Partiamo dal presupposto che, secondo il Considerando 81 e l'art. 28 GDPR, il Responsabile del trattamento dati amministratore, deve garantire che siano rispettate le prescrizioni della normativa. Il Reg. UE 16/679 impone che il responsabile del trattamento deve presentare: "garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento".
Il punto 3 dell'art. 28 dispone che il rapporto tra titolare condominio e responsabile amministratore, deve essere disciplinato da un contratto o da altro atto giuridico di cui deve darsi un'evidenza documentale.
Premesso questo, occorre analizzare cosa accade quando l'amministratore si fa coadiuvare da un soggetto terzo nella sua attività quotidiana di amministrazione. Si pensi ad esempio alla circostanza dell'idraulico a cui l'amministratore comunica il telefono del condomino per effettuare un intervento di natura condominiale presso l'appartamento privato (rottura della tubazione condominiale in privata dimora), oppure al caso in cui l'amministratore si avvale di una società di postalizzazione alla quale invia il file da spedire in formato pdf (mostrando così i contenuti che potrebbero contenere notizie estremamente private), oppure se vi è un appalto con una ditta che svolge il servizio di portierato (smistando la posta dei condomini), o al caso ancor più invasivo dello Studio di amministrazione che opera in CLOUD, nel qual caso i dati sono massivamente detenuti direttamente dalla società di CLOUD.
Negli esempi di trattamenti effettuati da soggetti terzi, rientrano anche i casi nei quali ci si avvale di professionisti quali il consulente del lavoro per la redazione delle buste paga dei portieri dipendenti del Condominio, o i commercialisti per la predisposizione dei 770.
La normativa europea dispone che in tali casi il responsabile del trattamento amministratore: "non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento condominio".
Detto assunto sta a significare che può esserci una delega generale che il Condominio può rilasciare all'amministratore, che può ad esempio inserirsi, per comodità, nella medesima nomina del responsabile del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento, seguendo le disposizioni del medesimo art. 28 GDPR, è opportuno che informi il Condominio stesso delle nomine effettuate (ad esempio alla prima assemblea utile), rendendo visionabile l'elenco dei fornitori nominati.
Unico impegno richiesto dal GDPR è quello che l'amministratore deve poi informare il Condominio di eventuali modifiche riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, lasciando così all'assemblea solo l'opportunità di opporsi a tali modifiche.
Anche della nomina del sub responsabile fornitore deve necessariamente aversi evidenza documentale quindi, è opportuno che non solo si dimostri di aver inviato la nomina, ma che il fornitore la reinvii sottoscritta all'amministratore per accettazione.
Nella scelta del fornitore però, l'amministratore deve tener presente che comunque, sempre ai sensi dell'art. 28 Reg.
UE 16/679, risponde nel caso di violazione delle norme del GDPR per l'eventuale danno cagionato all'interessato, qualora venga effettuata una designazione di un soggetto che non presti garanzie sufficienti, oppure se la nomina avviene senza previa autorizzazione da parte del Condominio titolare.
Un nuovo registro da gestire: chi paga la nuova incombenza?
Non solo, ma l'amministratore è e resta sempre e comunque il primo responsabile del trattamento e, pertanto, in caso di azione dell'interessato, sarà comunque il soggetto chiamato a dover rispondere dell'azione risarcitoria, ma ben potrà, laddove abbia rispettato i passaggi menzionati, chiamare il sub-responsabile fornitore in manleva, per potersi rivalere nei suoi confronti laddove sia quest'ultimo il reale responsabile del cagionato danno.
Privacy & Legal Advice 2018 S.r.l.
AVV. CARLO PIKLER
