Partiamo dall’analisi dell’articolo 4 del Regolamento UE 16/679, si definisce titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri”.
Invece, il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Nel caso specifico del condominio, è pacifico considerare la compagine condominiale come Titolare del Trattamento dati, mentre l’amministratore di Condominio è responsabile del trattamento dati laddove eserciti le attività rientranti nel rapporto di mandato ad amministrare ed è titolare del trattamento per ogni altra attività, compresa quella relativa alla gestione del proprio studio.
Leggendo poi l’art. 24 G.D.P.R. scopriamo che: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento…”, ed ancora, nell’art. 32 GDPR leggiamo che: “… il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …” (art. 32 G.D.P.R.).
Da qui discende l’assioma che il Condominio e l’amministratore, devono adeguarsi alla normativa privacy cioè mettere in atto quelle misure tecniche ed organizzative che fanno capo al principio di accountability.
Non può valere l’opinione di alcuni che sostengono che, quando si parla di trattamento dei dati personali, si faccia riferimento ai dati che, prima del GDPR, venivano definiti sensibili e che quindi gli amministratori siano sollevati dall’obbligo di adeguarsi, non trattando tale tipologia di dati.
Questa convenzione, infatti, è sbagliata, due volte.
Innanzitutto con dato personale si intende ogni informazione che riconduca a una persona individuata o individuabile.
Esempio: Nome e cognome individuano una persona, indirizzo, email o cellulare la rendono individuabile
Poi, comunque, bisogna ricordarsi che l’amministratore ben può trattare i dati sanitari ove vi sia delibere che riguardano pratiche di abbattimento delle barriere architettoniche o un sinistro con lesioni.
Altri pensano che possa essere sufficiente mettere a disposizione dei condomini un’informativa per essere considerati conformi. Ma in realtà dichiarare che si adottano misure tecniche e organizzative poi non applicate, non aver proceduto a nominare i sub-responsabili, ad effettuare l’analisi dei rischi o a predisporre il registro dei trattamenti, equivale a dare informazioni false e quindi esporsi ulteriormente!
Ne avrebbe effettuare l’adeguamento “una tantum” perché l’amministratore deve poter contare su un’assistenza continua, con la possibilità di avere una formazione ed una documentazione costantemente aggiornata.
Infatti, i provvedimenti delle autorità e le leggi effettuano costantemente modifiche, integrazioni ed interpretazioni alla materia e… ignorantia legis non excusat!
L’onere e il costo economico di questo adeguamento viene espressamente posto a carico del titolare del trattamento, Condominio (art. 29) come voce di spesa per adeguamento a norma annuale, da inserirsi a rendiconto ordinario – sul medesimo Condominio titolare.
Non solo. L’ Amministratore potrà̀ pretendere che il Condominio si adegui, lo istruisca e ne sopporti il relativo costo annuale (artt. 28 e 29 GDPR). Qualora ciò non avvenga, infatti, tale ipotesi potrà essere giusta causa di rinuncia al mandato o di dimissioni o comunque di risoluzione del rapporto tra Amministratore e Condominio.
Il Regolamento europeo, come tale, si considera norma di per se imperativa e, per sua natura, tra le fonti del diritto assume un ruolo superiore anche alla normativa nazionale che, anzi, è obbligata ad adeguarsi e ad adattarsi alle disposizioni ivi contenute.
Conseguentemente l’amministratore rimane sempre obbligato al rispetto del GDPR sia in relazione alla propria attività e sia rispetto al Condominio che amministra, rientrando tale attività nei compiti dettati dall’art. 1130 del codice civile.
Quindi, come il Condominio dovrà pagarsi il suo adeguamento, l’amministratore quale titolare del trattamento in relazione al suo studio e alle attività extra mandato, è anch’esso obbligato ad adeguarsi e dovrà corrispondere il relativo costo. A ognuno il suo insomma!
Avv. Carlo Pikler – Privacy and Legal Advice