Quali sono i principali obblighi e adempimenti per le amministrazioni condominio alla luce del Gdpr?
La materia condominiale, innovata con l’entrata in vigore della L. 220/2012 e già largamente definita sugli aspetti della privacy dei condomini nel 2003 dal Codice Privacy (ora riformato dal D.lgs. n.101/2018), deve necessariamente essere adeguata alle nuove disposizioni del GDPR.
Nello specifico, i dati dei condomini (identificati direttamente o indirettamente come persone fisiche tramite nome, cognome, ubicazione, recapiti telefonici ecc.) raccolti in appositi elenchi tenuti dall’amministratore incaricato dagli stessi, devono essere tutelati norma degli artt. 4-5-6-7-9-13-14-24 e 26.
Tale tutela, invece, non si pone se un amministratore gestisce un condominio con dati esclusivamente di società, fondazioni, associazioni o altri enti, in quanto sono escluse da tali obblighi, le persone giuridiche.
Qualsiasi operazione inerente all’amministrazione condominiale come la sistemazione ed organizzazione del registro anagrafe, la redazione del rendiconto e dei verbali d’assemblea nonché la disposizione della tabella millesimale, sono da ritenersi operazioni di “trattamento” non lesive della privacy, se sono pertinenti e non eccedenti la finalità per la quale i dati sono raccolti.
Secondo l’art. 24 del GDPR, dall’entrata in vigore del presente Regolamento, è necessario (oltre che obbligatorio) che l’assemblea dei condomini conferisca al proprio rappresentante legale non solo l’incarico amministrativo e gestionale secondo l’art. 1130 c.c. e ss., ma anche la carica di responsabile del trattamento dati che alcune volte può addirittura combaciare con la figura di titolare.
Questo perché i condomini (nella loro totalità), essendo i soggetti che attuano misure adeguatamente logistiche per garantire la liceità del trattamento secondo le disposizioni del GDPR, nominando un amministratore che è loro rappresentante legale, assume il doppio ruolo di titolare/responsabile trattamento dati.
In questi casi, possono essere nominati (per facilitare le operazioni di amministrazione) anche degli incaricati che avranno il compito di curare, ad esempio, i dati relativi alla gestione trasparente del condominio come la videosorveglianza (attività da svolgere previo consenso di tutti i condomini), il sito e la bacheca condominiale.
Importantissimo ai fini amministrativi e privatistici è la dimostrazione da parte del titolare e del responsabile del trattamento, di essere in grado di adottare delle misure protettive dei dati personali come, ad esempio, la raccolta del consenso degli interessati (art.9 GDPR) qualora dovessero essere trattati dei dati che esulano dalla finalità per i quali sono raccolti e che quindi non sono previsti da un obbligo di legge (come l’origine razziale, le opinioni politiche, l’appartenenza sindacale o l’orientamento sessuale).
Altro aspetto fondamentale ed innovativo a livello pratico è l’informativa da consegnare ad ogni condomino/interessato (art. 13-14 del GDPR); tale documento deve essere fornito all’interessato all’inizio del trattamento e deve contenere: le finalità, la natura, l’ambito di diffusione ed il periodo di detenzione dei dati.
Ci si chiede, infine, se il condominio deve materialmente incaricare un soggetto che svolga funzioni di supporto e controllo, nonché consultive, relative all'applicazione del GDPR (la nuova figura di DPO).
Sul punto l’art. 37 del Regolamento è abbastanza chiaro: “la nomina del DPO/RPD sia obbligatoria allorquando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, ovvero quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati”; pertanto, generalmente il condominio non rientra nel novero dei soggetti tenuti a nominare un DPO.