Privacy e GDPR anche in ambito condominiale

di Antonio Romano e Fiorella Cima

La compliance al GDPR ha grande rilevanza anche per il condominio.

D'altra parte, considerata la diffusione di questa forma di gestione degli immobili in Italia, questo particolare ambito ha un impatto rilevante per la numerosissima comunità dei residenti negli edifici in condominio.

La tutela dei dati personali assume vari aspetti in questo contesto, tutti accomunati dalla circostanza che l'amministratore gestisce molteplici dati dei condomini: questo significa custodirli, ma anche non perderli e comunicarli solo quando è necessario a chi è legittimato a conoscerli.

Assumendo il punto di vista del professionista che gestisce l'immobile, uno degli aspetti più problematici della questione riguarda gli amministratori che si avvalgono di prestatori di servizi esterni al proprio studio per alcune lavorazioni, ad esempio la gestione della contabilità. Ci sono, infatti, alcuni fattori che un professionista deve considerare prima di affidare servizi a soggetti esterni. Particolarmente rilevante è l’aspetto relativo al rapporto tra il "Titolare del trattamento dei dati", quindi l'amministratore di condominio, in questo caso, ed i propri fornitori, che assumono il ruolo di "Responsabili del trattamento dei dati".

Nel caso, dunque, di esternalizzazione di un trattamento, il "Titolare del trattamento dei dati" (e quindi in questo caso l’amministratore) dovrà accertarsi di ricorrere a fornitori che assicurino misure organizzative idonee a soddisfare il rispetto del GDPR. Inoltre, l’esecuzione del trattamento dei dati su incarico del "Titolare del trattamento dei dati" deve essere disciplinata da un apposito contratto che contempli non solo la durata del trattamento, la natura, le finalità e le tipologie di dati, ma specifichi anche tutte le misure di sicurezza e la ripartizione delle responsabilità in merito alla protezione dei dati tra il "Titolare del trattamento dei dati" ed il fornitore.

Cosa cambia in questo caso rispetto alla norma vigente prima del GDPR? il GDPR sposta sul "Titolare del trattamento dei dati" la responsabilità di definire le misure di sicurezza idonee a garantire che il trattamento dei dati personali avvenga correttamente, avendo svolto una adeguata analisi dei rischi. Quindi, viene meno il riferimento alle "misure minime di sicurezza" (Allegato B del D Lgs 196/03), ma si considerano le misure di sicurezza "adeguate" ai sensi dell'art 32 GDPR, progettate dal "Titolare del trattamento dei dati" dopo aver effettuato l’analisi dei rischi connessi al trattamento dei dati dei condomini.

Si tratta, come possiamo vedere, di una responsabilizzazione del "Titolare del trattamento dei dati" non di poco conto e non semplice da gestire: occorre non trascurare questo aspetto, perché le sanzioni amministrative sono elevate e ai sensi dell'art 83 GDPR sono modulate proprio considerando il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto.

Meglio quindi non farsi trovare impreparati!