L’applicazione delle norme del GDPR in ambito condominiale
La normativa privacy si applica in Condominio?
Assolutamente si!!!
Si premetta che il Regolamento UE 2016/679 è una norma imperativa, e tra le fonti del diritto assume un ruolo superiore anche alla normativa nazionale, che è obbligata ad adeguarsi ed ad adattarsi alle disposizioni ivi contenute.
Titolare e Responsabile (del trattamento dati)
L’art. 4 del GDPR definisce TITOLARE del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri”.
Il RESPONSABILE del trattamento è invece “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento”.
Sia con il provvedimento generale del 18.05.2006 emanato dal Garante per la protezione dei dati personali, che – successivamente – con l’entrata in vigore del GDPR, il Condominio è sempre stato considerato quale Titolare del trattamento dati, mentre l’Amministratore ricopre il ruolo di Responsabile del trattamento dati in quanto esercita le molteplici attività rientranti nel rapporto di mandato ad amministrare.
Compiti e responsabilità di Titolare e Responsabile
L’art. 24 del GDPR stabilisce che “(…) il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento (…)”, mentre l’art. 32 del GDPR dispone che “(…) il Titolare del trattamento e il Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (…)”. Il paragrafo 4 di tale articolo prevede che “il Titolare del trattamento ed il Responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri“.
L’art. 39.1.b del GDPR prevede, tra i compiti del Responsabile, quello di “sorvegliare l’osservanza del presente regolamento (…) nonchè delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo“.
La formazione
È palese, quindi, che la formazione del Responsabile del trattamento sia un obbligo di legge, nonché un prerequisito per poter operare all’interno di qualunque organizzazione, pubblica o privata che sia, compresa quella di natura condominiale, in quanto è necessario acquisire determinate conoscenze sia in relazione alla gestione dei dati dei singoli Condominio che dei dipendenti, collaboratori e fornitori dello studio professionale.
Possiamo quindi affermare che sia il Condominio che l’Amministratore hanno l’obbligo di adeguarsi alla normativa privacy, mettendo in atto tutte le misure tecniche ed organizzative che fanno capo al principio di accountability.
L’onere (ed il conseguente costo economico) di tale importante adeguamento viene espressamente posto dall’art. 29 del GDPR a carico del Titolare del trattamento (Condominio), che dovrà quindi adeguarsi ed istruire il Responsabile del trattamento/Amministratore.
L’obbligo formativo non deve essere sottovalutato dall’Amministratore/ Responsabile del trattamento. Difatti, laddove non fornisse evidenza documentale della formazione, si esporrebbe alle sanzioni amministrative previste dall’art. 83.4 del GDPR (fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).
Inoltre è importante ricordare che l’adempimento degli obblighi formativi può essere oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante Privacy mediante il Nucleo Speciale Privacy della Guardia di Finanza, che ha la facoltà di richiedere, in sede ispettiva, la verifica del programma ed il piano di formazione, le dispense, i materiali erogati e il test finale, analizzando il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, nonché i livelli di autorizzazione e le policy utilizzate (ad esempio in materia di password e di videosorveglianza).
Infine, in mancanza di idonea formazione, si è impossibilitati ad adempiere al principio di ridurre al minimo il rischio di data breach.
E se l’Assemblea votasse contrariamente all’adeguamento al GDPR?
In tal caso la delibera dovrà ritenersi nulla (in quanto contraria alla Legge) e l’Amministratore non sarà giuridicamente tutelato.
Il presente articolo non costituisce parere vincolante ma è elaborato sulla base di norme vigenti e pertanto deve intendersi quale un contributo di mero indirizzo per gli operatori del settore a ciò interessati.
Recommended Posts