NEWS

GDPR & Condominio: allo studio una norma UNI

Con l’entrata in vigore del GDPR, nel maggio del 2018, il sistema normativo italiano ha subito una vera e propria rivoluzione. L’obiettivo del Regolamento Privacy UE è costruire un sistema di principi volto ad affrontare le nuove sfide della globalizzazione e delle nuove tecnologie alla protezione dei dati personali ed alla loro circolazione all’interno dell’Unione Europea. A tal proposito, il Gruppo di lavoro “Amministratori di condominio” della Commissione Servizi di UNI ha creato un gruppo pre-normativo per approfondire il tema.

La vera novità riguarda l’approccio alla conformità, il cosiddetto principio dell’accountability, ovvero la capacità di un soggetto di “rendere conto” (dimostrare) che i principi e le richieste di legge sono rispettate. Il titolare del trattamento deve essere sempre pronto a dimostrare la sua diligenza e la conformità alle regole.

Secondo le regole internazionali dei compliance programme lo strumento a garanzia della dimostrabilità si traduce in un complesso di documenti e procedure interne (organizzate) che disciplinano i vari aspetti delle consapevolezze e ne gestiscono altresì la verifica di adeguatezza nel tempo.

Al principio della dimostrabilità si aggiunge inoltre un’ulteriore impattante novità: la gestione dei rischi correlata al trattamento dei dati personali, anche questa deve essere dimostrata.

La logica della consapevolezza unita a quella della dimostrabilità e la valutazione dei rischi, hanno condotto gli esperti a considerare il GDPR un vero e proprio “sistema di gestione”.

Con l’entrata in vigore del GDPR, il Gruppo di lavoro “Amministratori di condominio” della Commissione Servizi di UNI, non poteva esimersi dall’approfondire l’argomento, per questo è stato creato un gruppo pre-normativo ad hoc sull’argomento che ha lavorato operativamente per capire come gestire le suddette novità.

L’obiettivo primario che si è dato il gruppo di lavoro è stato quello di migliorare la qualità del servizio di amministrazione condominiale e di tutte le attività ad esso connesse (inclusa la gestione della privacy), attraverso la definizione di regole che siano complementari alla UNI 10801 “Amministratore di Condominio – Requisiti di conoscenza, abilità e competenza”, che definisce in modo organico i requisiti professionali, deontologici e operativi che afferiscono alla figura dell'Amministratore condominiale e immobiliare, nonché attraverso linee guida sulla gestione del “fascicolo del condominio”.

Come primo approccio il Gruppo di Lavoro si è interrogato sulla relazione fra Condominio e privacy, analizzando le varie disposizioni legislative e le diverse “linee di pensiero” sulla natura giuridica del condominio stesso.
Durante le attività in campo sono state analizzate specifiche situazioni di ogni singolo Condominio, in processi standard (tipico approccio gestionale), come ad esempio:

- le relazioni tra i condòmini e gli strumenti di comunicazione presenti (sito internet del Condominio, bacheca informativa)
- la presenza di dipendenti del Condominio (per esempio il custode)
- la presenza di fornitori di servizi (tecnici o professionali, fra i quali anche l’Amministratore di Condominio)
- la presenza di sistemi di videosorveglianza
- la presenza della domotica (ultima frontiera)
- la presenza di parti comuni in locazione

Si è quindi passati ad analizzare la documentazione presente sull’argomento e il lavoro più interessante è risultato sicuramente quello predisposto dal Garante che, a questo proposito, si è espresso, attraverso un “vademecum” (Le regole del Garante per conciliare trasparenza e riservatezza nel condominio (www.garanteprivacy.it) un insieme di regole e adempimenti in relazione alla tutela dei dati personali in Condominio. Un documento completo, informativo e utile per capire quali possono essere le situazioni realmente presenti all’interno dei vari Condomini e il ruolo dell’Amministratore condominiale rispetto a questo delicato argomento.

Il dato personale nel condominio - Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (cosiddetto interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (articolo 4 GDPR).

Nel condominio i dati personali sono per esempio i nomi dei condomini, raccolti nell’elenco, i loro recapiti telefonici, fissi e mobili, l’indirizzo e-mail.

Dalla tutela sono escluse le persone giuridiche (associazioni, fondazioni, società, enti): se un amministratore gestisce un condominio in cui i condomini sono tutte società, non si pone il problema della tutela di dati personali.

Il risultato della prima parte del lavoro è quello di individuare il Condominio (attraverso l'Assemblea che lo rappresenta) come il Titolare dei dati personali, quindi il soggetto che deve rispondere al principio dell'accountability dimostrando di aver fatto tutto quanto poteva fare per essere conforme. In quest’ottica si è capito che lo strumento più adatto non può che essere un “manuale” di comportamento del Condominio stesso nei confronti dei soggetti con cui si interfaccia.


È stato analizzato il secondo stakeholder di riferimento, l'Amministratore di Condominio: in quanto soggetto essenziale per la qualità delle attività svolte nel Condominio stesso, egli non poteva essere altro che un responsabile del trattamento dei dati, al quale il Condominio assegna, per tutta la durata del mandato, specifiche responsabilità e regole attraverso uno specifico accordo.

Tra gli stakeholder ci sono, infine, i consiglieri condominiali, cioè soggetti delegati del Condominio a svolgere determinate attività: questi non sono altro che “incaricati”, persone autorizzate al trattamento dei dati che sono quindi da informare e formare.

Viste le esigenze definite, il modello da seguire è quello di dotare il Condominio (considerato come organizzazione che svolge attività) di un manuale operativo, che deve essere impostato con le regole e i princìpi delle norme ISO in materia di qualità, e che in particolare dovrà:

• avere un’introduzione che definisca l'utilità del documento ed il suo “uso e manutenzione”
• contenere regole di approvazione, aggiornamento e contatti di riferimento
• prevedere una parte informativa e formativa per i soggetti interessati
• definire una serie di azioni da porre in atto in funzione delle diverse situazioni
• offrire una serie di documenti base da utilizzare in funzione delle situazioni specifiche.

Facciamo degli esempi.

Un Condominio che ha il custode dovrà trovare in questo manuale l'indicazione di come gestire:

• il consenso specifico per l'utilizzo dei propri dati in qualità di dipendente per le differenti finalità (con adeguata informativa)
• la formazione che il soggetto dovrà svolgere
• il mandato ad essere considerato un incaricato al trattamento dei dati o una persona autorizzata al trattamento
• specifiche indicazioni e regole comportamentali, inclusi gli eventuali strumenti informatici messi a disposizione (molto diffuso è lo smartphone).

Se presente un impianto di videosorveglianza, il manuale dovrà fornire indicazioni in merito a:

• le attività in materia di cartellonistica obbligatoria per informare i soggetti dell'attività di videosorveglianza
• un incarico specifico a soggetto che svolge attività in qualità di responsabile
• indicazioni puntuali al fornitore dell'impianto per predisporre la documentazione che descriva il sistema, le modalità di conservazione dei dati, inclusi i tempi di archiviazione nonché le modalità di accesso ai dati stessi.

Gli sviluppi di questo lavoro pre-normativo (anche a seguito della pubblicazione del Decreto legislativo 101 del 2018 che modifica il vecchio testo unico in materia di privacy, ovvero il Decreto legislativo 196 del 2003 per renderlo coerente con il GDPR) sono stati presentati in UNI e verranno utilizzati per la redazione di una linea guida in forma di report tecnico. Questo report secondo le indicazioni formali individuerà due aspetti fondamentali: come deve essere predisposto il “manuale” del Condominio con l’indicazione delle modalità di consultazione e di utilizzo da parte dei condomini; come si deve comportare l'amministratore di Condominio, dal momento che gestisce molti dei processi in relazione ai dati personali, in nome e per conto del Condominio stesso, incluse le attività delle assemblee e la relazione con i fornitori.

Articolo a cura del Gruppo di lavoro, in particolare: Stefano Bonetto, Francesca Marchini e Claudia Spanò

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Whistleblowing, raddoppiano le segnalazioni
Next Usa, in arrivo una maximulta per Google: "Youtube spia i bambini per inviargli pubblicità mirate"

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy