FIMAA VARESE

Federazione Italiana Mediatori Agenti d'Affari della provincia di Varese

  1. Home
  2. News

Tutela della privacy in condominio: ma l'amministratore di condominio deve nominare il Responsabile della Protezione dei Dati?

 martedì 16 ottobre 2018 | in NEWS

Chi è, cosa fa e quando nominare il Responsabile della Protezione dei Dati

Il Regolamento europeo in materia di trattamento dei dati personali n. 679/2016 (c.d. GDPR) entrato in vigore lo scorso 28 maggio è stata introdotta la nuova (e curiosa) figura del DPO, Data Protection Officer. Traducibile in italiano come Responsabile della Protezione dei Dati (RDP), il DPO/RDP è il soggetto che, designato dal titolare o dal responsabile del trattamento, svolge funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del GDPR (in tal senso si esprime l'art. 37 del Regolamento).
Preliminarmente è necessario chiarire che il Responsabile della Protezione dei dati è soggetto ben diverso dal Responsabile del trattamento.
Quest'ultimo è definito come «la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento» (art. 4 GDPR).
Detto in altre parole, se il titolare (ovvero - nel nostro caso - il condominio che, nell'ambito della sua attività, tratta i dati degli interessati, cioè dei condomini) effettua dei trattamenti di dati, deve materialmente incaricare un soggetto che effettui tali operazioni.
La scelta del responsabile deve ricadere su profili «che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato» (art. 4 GDPR).
Il contratto che si viene a stipulare con il Responsabile prevede che tale soggetto:
  • tratti i dati personali soltanto su istruzione documentata del titolare del trattamento
  • garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • adotti tutte le idonee misure di sicurezza per la corretta protezione dei dati oggetto di trattamento;
  • assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato;
  • su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento.

Nel mondo condominiale, il titolare è indubbiamente individuato nell'ente condominio, quale soggetto aggregante la volontà condominiale che determina finalità e mezzi del trattamento.
Il ruolo di responsabile non può che essere attribuito all'Amministratore, colui che concretamente ed efficacemente - tenuto conto delle indicazioni provenienti dal titolare - tratta, cioè conosce ed utilizza, i dati dei condòmini.
In ordine alla soggezione dell'Amministratore/Responsabile rispetto al Condominio/Titolare, e a conferma della stessa, basti citare la previsione secondo cui l'assemblea può richiedere all'Amministratore di attivare un sito web ove pubblicare informazioni e dati sulla gestione comune, ma nei limiti di ciò che la stessa assemblea richiede che venga pubblicato.
Diversamente, il DPO/RDP ha funzioni di supporto e controllo in ordine alla protezione dei dati personali. Non stiamo quindi parlando di una figura operativa (come il responsabile), ma di un esperto che affianchi e supervisioni i sistemi e le procedure adottate per la protezione dei dati.
Sul punto, il TAR Friuli Venezia Giulia (sez. I, sent. 13/09/2018 n. 287) ha ritenuto che il profilo in questione «non riguardi la predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene […] alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo».
Di conseguenza, il DPO/RDP si deve qualificare come un consulente giuridico che sappia operare valutazioni di opportunità, correttezza, efficienza ed efficacia dei trattamenti così come operati nell'ambito dell'organizzazione del titolare, da parte dei responsabili e degli altri soggetti comunque incaricati di curare il trattamento dei dati, anche operando quale "facilitatore" dell'accesso, da parte dell'autorità di controllo (cioè del Garante), ai documenti e alle informazioni necessarie per l'adempimento dei compiti ispettivi o connessi all'esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi che le sono attribuiti.
E qui la domanda: il condominio è tenuto a nominare un DPO/RPD?
L'art. 37 GDPR prevede che la nomina del DPO/RPD sia obbligatoria allorquando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, ovvero quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, ovvero ancora se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e ad alcune tipologie di reati.
Apparentemente né il Condominio né lo studio di Amministrazione condominiale sembrano rientrare nel novero dei soggetti tenuti a nominare un DPO/RPD. In effetti è proprio così. Di certo il condominio non è un soggetto di diritto pubblico, né tratta dati sensibili o relativi a condanne penali dei condòmini.
Qualche dubbio si potrebbe porre in relazione al concetto di monitoraggio regolare e sistematico degli interessati su "larga scala", in relazione agli edifici più grandi. L'Amministratore, infatti, nello svolgimento della sua attività, deve aggiornare con cadenza mensile il registro di contabilità, operando di fatto un monitoraggio costante e regolare su una parte delle attività finanziarie ed economiche dei condòmini amministrati. Nei condomini più grandi, in particolare, il monitoraggio investe un'ampia fetta di interessati che potrebbero (forse, ma solo adottando una scriteriata interpretazione estensiva) ricadere nel concetto di "larga scala".

Quest'ultimo è definito in base alla valutazione operata:

  • sul numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • sul volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • sulla durata, ovvero la persistenza, dell'attività di trattamento;
  • la portata geografica dell'attività di trattamento

Tutto considerato, però, la nomina di un DPO/RPD in condominio è sicuramente da escludere.
La base giuridica del trattamento effettuato è quella del trattamento obbligatorio (come anche indicato dal Garante nel vademecum del 2006).
I dati soggetti a monitoraggio costante sono quelli necessari per l'esercizio dell'attività e l'erogazione del servizio di amministrazione, a prescindere dal numero dei condomini.
Dobbiamo quindi escludere aprioristicamente la necessità di nominare un DPO/RPD in condominio, anche se, a onor del vero, appare necessario e comunque utile individuare - come già indicato in altre riflessioni - un professionista competente sia dell'ambito giuridico che munito di adeguate conoscenze tecniche e informatiche, che supporti le attività di trattamento operate dall'Amministratore/Responsabile, riducendo o addirittura escludendo ipotesi di rischi e di trattamenti non conformi.


Fonte "condominioweb.com"