Privacy in condominio: l’amministratore è Responsabile del trattamento? - Riskmanagement

Normative

Privacy in condominio: l’amministratore è Responsabile del trattamento?

Il ruolo dell’amministratore come responsabile è implicito, fin dall’accettazione dell’incarico. Il contenuto della nomina non può che essere espunto dall’articolo 28 del Regolamento, così come per qualunque altro responsabile del trattamento, calando poi le singole prescrizioni alla realtà professionale a cui ci riferiamo

28 Ott 2020

Stefania Serusi

L’applicabilità del GDPR a uno spettro infinito di situazioni e la sua formulazione in termini, spesso, molto generali ha, in questi anni, portato con sé una miriade di dubbi su quali siano, di volta in volta, le modalità corrette con cui trasporre i dettami del Regolamento nella realtà lavorativa di un dato settore. Se alcune di queste difficoltà sono state, più o meno pienamente, superate, tante altre persistono e la loro soluzione è in gran parte affidata alla sensibilità del singolo operatore che debba effettuare un’attività di adeguamento, con esiti e ricostruzioni differenti da caso a caso. I profili di incertezza, deve purtroppo dirsi, restano ancora consistenti. Toccato dal Garante in numerose occasioni precedenti al GDPR, il settore condominiale e, con esso, il ruolo di responsabile dell’amministratore di condominio, di questa incertezza è portatore su più fronti.

A quale configurazione privacy si riconduce l’amministratore di condominio

Qual è, in particolare, la configurazione privacy alla quale deve ricondursi la figura dell’amministratore e, prima ancora, il condominio? A quale dei due soggetti (con tutta la cautela del caso nell’usare il termine “soggetto”, quando si fa riferimento al condominio) è da considerarsi riferibile il potere di determinare le finalità e i mezzi del trattamento di dati personali e, quindi, il ruolo di Titolare del trattamento? A quale dei due, correlativamente, sono imposti gli obblighi che gravano sul titolare? E, ancor prima, il GDPR si applica al condominio e alla realtà che stiamo qui considerando?

Tale questione viene, spesso, ormai data per scontata tanto quanto viene, d’altra parte, generalmente sottovalutata o non condivisa da buona parte dei soggetti coinvolti. Resta che la risposta all’ultima domanda (dalla quale bisogna partire) è indiscutibilmente positiva. Il GDPR si applica al mondo condominiale così come si applica a chiunque effettui trattamenti che non ricadono nelle esclusioni esplicitamente previste all’art. 2.

Fatta questa necessaria premessa, per poter individuare la corretta qualificazione attribuibile all’amministratore dobbiamo partire dall’identificare, all’interno del condominio, il soggetto che opera come titolare del trattamento.

Il mancato riconoscimento espresso della personalità giuridica in capo al condominio, in occasione, in particolare, della riforma di cui alla legge 220 del 2012, non ha fatto che alimentare alcune resistenze verso l’accettazione di un soggetto “condominio” che possa atteggiarsi, in ambito privacy, proprio come titolare.

Ma, non essendo la realtà condominiale fra quelle esentate in base al citato articolo 2, la stessa non può certamente considerarsi esente dall’applicazione del GDPR. Ciò conduce, di fatto, a dedurre che il “condominio” rientra quindi, in qualche modo, tra coloro che determinano le finalità e i mezzi del trattamento dei dati personali di una serie di soggetti. Un gruppo di interessati, per di più, che non si esaurisce nei proprietari delle singole unità abitative, ma si estende fino a ricomprendere tutta una serie di altre figure (conduttori e in generale titolari di diritti reali e di diritti personali di godimento, altri soggetti che gravitano attorno al condominio, quali ad esempio i fornitori di servizi). Si tratta, quindi, di un corposo gruppo di interessati, i cui dati devono essere gestiti correttamente e tramite una corretta individuazione dei ruoli.

I pareri del Garante sul Responsabile del trattamento 

Si è espressa più volte, in proposito, l’autorità Garante, qualificando già da svariati anni (e quindi in epoca ben precedente all’attuale Regolamento) i condòmini come Contitolari di un medesimo trattamento.

Del resto, l’attuale comune riconduzione del condominio al concetto di “ente di gestione”, sfornito di personalità distinta da quella dei suoi partecipanti, si coniuga in una linea di sufficiente coerenza con questa ricostruzione.

La statuizione del Garante deve essere letta, ora, alla luce dell’articolo 26 del GDPR, che definisce “contitolari” più titolari i quali effettuino congiuntamente la determinazione dei mezzi e delle finalità del trattamento.

Quale ruolo deve, quindi, ritenersi attribuito all’amministratore, posto che abbiamo chiarito che la titolarità spetta, in modo congiunto, ai componenti della compagine condominiale e dunque, in sostanza, a quello che chiamiamo condominio?

L’amministratore ne è, in primo luogo, il rappresentante (o, per dirlo con le parole della Cassazione, l’organo rappresentativo unitario). In conseguenza di ciò, la sua connessione con il soggetto titolare (o meglio, con i contitolari) è innegabile.

Deve, quindi, ritenersi che anche l’amministratore sia, magari congiuntamente al condominio, “titolare del trattamento”, oppure, in alternativa, un altro contitolare? A parere di chi scrive, assolutamente no.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

Per delineare nel dettaglio gli aspetti normativi e interpretativi delle questioni cui abbiamo fatto cenno (la qualificazione giuridica del condominio, le funzioni dell’amministratore) sarebbe necessaria una trattazione a sé.

Ma la disciplina dettata dal Codice civile è ovunque disseminata di indizi che rendono, di fatto, impossibile affermare che, per il ruolo dallo stesso ricoperto, l’amministratore abbia quel potere di determinazione delle finalità e dei mezzi del trattamento che, solo, consente di parlare di “titolare”.

Fra tanti, ecco alcuni esempi. L’articolo 1130, quando al primo comma, numero 1, afferma che fra i doveri dell’amministratore vi è quello di “eseguire le deliberazioni dell’assemblea”. Ancora prima, l’articolo 1129, in base al quale sussiste, in capo all’amministratore il cui incarico sia cessato, un obbligo di consegna di tutta la documentazione in suo possesso afferente al condominio e ai singoli condomini.

Il ruolo dell’amministratore, pur complesso da ricostruire, soprattutto in rapporto a quello dell’Assemblea, non sembra avere, in generale, quella connotazione di autonomia decisionale che caratterizza la figura del titolare. E, in assenza di questa autonomia, parlare di titolare (o contitolare, similmente) comporterebbe gravarlo di una responsabilità giuridica che non trova contrappeso e ragion d’essere in uno speculare potere d’azione e determinazione.

Ritenere che l’amministratore sia, quindi, titolare del trattamento, è una strada tutta in salita, salvo che ci si riferisca, in senso lato, alla funzione di rappresentanza che lo stesso ricopre nei confronti del vero titolare, in modo molto simile a quanto accade al rappresentante legale di una società. In una realtà, oltretutto, come quella condominiale, nella quale già lo stesso condominio (o, meglio, la compagine condominiale) si trova a rivestire questo ruolo (più correttamente, nella quale i partecipanti si trovano a rivestire il ruolo di contitolari) con le molteplici limitazioni decisionali imposte dalla normativa che ne regola il funzionamento.

L’amministratore “soggetto designato”

È opportuno aggiungere che, se presupposto per considerare l’amministratore un titolare è il suo ruolo di rappresentante, leggere tale circostanza in analogia a quanto accade per le persone giuridiche conduce, in realtà, a conclusioni diverse e a ritenere più facilmente ipotizzabile un’autorizzazione al trattamento ai sensi dell’art. 29 GDPR o, al limite, una nomina come “soggetto designato” di cui al D. Lgs. 101/2018 (per coloro i quali leggano tale figura come una tipologia distinta e autonoma e ritengano di utilizzarla quale sostituto del vecchio “responsabile interno”).

Da un’altra prospettiva, al contempo, sembra indubbio poter sostenere che l’amministratore riveste un ruolo di Responsabile, come qualificato dall’articolo 28 GDPR.

Se è pur vero, infatti, che l’incarico dallo stesso assunto lo rende, per certi aspetti, difficile da vedere come separato dalla figura del titolare “condominio”, è altrettanto vero che l’attività che svolge è, a tutti gli effetti, un trattamento posto in essere “per conto” dello stesso condominio.

Sotto questo profilo, piuttosto che essere, come viene spesso detto, “il” Responsabile del trattamento, l’amministratore è semplicemente “un” responsabile. Non, quindi, un responsabile qualificabile, sotto la vecchia normativa, come “interno” – che, a parere di chi scrive, è un soggetto non più considerato dal Regolamento e che attualmente non ha ragione di esistere.

L’amministratore è, invece, un responsabile del trattamento in quanto professionista che svolge, per conto del condominio e in sufficiente autonomia (e quindi dall’esterno, così come ogni processor), un’attività che implica un trattamento di dati personali di soggetti interessati, nei confronti dei quali il condominio assume la qualità di titolare del trattamento.

È quindi, implicito il ruolo dell’amministratore come responsabile? A parere di chi scrive, assolutamente sì. L’amministratore è, di fatto, fin dall’accettazione dell’incarico, un responsabile. E non potrebbe essere altrimenti.

Seppure si possa certamente sostenere, di conseguenza, che una nomina formale non sia necessaria poiché già in re ipsa, ritenere che l’automatismo che conduce alla qualificazione possa bastare a tutti gli effetti, senza che sia richiesta la redazione e l’approvazione di un atto preciso, non si conforma, a ben vedere, ai dettami del Regolamento.

Basterebbe a dimostrarlo già l’incipit dell’articolo 28, in base al quale “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Questa disposizione richiede che il titolare si accerti che la catena di trattamento dei dati dallo stesso innescata garantisca un trattamento rispettoso della normativa e del diritto alla riservatezza del singolo. Che i soggetti a cui, per ragioni pur legittime, trasferirà dei dati o a cui consentirà di operare un qualsiasi tipo di trattamento – in pratica – siano anch’essi rispettosi del GDPR e abbiano implementato, a loro volta, un sistema di gestione efficace.

Non solo. Letta in accordo con il principio di Accountability, la norma richiede al titolare di essere in grado di dimostrare, a monte, le valutazioni fatte.

Come potrebbe, quindi, il condominio, dar prova di aver preso atto delle condizioni di sicurezza offerte dal professionista che ne detiene, custodisce e tratta in vario modo i dati (a partire dal Registro Anagrafe), senza possedere un atto (un “contratto o altro atto giuridico”) a carattere vincolante nel quale lo stesso offre la garanzia richiesta dal primo paragrafo dell’articolo 28?

Ancor più, non solo di queste condizioni il titolare deve prendere atto, ma le stesse dovrebbero essere frutto di una vera e propria contrattazione tra le parti. Scopo dell’atto noto come “nomina a responsabile del trattamento” non è, infatti, quello di provvedere a una formale e burocratica investitura fine a sé stessa, che sarebbe oltretutto totalmente superflua. Il Regolamento, infatti, non richiede l’assunzione di una carica, ma il riconoscimento di un ruolo che è già di fatto esercitato (o verrà esercitato) da un determinato soggetto e il conseguente impegno a svolgerlo nel rispetto di una serie di obblighi e regole, in buona parte aperte a una declinazione nel dettaglio a cura delle parti. Un “buon” atto di “nomina” (se così vogliamo chiamarlo) è, in realtà, un atto di natura contrattuale e quindi bilaterale, in cui Titolare e Responsabile convengono sulle modalità con cui il trattamento verrà effettuato, ma anche, ad esempio, sulle regole necessarie a garantire e al contempo circoscrivere (quantomeno in termini di preavviso e aspetti accessori) i poteri di audit del titolare.

Il contenuto della nomina a Responsabile

E come potrebbe, inoltre, la compagine condominiale, dimostrare in sede di ispezione di aver adottato quelle “misure tecniche e organizzative adeguate” richieste dall’art. 32 GDPR nel perseguimento della sicurezza del trattamento, qualora non avesse, alla base, provveduto quantomeno a una valutazione (pur minima) delle condizioni di sicurezza offerte dal soggetto che ne detiene e custodisce l’intera documentazione, delle modalità con cui il trattamento viene effettuato presso il suo studio, delle garanzie in materia di riservatezza e formazione del personale autorizzato?

Tutto ciò deve essere letto diversamente, come è ovvio, ogni qualvolta l’amministratore, anche per esigenze relative al suo incarico, acquisisca e in generale tratti dati personali aggiuntivi rispetto a quelli espressamente indicati dalla normativa in materia di condominio. In questi casi, infatti, a determinare mezzi e finalità del trattamento non è il condominio (anche sulla base di quanto previsto dalla normativa o disposto dall’autorità Garante), ma lo stesso professionista, che riveste a tutti gli effetti un ruolo di titolare.

Fatte queste considerazioni, è opportuno concludere facendo un cenno a quale deve essere il contenuto, quindi, della nomina a Responsabile del trattamento dell’amministratore.

Come già si deduce da quanto detto finora, tale contenuto non potrà che essere espunto pari pari dall’articolo 28, così come per qualunque altro responsabile del trattamento, calando poi le singole prescrizioni alla realtà professionale a cui ci riferiamo.

E, così come per qualunque altro responsabile, l’atto dovrà assumere una forma che lo renda per le parti (partecipanti al condominio e amministratore), impregnato di quell’efficacia vincolante che, in ambito contrattuale, viene definita, nel nostro ordinamento, forza di legge.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA
S
Stefania Serusi
Argomenti trattati

Approfondimenti

D
data protection
P
privacy

Articolo 1 di 5