagine, abbiamo più volte espresso la perplessità circa il trattamento del dato particolare - salute del condòmino richiedente, da parte del Condominio / Amministratore, in seno agli interventi di abbattimento barriere architettoniche - previsti, peraltro, tra quelli che contribuiscono all'ottenimento del Superbonus 110%.
Superbonus al 110%: la misura della detrazione
Laddove l'intervento sia eseguito come adeguamento generico dell'edificio alle norme sull'accessibilità, allora nulla quaestio, perché non staremo trattando alcun dato - salute.
Questione del tutto diversa è invece l'ipotesi più frequente nella prassi quotidiana, cioè l'abbattimento deliberato ed eseguito su richiesta di uno o più condòmini, che presentino problemi di salute o menomazioni fisiche, poiché in tal caso il Condominio verrà a conoscenza e tratterà il dato - salute dei richiedenti.
Sono state proposte varie soluzioni, a partire dal consenso dell'interessato (prevista come prima eccezione dalla lett. a) dell'art. 9 (2) GDPR); ad opinione di chi scrive, il consenso è però la base giuridica (e, in questo caso, l'eccezione al divieto di trattamento) più fragile che vi sia, dato che è revocabile e, nel contesto in cui ci muoviamo, potendo la revoca del consenso arrivare in qualsiasi momento, dovremmo ammettere che la medesima potrebbe bloccare i lavori per gli interventi detraibili, con le immaginabili conseguenze.
Anche l'eccezione prevista dalla lett. c), cioè l'«interesse vitale dell'interessato» non sembra reggere, perché la norma specifica che l'interessato dovrebbe trovarsi nella condizione di «incapacità fisica o giuridica a prestare il proprio consenso», mentre spesso il 'nostro' interessato che richiede l'abbattimento non è in questa condizione e, alla meno peggio, si ritorna alla questione del consenso.
Potremmo allora utilizzare la lett. g), che invoca il «motivo di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri. ? Su questo punto, però, i Considerando 54, 55 e 56 al GDPR precisano trattarsi di trattamenti realizzati dalle autorità pubbliche, in contesti di sanità pubblica oppure in materia elettorale …
Insomma, un nodo ancora da sciogliere, sul quale auspichiamo l'intervento del nostro Garante, poiché, paradossalmente, abbiamo la base giuridica per il dato comune, costituita dall'obbligo di legge (legge in materia di abbattimento barriere architettoniche e di agevolazioni fiscali), mentre non abbiamo la corrispondente eccezione per il dato particolare dell'interessato.
A meno di arrivare ad affermare - e, a modesto e sommesso parere di chi scrive, si tratterebbe di un ottimo compromesso - che tutti i Titolari che possono trattare il dato personale 'comune' dell'interessato in virtù di un obbligo di legge, sono automaticamente autorizzati dalla norma a trattare anche il dato particolare ove connesso al trattamento del dato comune (come nel caso dell'abbattimento delle barriere architettoniche).
