Installare un sistema di videosorveglianza condominiale oggi è la stessa cosa di due anni fa?
Cosa devono fare le imprese di videosorveglianza che forniscono servizi ai Condomini?
E cosa deve invece fare l'Amministratore del Condominio che ha un impianto di videosorveglianza già funzionante?
Di questo parleremo nel focus integralmente dedicato alla videosorveglianza, vedendo come la videosorveglianza sia cambiata, come conseguenza dell'entrata in vigore del Regolamento (UE) 2016/679, noto come General Data Protection Regulation (GDPR ), cioè il Regolamento generale sulla protezione dei dati; vedremo anche come cambierà, allorquando lo European Data Protection Board (EDPB, di seguito il Board ) ovvero il 'Super Garante' europeo, emanerà la versione definitiva delle Linee - guida sulla videosorveglianza, adottate il 10 luglio 2019 e in consultazione pubblica fino al 09 settembre 2019.
Cos'è la videosorveglianza condominiale. Quando parliamo di 'videosorveglianza' intendiamo la presenza di telecamere che riprendono una determinata area e registrano le immagini, conservandole per un determinato periodo di tempo: quando la videosorveglianza viene applicata al Condominio, intendiamo - e non potrebbe essere diversamente - la presenza di telecamere che riprendono gli spazi comuni (ad esempio, l'atrio o androne, l'ingresso, il cancello di ingresso al vialetto comune, l'accesso ai boxes - auto, il parcheggio comune, etc.).
Non è possibile 'puntare' la telecamera su beni di proprietà privata, foss'anche quella dei condòmini del medesimo Condominio, né a maggior ragione sulla proprietà privata di terzi rispetto al Condominio (i vicini).
E questo non tanto e non solo per una ragione di tutela della riservatezza o privacy che dir si voglia, ma soprattutto perché un siffatto agire violerebbe il confine della proprietà altrui e la delibera che decidesse di videosorvegliare spazi non appartenenti al Condominio, ma ai singoli condòmini o a terzi sarebbe viziata di nullità per eccesso di potere, in quanto l'Assemblea avrebbe esorbitato le funzioni assegnatele dalla legge ed avrebbe adottato un atto che incide la sfera giuridica di una persona fisica e non dei beni e servizi comuni.
Non solo. Si rischia anche di incorrere nelle sanzioni penali, dato che l'art. 615 bis c.p. punisce le cc.dd. interferenze illecite nella vita privata, cioè «Chiunque, mediante l'uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell'articolo 614 [cioè l'abitazione altrui, un altro luogo di privata dimora o nelle appartenenze di essi, N.d.r.], è punito con la reclusione da sei mesi a quattro anni.
Alla stessa pena soggiace, salvo che il fatto costituisca più grave reato, chi rivela o diffonde, mediante qualsiasi mezzo di informazione al pubblico, le notizie o le immagini ottenute nei modi indicati nella prima parte di questo articolo ».
A tal proposito, la Cassazione ha rifiutato di condannare per tale reato il soggetto (condòmino) che effettui riprese dell'area comune condominiale adibita a parcheggio e del relativo ingresso, perché sono luoghi destinati all'uso di un numero indeterminato di persone e, pertanto, sono esclusi dalla tutela prevista dall'art. 615 bis c.p., che si riferisce, sia in caso di "domicilio", che di "privata dimora" o di "appartenenze di essi", a una particolare relazione del soggetto con l'ambiente in cui egli vive la sua vita privata, al fine di sottrarla a ingerenze esterne indipendentemente dalla sua presenza (Cassazione Sezione penale, sent. 29 ottobre 2008, n. 44701 e sent. 03 gennaio 2013, n. 71).
Ma cosa accade se il singolo condòmino installa telecamere di sua iniziativa per riprendere la SUA proprietà?
Ove il c.d. 'angolo di visuale' (ovvero la zona inquadrata) delle telecamere installate dal singolo condòmino sia correttamente posizionato a riprendere unicamente la sua proprietà privata, gli altri condòmini non potranno lamentare alcuna violazione delle norme sulla privacy e l'installazione sarà lecita.
Come vedremo in seguito, il condòmino non dovrà nemmeno adottare una segnaletica che avvisi della presenza delle telecamere, in quanto si tratta di ripresa ad uso domestico.
Al contrario va da sé che, per quanto detto sopra, laddove l'angolo di visuale dovesse sconfinare nella ripresa (e sorveglianza) di spazi che non appartengono al condòmino, bensì a tutti i condòmini perché spazi comuni, si dovrà intervenire intimando al condòmino di ridurre l'angolo di visuale alla sua sola proprietà privata.
Ma come, dirà il lettore, ci è stato appena detto che la Cassazione penale ha avallato questo tipo di installazione e ora leggiamo il contrario? Attenzione: la Cassazione penale ha esaminato il caso in cui il condòmino si era 'surrogato' nel potere dell'Assemblea ed aveva installato sì telecamere, ma le aveva collocate direttamente NEGLI SPAZI COMUNI, non nella sua proprietà privata con angolo di visuale rivolto agli spazi comuni.
Chi deve allora intimare al condòmino la riduzione dell'angolo di visuale delle sue telecamere allo spazio relativo alla sua proprietà? Sarà l'Amministratore a diffidare il condòmino?
Si ritiene che, poiché il condòmino riprende spazi comuni, ma la violazione viene integrata perché riprende altre persone senza averne il sostegno giuridico necessario, la diffida dovrebbe essere inviata dalle persone riprese - quindi dai condòmini. Infatti, l'Amministratore è il tutore delle parti comuni, non delle persone fisiche dei condòmini.
In seguito alla riforma del Condominio (Legge 11 dicembre 2012, n. 220), è stato introdotto l'art. 1122 ter c.c., a mente del quale « Le deliberazioni concernenti l'installazione sulle parti comuni dell'edificio di impianti volti a consentire la videosorveglianza su di esse sono approvate dall'assemblea con la maggioranza di cui al secondo comma dell'articolo 1136 [maggioranza degli intervenuti + 1/3 del valore dell'edificio, cioè dei millesimi totali]».
Ovviamente, per quanto detto sopra, la norma dà per scontato che la videosorveglianza avvenga su parti comuni.
Alcuni commentatori hanno lamentato che, ritenendo la videosorveglianza un'innovazione, la maggioranza per approvare l'installazione avrebbe dovuto essere quella indicata all'art. 1120 c.c. (che rinvia all'art. 1136, 5° comma, c.c., cioè maggioranza degli intervenuti + 2/3 del valore dell'edificio, ovvero dei millesimi totali).
Non si è d'accordo con questa posizione, atteso che, come ci insegna la giurisprudenza ormai da tempo, l'innovazione non è la semplice modifica, ma la modifica trasformativa, cioè quel cambiamento che muta l'identità del bene su cui incide, o nella sostanza (ad esempio, diminuendo o aumentando lo spazio utilizzabile) o nella destinazione (il cortile che diventa parcheggio).
La semplice presenza di telecamere il cui angolo di visuale riprenda il portone di accesso al Condominio o il cancello di accesso ai boxes - auto non muta l'identità o la destinazione del portone o del cancello, che continuano a svolgere la loro funzione.
Perché il Condominio installa un sistema di videosorveglianza?
Ebbene, generalmente, il Condominio che decide di compiere questo passo è stato vittima, in modo sistematico e /o ripetuto, di 'attacchi' rivolti ai beni comuni: i muri imbrattati di scritte con vernice spray, il danneggiamento del cancello o del portone di accesso, a scopo di mero vandalismo o di intrusione e furto negli appartamenti privati e così via.
Si potrebbe anche trattare di attacchi diretti alle persone fisiche dei condòmini; ad esempio, quando il Condominio sia collocato in zona malfamata, oppure svantaggiata per un'illuminazione pubblica poco presente o ancora perché architettonicamente 'nascosto' o appartato alla pubblica via o al pubblico passaggio, situazioni tutte che favoriscono il compimento di atti criminali complici le caratteristiche del luogo.
Perché la videosorveglianza impatta sulla privacy. Il termine inglese 'privacy', così come la nostra parola 'privato', deriva la sua origine dal concetto di keep out, di negare l'accesso a qualcuno: la tutela della riservatezza viene quindi vista, sin dalla nascita di questa branca dell'ordinamento giuridico, come diritto del soggetto di negare l'accesso agli altri ai propri dati ed alla propria vita privata.
L'immagine della persona fisica è considerata, da un punto di vista di legislazione in materia di privacy, come 'dato personale'.
È allora evidente che videosorvegliare una persona, cioè riprenderla ogni volta che accede ed entra nell'angolo di visuale delle telecamere, potendone così vedere e registrare gli spostamenti, le abitudini, i contatti con altre persone ed anche aspetti molto delicati della vita di relazione, ha un forte impatto sul dato personale oggetto di videosorveglianza.
È altrettanto evidente la ragione che impone che la videosorveglianza sia dichiarata, cioè che venga affissa una segnaletica che avvisa la persona che sta entrando in un'area dove i suoi comportamenti e le sue azioni saranno viste e registrate, da chi e per quale scopo, così da poter decidere se non accedere a quell'area e da essere consapevole del proprio comportamento - a meno che si tratti di videosorveglianza ad uso domestico (condòmino che installa telecamere sulla sua proprietà privata), laddove la segnaletica non è obbligatoria.
Per l'ambito che qui ci interessa, ovvero la videosorveglianza a scopo di tutela della proprietà privata da atti di vandalismo o da intrusioni illecite a scopo di furto o danneggiamento, è bene comprendere che la detta tutela della proprietà deve cedere dinnanzi alla tutela della persona; ciò significa che non è possibile videosorvegliare un'area per 'controllare' il comportamento di alcuni soggetti o per assumere informazioni su di essi (tranne che si svolga attività di investigazione privata, ma non è il caso del Condominio, ovviamente), perché una siffatta sorveglianza integrerebbe gli estremi del reato di interferenza illecita nella vita privata di cui all'art. 615 bis c.p. citato sopra.
Inoltre, proprio la norma penale recita « Chiunque, […] si procura indebitamente notizie o immagini», lasciando intendere che esista un 'procurarsi' lecito, ma detto 'procurarsi debitamente' sarà riservato alle Pubbliche Autorità, alle forze dell'ordine ed a coloro che hanno ottenuto un'autorizzazione alla sorveglianza della sfera privata della persona per ragioni di ordine superiore e di tutela della collettività o che svolgono tale attività sotto il controllo delle autorità preposte - pensiamo ancora agli investigatori privati.
Il Condominio, quindi, lungi dal trasformarsi in un Grande Fratello - sia quello di orwelliana memoria, sia quello più prosaico del piccolo schermo - dovrà porre particolare attenzione sia al PERCHÉ sorveglia, sia al COME sorveglia, tenendo presente che l'oggetto delle riprese è la vita delle persone, sia dei condòmini che di tutti coloro che accedono all'edificio su invito degli stessi.
La privacy in Condominio: alcune premesse per capire meglio. La privacy risulta quasi unanimemente indigesta quando la si propone nei vari corsi ed incontri di approfondimento o quando se ne deve parlare ad un uditorio non composto di addetti ai lavori.
Ciò deriva dalla caratteristica della materia, che tende a sfuggire da classificazioni giuridiche statiche - è diritto sostanziale? è diritto processuale? tratta di diritti o di persone? - per rientrare nelle competenze di varie discipline.
Un po' come chi opera nel settore della responsabilità amministrativa degli enti (D. Lgs. 231/2001), anche chi 'lavora' nella privacy deve avere varie caratteristiche: non è importante avere dimestichezza solamente con il diritto, ma avere anche nozioni di gestione del rischio e di informatica e cybersecurity (sicurezza informatica) e, se non si possiedono queste doti, prudenza (e a volte deontologia) vorrebbe che si ottenesse il supporto e la collaborazione di chi è più esperto di noi.
Fatta questa premessa, se si vuole accedere al mondo privacy se ne deve capire la struttura.
Cerchiamo, allora, di spiegare brevemente di cosa parliamo quando parliamo di privacy.
La privacy si regge su alcuni punti chiave, che indicheremo e spiegheremo poi brevemente: esiste un Dato Personale che è di proprietà dell'Interessato, ovvero il soggetto a cui il dato è riferito.
Per Interessato si intende, in ambito privacy, unicamente la persona fisica: NON società o enti o amministrazioni, solamente la persona fisica.
Il Dato Personale può essere trattato, cioè utilizzato (nei vari modi che vedremo) anche da soggetti diversi dall'Interessato; essi sono il Titolare (in inglese "Controller ") ed i suoi Incaricati, cioè persone che lavorano per lui e, laddove il Titolare non voglia o non possa eseguire il trattamento 'personalmente', il Responsabile (in inglese "Processor ").
Si ponga attenzione a non dare alle parole 'Titolare' e 'Responsabile' la medesima accezione ed il significato che la nostra lingua (ed il nostro diritto) attribuirebbe ad esse: infatti, dire che 'sono titolare di una penna' significa affermare che la penna È MIA, la posso usare come mi pare, la posso anche distruggere e se la presto o la regalo ad altri o addirittura la perdo, nessuno potrà dirmi nulla.
Il Titolare del trattamento dei Dati Personali, tuttavia, non è il proprietario dei Dati che tratta; non può usarli come vuole, ma solamente per le finalità del trattamento che ha dichiarato all'Interessato; allo stesso modo, non può 'donarli' ad altri o perderli o liberarsene, a meno che non lo abbia reso noto all'Interessato e sempre che costui non si opponga.
Insomma, il Titolare deve fare ciò che ha detto di voler fare, nel modo in cui ha detto di volerlo fare e nel periodo che ha indicato.
Allo stesso modo, il Responsabile non è 'responsabile' se il trattamento va male e causa danni (o è stato fatto senza autorizzazione dell'Interessato o illecitamente): il Responsabile è 'responsabile' solamente per il trattamento che lui stesso ha svolto. Non solo. L'Interessato dovrà comunque sempre agire verso il Titolare, dovendo poi essere questo a chiamare a manleva il Responsabile o agire in regresso verso costui.
Quindi, il 'responsabile' verso l'esterno in caso di problemi del trattamento rimane sempre il Titolare.
Quando il Titolare (e/o il suo Responsabile) trattano i dati dell'Interessato, il trattamento può svolgersi in modalità 'interna', laddove i dati sono oggetto di comunicazione solamente tra Interessato, Titolare, suoi Incaricati e / o Responsabile, oppure anche in modalità 'esterna', quando il Titolare (e/o il Responsabile) inviano i Dati Personali dell'Interessato a soggetti terzi, i quali potrebbero a loro volta eseguire un trattamento sui dati - divenendo così Titolari di quel trattamento.
Oltre ai Dati Personali c.d. 'comuni', il Titolare potrebbe dover trattare o avere interesse a trattare anche i c.d. Dati Particolari dell'Interessato: si tratta di dati che riguardano la salute dell'Interessato, la sua vita sessuale, l'orientamento politico, sindacale e religioso o di pensiero, l'origine etnica e razziale dell'Interessato.
Ebbene, come si traduce tutto questo nell'ambito condominiale? Il Garante per la protezione dei dati personali (che chiameremo il Garante Privacy), cioè l'Autorità amministrativa indipendente deputata al controllo ed al monitoraggio del trattamento dei dati personali eseguito sul territorio italiano o da soggetti sottoposti alla nostra legge, nonché nei casi previsti all'azione sanzionatoria nei confronti dei trasgressori, ha cercato, con due Provvedimenti successivi, di venire incontro alle esigenze del Condominio tentando di calare l'impianto privacy nella complessa e delicata vita condominiale.
Così, con il Provvedimento del 18 maggio 2006, rieditato poi in occasione della riforma del Condominio, nel Provvedimento 10 ottobre 2013, divenuto poi noto come 'il Vademecum del Palazzo', il Garante ha spiegato come 'adattare' il mondo condominiale al sistema privacy.
Nel Condominio, i condòmini sono al contempo Interessati e Titolari: infatti, il Garante afferma che il Titolare del trattamento eseguito sui Dati Personali (ed eventuali Dati Particolari) dei condòmini e dei terzi - persone fisiche che vengano in contatto con il Condominio (portiere, conduttore appartamento comune, danneggiato, fornitore laddove si tratti di libero professionista o ditta individuale) è la compagine condominiale in quanto tale.
L'Amministratore è il legale rappresentante del Titolare (Condominio); il Garante sostiene che possa essere nominato Responsabile del trattamento, in quanto esegue determinati trattamenti per conto del Titolare (ad esempio, contabilità, gestione rapporto di lavoro con portiere, gestione contratto di locazione, gestione sinistri, etc.).
L'Amministratore, sia quale legale rappresentante del Titolare che quale Responsabile, esegue trattamenti che prevedono la comunicazione dei Dati Personali a terzi.
Sotto la vigenza della Direttiva (CE) 1995/46, il primo testo legislativo europeo sulla privacy, dal quale è nata la Legge 31 dicembre 1996, n. 675, cui ha fatto seguito il c.d. Codice della Privacy (D. Lgs. 30 giugno 2003, n. 196), l'intero trattamento dei Dati Personali si sorreggeva sul Consenso.
L'Interessato cioè dando il proprio Consenso eliminava ogni ostacolo a che il Titolare (e l'eventuale Responsabile) potessero trattare i Dati Personali dell'Interessato medesimo.
Infatti, l'art. 23 del Codice Privacy affermava che il Consenso fosse il PRESUPPOSTO del trattamento lecito; l'art. 24 permetteva poi di trattare i dati SENZA CONSENSO quando il trattamento fosse imposto da un OBBLIGO DI LEGGE (stabilito in Leggi, Regolamenti o in norme di derivazione comunitaria) oppure da un CONTRATTO.
Tuttavia, il Consenso rimaneva necessario laddove si dovessero trattare Dati Particolari (all'epoca erano chiamati Dati Sensibili) o Giudiziari: attenzione, questi ultimi non sono dati relativi ai procedimenti giudiziali, civili, penali, amministrativi o presso altro Giudice, bensì quei dati che si riferiscono alle condanne penali ed alle misure di sicurezza applicate all'Interessato.
Sorge quindi spontanea la domanda: ma perché, dal 1996 al 2018 - ed ahimè, in alcuni casi, tutt'ora - continuiamo a 'dare il Consenso' al trattamento dei dati a Titolari che eseguono trattamenti per obbligo di legge o per contratto? Banche, Avvocati, Medici, Assicurazioni, Commercialisti … ed il Condominio.
Non solo. Il Consenso è REVOCABILE: ciò significa che, in qualsiasi momento e senza nessuna giustificazione, l'Interessato può comunicare al Titolare che non intende più conferire il Consenso al trattamento dei suoi Dati Personali. Per effetto di ciò, il Titolare deve immediatamente cessare di utilizzare i Dati Personali dell'Interessato.
Immaginate, come è accaduto sino ad oggi, che l'Interessato revochi il Consenso ad un Titolare che esegue un trattamento dei Dati perché è obbligato dalla legge o dal contratto firmato con l'Interessato stesso; ci troveremmo nella paradossale situazione in cui il Titolare deve dire all'Interessato che non può continuare a trattare i suoi dati a causa della revoca del Consenso, così mandando a monte il rapporto con l'Interessato.
Applichiamo tutto questo ad un Condominio: se il Sig. Rossi revoca il Consenso al trattamento dei suoi dati, il povero Amministratore che farà? Farà la contabilità per tutti, tranne Rossi?
Fortunatamente, il GDPR è arrivato a mettere chiarezza: … oppure no?
La Data Protection in Condominio: cosa è cambiato con il GDPR. Il GDPR ha innanzitutto chiarito meglio - non vogliamo dire 'introdotto', per quanto diremo appresso - il concetto di 'Base Giuridica'.
Ciò significa che chiunque intenda o sia tenuto a trattare Dati Personali è altresì tenuto, PRIMA DI AVVIARE IL TRATTAMENTO, a comprendere quale sia la FINALITÀ del suo trattamento e, soprattutto, se esista e quale sia la Base Giuridica.
Il concetto di Base Giuridica non è nuovo nel mondo della privacy, tuttavia l'impianto pre - GDPR era alquanto vago e l'onnipresente Consenso velava la presenza di altre Basi Giuridiche applicabili.
Oggi, l'art. 6 GDPR ci indica 6 Basi Giuridiche differenti: per quello che ci interessa, tra le Basi Giuridiche elencate vi sono l'Obbligo di Legge e il Contratto (incluse le misure precontrattuali).
Il Consenso rimane come Base Giuridica, ma è relegato a 'fondare' i trattamenti con finalità di marketing diretto o che non possano trovare altre Basi tra quelle indicate dall'art. 6 GDPR.
Cosa significa che un trattamento ha per Base Giuridica l'Obbligo di Legge o il Contratto?
Significa che, se il Titolare è chiamato dalla legge ad eseguire un trattamento, egli non dovrà chiedere il Consenso all'Interessato, ma dovrà anzi comunicargli (tramite l'Informativa Privacy di cui agli artt. 13 e 14 GDPR) che il suo trattamento è basato sull'Obbligo di Legge e che quindi l'Interessato è tenuto a fornire i suoi Dati Personali.
Lo stesso dicasi per il Contratto: l'Interessato è tenuto a fornire i suoi Dati Personali per eseguire le obbligazioni contrattuali - o per accedere a misure precontrattuali, pensiamo, ad esempio, al caso del preventivo, per elaborare il quale il Titolare abbia necessità di trattare alcuni Dati Personali per formulare la sua offerta.
Questo per i Dati Personali 'comuni': quanto ai Dati Particolari, il GDPR ha disegnato un sistema alquanto rigido, che si basa su una regola generale - i Dati Particolari non possono essere trattati - ed una serie di ECCEZIONI (art. 9 (2), cioè paragrafo n. 2, lett. dalla a) alla j), GDPR ) che permettono al Titolare di trattare legittimamente i Dati Particolari.
Ricordiamo che i Dati Particolari sono quelli relativi alla salute, i dati genetici e biometrici che identifichino in modo inequivocabile l'Interessato, i dati che rivelino l'origine razziale o etnica dell'Interessato, i dati sulle opinioni politiche e le convinzioni religiose o filosofiche, l'appartenenza sindacale ed infine i dati sulla vita o l'orientamento sessuali dell'Interessato.
Nel caso del Condominio, la struttura di cui agli artt. 6 e 9 GDPR comporta non poche frizioni: infatti, nel caso dell'eliminazione delle barriere architettoniche, laddove il Condominio - Titolare deve trattare il dato - salute relativo al condòmino che richiede l'abbattimento, non sussisterebbe una valida eccezione ai sensi dell'art. 9 (2) GDPR.
Mentre invece, nel caso di trattamento del dato - salute del danneggiato da beni o servizi comuni del Condominio - Titolare, laddove questi deve trattare il dato per denunziare il sinistro all'assicurazione ed eventualmente difendersi dinnanzi all'Autorità Giudiziaria, l'eccezione è quella prevista dall'art. 9 (2), lett. f) GDPR (difesa o esercizio di un diritto).
È lecita la telecamera in condominio anche senza l'unanimità dei condomini
Ad avviso di chi scrive, sarebbe opportuno che il Board (il 'Super Garante europeo') adottasse un'interpretazione estensiva delle Basi Giuridiche, in combinato disposto con le Eccezioni art. 9 GDPR, in modo tale da affermare che almeno i Titolari che trattano i Dati Personali 'comuni' in virtù di un Obbligo di Legge o di Contratto (nonché per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di un pubblico potere) siano autorizzati a trattare anche i Dati Particolari del medesimo Interessato, pur se non in presenza di un'Eccezione art. 9 GDPR.
Oltre alle Basi Giuridiche, la novità di grande impatto recata dal GDPR è stata l'imposizione della famigerata accountability, che è stata resa in italiano come 'responsabilizzazione'.
Cerchiamo di capire meglio. La parola 'responsabilità' deriva dalle medesime radici di 'responso', 'risposta' e 'rispondere': ci dà insomma l'idea di qualcuno che risponde ad un appello, dietro sollecitazione altrui.
Ed è qui l'errore: la rivoluzione copernicana portata dal GDPR ha fatto sì che i Titolari e Responsabili del trattamento non possano più adagiarsi su Misure Minime di Sicurezza, disciplinari, verifiche preliminari o autorizzazioni generali calate dall'alto dalle Autorità garanti del proprio Stato di appartenenza; non è più possibile, quindi, adottare misure standard o attendere che qualcuno ci risponda - per l'appunto - dicendo che possiamo eseguire quel trattamento.
Sono invece il Titolare ed il Responsabile a dover compiere una 'anamnesi' approfondita della propria attività e del suo impatto sul trattamento dei dati, che non sarà uguale all'attività di nessun altro Titolare o Responsabile, benchè simili per contesto e trattamenti.
Nell'ambito condominiale, significa che non sarà possibile che un Amministratore abbia un impianto privacy esattamente uguale a quello di un altro, perché i due professionisti sono diversi: facciamo un esempio pratico.
L'Amministratore - condòmino, anch'esso soggetto agli adempimenti GDPR, verosimilmente amministrerà il Condominio dalla propria abitazione, con mezzi ridotti e spazi non esclusivamente destinati alla gestione del Condominio, bensì anche della propria vita privata - eventualmente insieme ad altre persone (conviventi e familiari).
È evidente che gli accorgimenti e le misure che l'Amministratore - condòmino dovrà adottare per essere in regola con il GDPR saranno diversi da quelli che adotterà un Amministratore professionista che abbia in gestione un solo Condominio e che svolga l'attività presso locali adibiti esclusivamente all'uso professionale.
Non solo. Accountability significa anche che il Titolare (e il Responsabile) non sarà 'protetto' dall'adozione di misure minime di sicurezza o dal fatto che abbia pedissequamente implementato Linee - guida o Codici di Condotta rilasciati dalla propria associazione rappresentativa di appartenenza, perché, in caso di ispezione o reclamo, verranno valutate le misure adottate in relazione al rischio che il trattamento di QUEL Titolare (o di QUEL Responsabile) comportano per i Dati Personali dell'Interessato.
Quindi, ogni Titolare e Responsabile fanno storia a sé, devono avere il coraggio di scegliere in autonomia le modalità e le misure organizzative e tecniche dei propri trattamenti ed affrontarne le conseguenze.
Altro nodo recato dal GDPR: l'art. 28 GDPR, che disciplina la figura del Responsabile del trattamento, recita: «Qualora un trattamento DEBBA ESSERE EFFETTUATO per conto del Titolare», così aprendo il dibattito su alcuni temi di non poco momento.
Ma se esiste un trattamento che DEVE essere eseguito per conto del Titolare, ciò significa che esisterà quantomeno una norma che imponga al Titolare di non eseguire il trattamento, ma di affidarsi ad altro soggetto - il Responsabile?
E allora ciò significa che esistono trattamenti che il Titolare PUÒ' DECIDERE DI NON ESEGUIRE personalmente, ma affidare ad altri? Quindi, in caso di trattamento che poteva essere eseguito dal Titolare, laddove questi scelga di affidarlo ad altro soggetto, siamo o non siamo nell'ambito di applicazione dell'art. 28 GDPR?
A questi interrogativi, per ora, non c'è risposta: quantomeno, per quanto concerne il rapporto tra Amministratore e Condominio, la risposta dovrebbe essere univoca - si usa il condizionale perché ci sono ancora voci discordanti ed il Garante Privacy non ha avuto modo di pronunciarsi al riguardo.
Si ricorderà che, con il Vademecum del palazzo, citato sopra, il Garante Privacy ha affermato che l'Assemblea può nominare l'Amministratore Responsabile: ebbene, in virtù del fatto che, a mente dell'art. 28 GDPR appena esaminato, i trattamenti che l'Amministratore esegue per conto del Condominio rientrano appieno nella definizione del trattamento che DEVE essere eseguito per conto del Titolare e poiché l'art. 28 (3) GDPR impone che il Responsabile venga formalmente nominato con atto o contratto da parte del Titolare (il cui contenuto è poi indicato al medesimo paragrafo 3, lett. a) - h), allora la via parrebbe obbligata nel senso della nomina formale da parte del Condominio (Assemblea), con atto o contratto, dell'Amministratore come Responsabile del trattamento.
Ciò significherebbe che l'Assemblea non ha più una scelta in ordine al se nominare o meno l'Amministratore Responsabile, poiché costui lo dovrebbe essere in virtù dell'art. 28 GDPR.
Altrettanto, per tutto quanto detto sopra, il Condominio quale Titolare è OBBLIGATO ad adeguarsi alle previsioni del GDPR, pertanto non è possibile che l'Assemblea rifiuti di deliberare l'adeguamento o di ratificare la spesa sopportata dall'Amministratore per predisporre quanto necessario.
Il Garante in aiuto del Condominio: il Vademecum del Palazzo e il Provvedimento 08 aprile 2010 sulla videosorveglianza
Con il Vademecum del palazzo, il Garante Privacy ha tentato di venire in aiuto dei Condomini che intendessero installare un sistema di videosorveglianza sulle parti comuni; peraltro, nel periodo ante riforma, era molto vivo il dibattito sulla maggioranza da adottare per la votazione dell'installazione della videosorveglianza, tanto che il Garante Privacy invitò il Legislatore ad adottare una posizione chiara sul punto.
Infatti, nel Provvedimento sulla Videosorveglianza dell'8 aprile 2010, il Garante Privacy osservava:
«6.2.2.2. Riprese nelle aree condominiali comuni Qualora i trattamenti siano effettuati dal condominio (anche per il tramite della relativa amministrazione), si evidenzia che tale specifica ipotesi è stata recentemente oggetto di una segnalazione da parte del Garante al Governo ed al Parlamento; ciò in relazione all'assenza di una puntuale disciplina che permetta di risolvere alcuni problemi applicativi evidenziati nell'esperienza di questi ultimi anni.
Non è infatti chiaro se l'installazione di sistemi di videosorveglianza possa essere effettuata in base alla sola volontà dei comproprietari, o se rilevi anche la qualità di conduttori.
Non è parimenti chiaro quale sia il numero di voti necessario per la deliberazione condominiale in materia (se occorra cioè l'unanimità ovvero una determinata maggioranza) ».
Come visto sopra, la risposta del Legislatore è stata data con l'introduzione dell'art. 1122 ter c.c. ed è evidente che i conduttori non saranno ammissibili al voto sull'installazione.
Vediamo allora la videosorveglianza come disegnata dal Vademecum del palazzo il quale rinvia anche al Provvedimento dell'8 aprile 2010.
Dopo aver specificato che l'installazione ad opera del singolo su spazi di SUA proprietà non rileva ai fini dell'impianto privacy, laddove non sia svolta tramite sistemi che consentano la diffusione a terzi delle immagini, il Garante Privacy specifica che:
«Nel caso in cui il sistema di videosorveglianza sia installato dal condominio per controllare le aree comuni, devono essere adottate in particolare tutte le misure e le precauzioni previste dal Codice della privacy e dal provvedimento generale del Garante in tema di videosorveglianza [Provvedimento 08 aprile 2010, N.d.r.]. Tra gli obblighi che valgono anche in ambito condominiale vi è quello di segnalare le telecamere con appositi cartelli, eventualmente avvalendosi del modello predisposto dal Garante.
Le registrazioni possono essere conservate per un periodo limitato tendenzialmente non superiore alle 24-48 ore, anche in relazione a specifiche esigenze come alla chiusura di esercizi e uffici che hanno sede nel condominio o a periodi di festività.
Per tempi di conservazione superiori ai sette giorni è comunque necessario presentare una verifica preliminare al Garante.
Le telecamere devono riprendere solo le aree comuni da controllare (accessi, garage…), possibilmente evitando la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (strade, edifici, esercizi commerciali ecc.).
I dati raccolti (riprese, immagini) devono essere protetti con idonee e preventive misure di sicurezza che ne consentano l'accesso alle sole persone autorizzate (titolare, responsabile o incaricato del trattamento).»
A livello di accorgimenti tecnici, si rinvia al Provvedimento 08 aprile 2010, fermo rimanendo che alcune modalità potranno essere riviste in seguito all'adozione delle Linee - guida di cui parliamo al successivo paragrafo.
Le Guidelines n. 3/2019 sulla Videosorveglianza dell'EDPB. Il 10 luglio 2019 il Board (il 'Super Garante europeo) ha adottato le Linee - guida sulla videosorveglianza (n. 03/2019): le Linee - guida sono state aperte alla consultazione pubblica dal 12 luglio al 09 settembre 2019. Attualmente, stiamo attendendo la pubblicazione del testo definitivo adottato dal Board.
Ciò che commenteremo qui di seguito è quindi la bozza, ma, a fronte dell'esperienza delle precedenti Linee - guida, generalmente gli emendamenti sono poco diffusi.
Perché le Linee - guida impattano sulla videosorveglianza condominiale?
Innanzitutto, perché ribadiscono a più riprese come la videosorveglianza debba costituire l'extremaratio: è quindi necessario, da parte del Condominio che intenda installare la videosorveglianza, eseguire una puntuale e documentata istruttoria, dimostrando le motivazioni che lo hanno portato a deliberare l'adozione di un mezzo così invasivo per la tutela della riservatezza dei condòmini e dei terzi che accedono al condominio.
Quindi si suggerisce a chi sta per deliberare l'installazione ex art. 1122 ter c.c. di predisporre un fascicolo recante denunzie di furto o aggressione, materiale fotografico degli atti di vandalismo subìti dai beni condominiali, fatture o altri documenti che dimostrino le spese occorse per porre rimedio e l'entità del danno recato dagli atti di vandalismo, dai furti o dalle aggressioni.
Il Condominio dovrà rendere nota la finalità per cui esegue la videosorveglianza e dichiarare la Base Giuridica di essa: in questo, il Board ci è venuto in aiuto, in quanto al Paragrafo 19 e 20 delle Linee - guida afferma che il trattamento la cui finalità sia la PROTEZIONE DELLA PROPRIETA' da FURTI, INTRUSIONI o VANDALISMO ha come Base Giuridica il Legittimo Interesse.
Base Giuridica temibile, il Legittimo Interesse, posto che il Titolare dovrebbe eseguire un bilanciamento tra il proprio legittimo interesse ed i diritti e libertà delle persone fisiche e, laddove sussista un diritto di rango superiore della persona a non essere ripresa, il Titolare deve alternativamente o trovare altra Base Giuridica oppure astenersi o cessare il trattamento di videosorveglianza.
Molto interessanti poi alcuni passaggi che gettano luce su aspetti 'delicati' del rapporto tra Condominio, Amministratore e Impresa di videosorveglianza.
Per esempio, il Paragrafo 50 delle Linee - guida afferma che la Comunicazione dei dati raccolti tramite videosorveglianza sia un TRATTAMENTO A SÉ STANTE, che deve avere la SUA Base Giuridica.
Questo ci fa comprendere che quelle Informative Privacy omnia, dove si dice tutto e niente e si riportano pedissequamente i trattamenti come indicati nell'art. 4 GDPR, che ne dà la definizione (registrazione, conservazione, uso, trasmissione, etc.), non vadano bene e siano potenzialmente pericolose in caso di ispezione o reclamo, perché NON STIAMO DICENDO NULLA ALL'INTERESSATO di quello che egli deve sapere, stiamo solamente alzando una cortina di fumo.
Ancora: il Paragrafo 54 delle Linee - guida prevede che il Terzo che riceve i dati raccolti con la videosorveglianza DEVE individuare la Base Giuridica del SUO trattamento (= la ricezione dei dati); il Paragrafo 56 continua spiegando che la trasmissione dei dati raccolti tramite videosorveglianza alle FORZE DI POLIZIA è un trattamento la cui Base Giuridica è l'OBBLIGO LEGALE.
Chiariamo alcuni aspetti relativi ai ruoli dei soggetti privacy nell'ambito videosorveglianza.
Il Titolare del trattamento è il Condominio. Si tratta del classico esempio di trattamento che DEVE essere eseguito per conto del Titolare: chi lo esegue, però, divenendo così il Responsabile del trattamento, NON È L'AMMINISTRATORE, bensì l'impresa di videosorveglianza. È pertanto errato far nominare l'Amministratore quale Responsabile del trattamento, come purtroppo è accaduto sino ad oggi.
Pertanto, tra Condominio ed impresa di videosorveglianza dovrà intercorrere un contratto o un atto giuridico, ex art. 28 (3) GDPR, avente il contenuto minimo previsto dalla norma citata.
Inoltre, qualora si ritenga che la videosorveglianza sia un trattamento soggetto sia all'esecuzione della DPIA (Data Protection Impact Assessment, Valutazione d'Impatto sulla Protezione dei Dati) e / o alla nomina di un DPO (Data Protection Officer, Responsabile della Protezione dei Dati), non è corretto attribuire questi obblighi al Condominio - Titolare, perché non è questi che esegue il monitoraggio regolare e sistematico degli interessati su larga scala, bensì l'impresa di videosorveglianza.
La videosorveglianza potrebbe rientrare tra i trattamenti che il Provvedimento del Garante Privacy n. 467/2018 ha indicato come soggetti obbligatoriamente all'esecuzione della DPIA.
Le Linee - guida sulla DPIA e il DPO adottate dal Board nel 2018 confermano inoltre che è lecito e possibile che l'obbligo di DPIA o nomina DPO sia presente solamente per il Titolare o per il Responsabile e non per entrambi.
Pertanto, il Condominio - Titolare che debba assegnare l'appalto all'impresa di videosorveglianza, a fronte degli obblighi imposti al Titolare sulla protezione dei dati, dovrà chiedere all'impresa di dichiarare se ha svolto DPIA e nominato il DPO e, in difetto, la motivazione di tale scelta.
Altro punctum dolens: l'ACCESSO ALLE RIPRESE da parte dei condòmini. Su questo particolare aspetto, il Paragrafo 91 e ss delle Linee - guida prevede che l'Interessato - ovvero il soggetto ripreso - abbia diritto di accedere alle riprese DI S É STESSO, NON DI ALTRE PERSONE.
In questo caso, laddove cioè l'Interessato voglia accedere alle riprese di altri soggetti (ad esempio, coloro che si sono introdotti furtivamente nel palazzo ed hanno depredato la sua abitazione) egli dovrà chiedere al Responsabile, cioè all'impresa di videosorveglianza, di trasmettere le immagini all'ufficio di polizia giudiziaria (Carabinieri, Commissariato, etc.) che sta curando la sua denunzia - querela - come peraltro accadeva tutt'oggi.
Nelle Linee - guida, infine, il Board riporta il fac - simile della nuova segnaletica da apporre alle aree videosorvegliate: in ossequio al nuovo impianto, sarà necessario indicare nel cartello:
l'identità del Titolare; nel nostro caso, si indicherà il Condominio, ma non dovrebbe essere necessario indicare nominativo e recapiti dell'Amministratore in carica, posto che già l'art. 1129 c.c., 5° comma, dispone l'affissione di dette informazioni nei luoghi di maggior accesso, per cui chiunque potrà entrare e visionare l'identità dell'Amministratore; per essere ancora più prudenti e visto lo spazio limitato sulla segnaletica da affiggere, si potrà invitare a prendere visione dei dati dell'Amministratore presso l'androne o il luogo ove sono affissi o custoditi;
il nominativo ed i contatti del DPO, se nominato: ovviamente, si tratterà del DPO dell'impresa di videosorveglianza;
le finalità della videosorveglianza (ad es. protezione della proprietà comune da furti, intrusioni e vandalismo) e la Base Giuridica di essa (il Legittimo Interesse del Titolare - Condominio, come indicato dal Board);
se sussista o meno trasferimento dei dati ripresi all'estero, con ciò intendendosi verso Paesi extra - UE e non dotati di Decisioni di Adeguatezza;
i diritti dell'Interessato, in particolare l'accesso e la cancellazione dei dati, rinviando all'Informativa Privacy del Condominio; il Board, nella segnaletica predisposta, invita a 'linkare' l'Informativa Privacy tramite QR-code - ma ovviamente solo qualora il Condominio o l'Amministratore abbiano un sito dove poterla pubblicare - oppure a inserire i contatti telefonici o e - mail ai quali l'Interessato possa richiederla.
Ci riserviamo di scrivere ancora dell'argomento non appena le Linee - guida saranno pubblicate.
