Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA COMPLETA

GDPR nei condomini: che cosa fare e come approcciarlo

I condomini rappresentano un contesto di applicabilità del GDPR con delle particolarità che scaturiscono dalla forma giuridica atipica e dai ruoli e dalle figure in essa coinvolte. Ecco le linee guida per raggiungere la necessaria compliance al Regolamento UE per la protezione dei dati personali

08 Apr 2019
B

Annalisa Bruno

Privacy Advisor

P

Andrea Praitano

Cyber security e privacy advisor, Security e Data Protection Officer, Socio fondatore di UNIDPO


Il GDPR presenta al suo interno delle aperture a possibilità di semplificazione in contesti più semplici, come ad esempio quello dei condomini che riporta delle particolarità che scaturiscono dalla forma giuridica atipica e dai ruoli e dalle figure in essa coinvolte.

È vero che a livello generale il Regolamento UE comporta, in capo a coloro che per ragioni professionali vengono in possesso di dati personali, il dovere di adeguarsi alle disposizioni del Regolamento e l’adozione delle misure di sicurezza adeguate. Aspetti generali che valgono sia per le grosse organizzazioni sia per quelle più piccole come i professionisti e, oggetto del presente articolo, i condomini.

Questi precetti a carattere generale devono essere però contestualizzati, in quanto l’applicazione ad una grossa realtà aziendale può comportare notevoli differenze rispetto all’applicazione ad una realtà condominiale. Queste due tipologie di realtà differiscono molto sia in termini di dimensioni, sia di quantità e tipologia di dati personali trattati sia di potere di spesa per la loro protezione.

Il condominio, poi, presenta delle caratteristiche particolari sia per la sua forma giuridica atipica che per le modalità operative che tipicamente questi ha.

Il condominio nel codice civile

L’amministratore di condominio, così come previsto dall’art. 1130 comma 6 c.c., è obbligato a “curare la tenuta del registro di anagrafe condominiale contenente le generalità dei singoli proprietari e dei titolari di diritti reali e di diritti personali di godimento, comprensive del codice fiscale e della residenza o domicilio, i dati catastali di ciascuna unità immobiliare, nonché ogni dato relativo alle condizioni di sicurezza delle parti comuni dell’edificio”.

L’obbligo posto in capo all’amministratore dall’articolo del codice civile precedentemente citato, è una operazione che rientra nella nozione di “trattamento” di dati personali; infatti l’art. 4 del GDPR definisce «trattamento»: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Quindi l’amministratore di condominio, per conto del condominio stesso, ai sensi del GDPR, effettua dei trattamenti.

Nel nostro ordinamento il tentativo di definire la natura giuridica del “condominio” è sempre stato oggetto di dibattiti giurisprudenziali con esiti non univoci; ciò discende dal fatto che il condominio è una struttura ed organizzazione con particolari peculiarità.

Ciò ha posto dei dubbi interpretativi anche quando il condominio ha dovuto misurarsi con il tema della protezione dei dati personali; non solo attualmente con il GDPR ma anche quando era in vigore la precedente normativa.

Questo tema non è nuovo in questo ambito in quanto, dopo l’entrata in vigore della Legge n. 220:2012 che ha innovato la materia condominiale, il Garante della Protezione dei Dati Personali è intervenuto per chiarire alcuni punti, definendo i limiti e le modalità di trattamento dei dati dei condomini da parte dell’amministratore.

I chiarimenti del Garante avevano il duplice intento di proteggere le persone in relazione al trattamento dei dati personali ma consentendo, nel contempo, la loro libera circolazione e di permettere l’attività di trattamento dei dati dei condomini da parte dell’amministratore.

La prima questione non trascurabile è l’identificazione delle figure di titolare del trattamento e di responsabile del trattamento nel contesto dell’amministrazione del condominio. Distinzione non semplice se si considera la difficoltà di stabilire la personalità giuridica del condominio.

Affrontare in maniera esaustiva la questione circa la “natura giuridica” del condominio, data la complessità dell’argomento, sarebbe fuori luogo in questa sede. Si cercherà quindi di riportarne sinteticamente i tratti generali, al fine di chiarire le problematiche che tale natura pone nel momento in cui si interseca con la tematica della privacy.

Si può iniziare col dire che “natura giuridica” significa chiarire se e in quali termini il condominio assume qualificazione autonoma, sussumibile in base ai principi consolidati nel codice civile e nelle legislazioni settoriali.

Il codice civile fondamentalmente ci dice che il condominio “esiste” laddove nel medesimo edificio si registri la contemporanea esistenza di proprietà individuali ed esclusive (le proprietà dei singoli condomini) e di parti strutturalmente a comune e poste al servizio (necessario o eventuale) delle proprietà esclusive.

Posta l’esistenza di un condominio “strutturale”, per espressa volontà del legislatore, le parti comuni potrebbero comportare la necessità di interventi manutentivi e della fornitura di servizi quali energia elettrica, gas o acqua.

Le parti comuni divengono quindi centro di imputazione di interessi fiscalmente rilevanti che comportano la necessaria richiesta e conseguente utilizzo di un “codice fiscale”. Com’è noto, questo è un codice utilizzato ai fini fiscali ed amministrativi per identificare in modo univoco i soggetti (persone fisiche o giuridiche) che intrattengono rapporti economici all’interno dello Stato italiano.

Quanto sin qui riportato, dimostra agevolmente come il condominio abbia indubbiamente una “soggettività giuridica”, ovverosia la capacità di essere titolare di diritti e destinatario di obblighi.

L’amministratore si vede riconosciuta una forte autonomia nella tutela dei diritti e degli interessi comuni, basti pensare all’autonomo potere di rappresentanza (attiva o passiva) in giudizio (ma non in mediazione) prevista dall’art. 1131 del Codice civile e dei poteri provvedimentali autonomi che gli sono riconosciuti (art. 1133 c.c.).

Quindi, per ricapitolare, secondo la giurisprudenza più recente, il condominio sarebbe un ente di gestione sprovvisto di personalità giuridica, che agirebbe per mezzo dell’amministratore, senza interferire con i diritti dei proprietari, così come confermato dalla legge 220/2012 già precedentemente citata.

La riforma del condominio non ha riconosciuto la piena personalità giuridica al condominio, nonostante sia un soggetto fiscale.

Il condominio è, pertanto, un ente di gestione dotato di autonomia patrimoniale imperfetta, essendo qualificato come soggetto giuridico atipico.

La giurisprudenza ha, inoltre, stabilito che il condominio è capace di assumere obblighi e di essere titolare di diritti, di conseguenza gli va attribuita una capacità giuridica limitata ed una certa autonomia. Inoltre, pur non essendo una persona giuridica ma un ente di mera gestione, il condominio assorbe dalla persona giuridica alcuni strumenti quali l’amministratore e l’assemblea.

Dualità della figura dell’amministratore di condominio

Il contesto del condominio e della sua amministrazione risulta essere particolare. Il Vademecum “Il Condominio e La Privacy” edito dal Garante per la Protezione dei dati personali, seppur non aggiornato al GDPR, identifica l’amministratore di condominio come responsabile del trattamento e il condominio stesso come titolare. L’amministratore di condominio è quindi una figura esterna che, per l’Articolo 28 del GDPR, riporta e riceve istruzioni da parte del titolare del trattamento, ovvero dal condominio.

Secondo il punto a) dell’articolo 28, il titolare del trattamento (il condominio) fornisce istruzioni documentate al responsabile del trattamento (l’amministratore di condominio) che è tenuto ad adottare le misure richieste (articolo 28 punto c.) ai sensi dell’articolo 32 che il titolare del trattamento o che lui stesso ha identificato.

A livello teorico la situazione risulterebbe semplice, ma la situazione ambigua e duale dell’amministratore di condominio presenta un problema. L’amministratore di condominio, infatti, è sia il responsabile del trattamento (quindi una realtà esterna che opera per conto del titolare del trattamento su base di un contratto o altro atto giuridico), ma ne è anche il rappresentante legale a norma dell’art. 1131 del codice civile.

Quindi l’amministratore di condominio ricopre contemporaneamente due ruoli per ciò che attiene la protezione dei dati personali: egli è sia il rappresentante legale del titolare del trattamento che il responsabile del trattamento che tratta i dati personali per conto del titolare del trattamento in virtù del mandato conferitogli.

Pertanto l’amministratore di condominio dovrebbe sia fornire indicazioni sul trattamento e sulle misure di sicurezza da adottare, che recepire tali informazioni in qualità di responsabile del trattamento.

Il problema non si riscontra unicamente nella parte formale dell’atto di nomina, in quanto l’amministratore di condominio firmerebbe la nomina a responsabile del trattamento sia come rappresentante legale del titolare del trattamento (il condominio) che come responsabile del trattamento (professionista o società esterna che opera per conto del condominio). La “conflittualità” dei due ruoli risiede, infatti, più nel dover fornire indicazioni (a sé stesso) e nel controllare (sempre sé stesso), cosa che difficilmente risulta applicabile o comunque efficace nella realtà.

Analizzando il testo normativo, e più precisamente l’art. 24 del GDPR “Responsabilità del titolare del trattamento”, si evince che il titolare del trattamento è colui che “mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento” è conforme a quanto disposto dal GDPR. Il titolare del trattamento è quindi l’entità giuridica, eventualmente nella forma del suo legale rappresentante, oppure il professionista che determina le finalità ed i mezzi del trattamento di dati personali. Il responsabile del trattamento, invece, ai sensi dell’art. 4 del GDPR è il soggetto che tratta i dati personali per conto e su indicazione del titolare del trattamento.

Alla luce di quanto sopra indicato, possiamo concludere che nel condominio, è la “compagine condominiale” il soggetto titolare del trattamento, ma poiché l’amministratore di condominio ne ha la rappresentanza legale, egli assume il duplice ruolo di titolare del trattamento (art. 24 GDPR), quale legale rappresentante del condominio, e di responsabile del trattamento (art. 28 GDPR) per quanto attiene a quelle attività che svolge, su mandato del condominio, per la gestione delle attività condominiali.

Ai sensi della normativa ricadrebbero sul titolare del trattamento gli oneri e le eventuali sanzioni, va però ricordato che il responsabile del trattamento risponde del danno causato dal trattamento se non ha adempiuto agli obblighi del Regolamento specificamente diretti ai responsabili o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Da questo secondo aspetto scaturisce la rilevante conflittualità derivante dalla dualità della figura dell’amministratore di condominio; in quanto l’amministratore di condominio risponde autonomamente se non applica le istruzioni avute dal titolare del trattamento il quale, però, è rappresentato sempre da sé stesso. Quindi l’amministratore dovrebbe seguire le indicazioni che egli stesso si fornirebbe.

Che cosa succederebbe se l’amministratore, in qualità di rappresentante del titolare del trattamento, si fornisse delle istruzioni non adeguate alla protezione dei dati personali del condominio? Si potrebbe rispondere che l’amministratore di condominio avrebbe seguito le istruzioni impartite dal titolare del trattamento quindi la responsabilità ricadrebbe sul condominio in qualità di titolare del trattamento.

Caratteristiche dell’amministratore di condominio

Cerchiamo qui di analizzare e comprendere le caratteristiche necessarie al fine di svolgere la professione di amministratore di condominio e dove questa figura si colloca all’interno dei diversi ordini professionali esistenti in Italia, anche alla luce della regolamentazione delle figure non ordinistiche ai sensi della legge 4/2013.

Partiamo dalla base, cioè dal codice civile. L’art. 71-bis del c.c. indica che possono diventare amministratori di condominio coloro i quali:

  1. hanno il godimento dei diritti civili;
  2. non sono stati condannati per delitti contro la pubblica amministrazione, l’amministrazione della giustizia, la fede pubblica, il patrimonio e per ogni altro delitto non colposo per il quale la legge commina la pena della reclusione non inferiore, nel minimo, a due anni e, nel massimo, a cinque anni;
  3. non sono stati sottoposti a misure di prevenzione divenute definitive, salvo che non sia intervenuta la riabilitazione;
  4. non sono interdetti o inabilitati;
  5. il cui nome non risulta annotato nell’elenco dei protesti cambiari;
  6. hanno conseguito il diploma di scuola secondaria di secondo grado;
  7. hanno frequentato un corso di formazione iniziale e svolgono attività di formazione periodica in materia di amministrazione condominiale.

Il codice civile fondamentalmente afferma che l’amministratore di condominio deve essere una figura che possiede requisiti di moralità e onorabilità e che deve avere una cultura generale di base. È interessante l’ultimo punto che riguarda la formazione iniziale e l’aggiornamento periodico però in materia di amministrazione condominiale.

Per comprendere i contenuti della formazione iniziale ci viene incontro il Decreto Ministeriale 140/2014, in vigore dal 9 ottobre 2014, all’interno del quale sono stati indicati i criteri e le modalità relativi al corso di formazione iniziale. La formazione iniziale deve essere di almeno 72 ore e devono essere svolte almeno 15 ore di aggiornamento annuale.

L’art.2 del Decreto Ministeriale 140/2014 indica le finalità della formazione e dell’aggiornamento degli amministratori di condominio. Gli obiettivi della formazione sono:

  1. migliorare e perfezionare la competenza tecnica, scientifica e giuridica in materia di amministrazione condominiale e di sicurezza degli edifici;
  2. promuovere il più possibile l’aggiornamento delle competenze appena indicate in ragione dell’evoluzione normativa, giurisprudenziale, scientifica e dell’innovazione tecnologica;
  3. accrescere lo studio e l’approfondimento individuale quali presupposti per un esercizio professionale di qualità.

La tematica della privacy e protezione dei dati personali non è esplicitamente menzionata come tematica obbligatoria della formazione dell’amministratore di condominio. Verificando i programmi di corsi svolti da associazioni di categoria sul tema si nota che le tematiche trattate sono prettamente inerenti alla gestione del condominio, e solo in alcuni casi viene presentato anche l’argomento “privacy in condominio” o similari. In ogni caso questo è uno dei tanti temi trattati nelle 72 ore di formazione base e, ovviamente, non ne è un argomento centrale. L’art. 5 del sopra citato Decreto Ministeriale riporta le tematiche che devono essere trattate nell’aggiornamento annuale, ma non viene indicata, a livello di decreto, la necessità di trattare il tema della privacy all’interno della formazione.

È da notare che i requisiti rivestono l’obbligatorietà per gli amministratori di condominio “professionisti” pertanto tali requisiti non sono applicabili agli amministratori di condominio scelti all’interno dei condòmini del condominio stesso, anche se restano in carico a loro le responsabilità sia di rappresentanza che di trattamento dei dati personali per conto del titolare del trattamento.

La figura dell’amministratore di condominio non è una figura ordinistica, cioè non è presente un ordine professionale a loro dedicato. Si parla di un registro telematico degli amministratori di condominio ma allo stato attuale esistono quelli delle singole associazioni di categoria.

Ma qual è la realtà degli amministratori di condominio?

Non essendo previsti requisiti specifici in termini di titoli di studio o altro a parte il possesso di un diploma di scuola secondaria, si trovano ad operare persone con estrazioni culturali molto diverse. Esistono amministratori di condominio professionisti che appartengono a professioni differenti e che fanno riferimento ai rispettivi ordini professionali (ingegneri, architetti, geometri, avvocati, commercialisti ecc.) ma anche professionisti che non fanno capo a nessun ordine professionale ma ad associazioni di categoria o semplici professionisti.

La legge 4/2013 ha aperto all’accreditamento presso il Ministero delle Sviluppo Economico di associazioni professionali per quelle professioni non regolamentate da ordini professionali nella quale ricade la professione dell’amministratore di condominio. Nell’elenco risultano accreditate diverse associazioni professionali non ordinistiche che fanno riferimento alla professione dell’amministratore di condominio e che forniscono servizi ai propri associati quali la formazione iniziale e quella periodica nonché l’iscrizione a registri dell’associazione.

Per tirare le fila si può dire che come amministratore di condominio esistono professionisti con estrazione e istruzione particolarmente eterogenee. Ciò non sta a significare che è una “giungla”, ma sta ad indicare solamente che le competenze dei professionisti che operano in questo settore non sono necessariamente omogenee ma hanno comunque una conoscenza generale sulle tematiche proprie dell’amministrazione del condominio fornite da una formazione comune.

La realtà condominiale e lo studio professionale di un amministratore

Come anticipato all’inizio del presente articolo, il GDPR è un regolamento di tipo generale che vale per tutte le organizzazioni sia piccole che grandi. È una legge che fornisce principi che devono necessariamente essere contestualizzati nelle specifiche realtà o tipologie omologhe.

Non vogliamo qui ovviamente dire che si applicano “leggi differenti” in realtà differenti ma l’implementazione è naturalmente differente in funzione delle realtà e delle dimensioni che trattano i dati. Per fare un esempio: il diritto alla portabilità dei dati (articolo 20) avrà implementazioni completamente differenti a seconda che si tratti della portabilità del numero di telefono da un operatore telefonico ad un altro che potrà essere richiesta attraverso moduli e portali anche automatizzati; oppure che si tratti della portabilità del dato personale di “buon pagatore” fatta telefonicamente o via mail all’amministratore di condominio per portarla verso un nuovo condominio.

Il diritto sancito dalla legge è lo stesso ma la sua implementazione è completamente differente.

Nelle sezioni successive si vuole affrontare la realtà classica di un condominio e di uno studio di amministrazione di condomini; non tralasciando la possibilità comunque diffusa dei condomini che non rientrano nell’obbligatorietà della nomina di un amministratore ai quali la normativa si applica ugualmente.

Le delibere dell’assemblea condominiale

Da un punto di vista prettamente didattico si potrebbe dire che l’amministratore di condominio quando svolge il compito di rappresentante del condominio svolge le attività che gli sono state indicate dall’assemblea condominiale.

Quindi è l’assemblea dei condòmini che, all’atto della nomina dell’amministratore, conferisce allo stesso il ruolo di responsabile del trattamento e gli fornisce le istruzioni per il trattamento stesso. Questo, come detto all’inizio di questo paragrafo, è ovviamente un approccio puramente didattico in quanto i condòmini sono persone che nella vita svolgono lavori e professioni fra le più disparate; possono esserci professionisti, insegnati, impiegati, operai e via dicendo. Sono pertanto persone che si trovano a deliberare all’interno dell’assemblea in merito alle cose più varie che spaziano dai lavori edili, elettrici, delle fognature e anche sulla privacy.

Per chi ha vissuto personalmente la realtà delle assemblee di condominio avrà potuto notare che le dinamiche sono molto più spostate verso una ratifica da parte dell’assemblea rispetto ad una vera e propria proposizione veramente attiva dell’assemblea stessa.

Ad esempio, per effettuare dei lavori di ristrutturazione dell’edificio normalmente si parte da una proposta di un condomino o di un gruppo di condòmini oppure da una costatazione da parte dell’amministratore. Gli step successivi solitamente si svolgono chiedendo all’amministratore di dare mandato ad un professionista per la redazione di un capitolato; sulla base del capitolato solitamente l’amministratore porta un preventivo di una ditta per lo svolgimento dei lavori richiesti nel capitolato e viene richiesto ai condòmini di portare anche altri preventivi. L’assemblea teoricamente decide fra almeno tre preventivi. Questo è vero prevalentemente in teoria, nella pratica spesso non vengono presentati altri preventivi da parte dei condòmini e viene approvato, magari con modifiche e riduzione di attività e costi, quello presentato dall’amministratore.

La responsabilità resta in carico all’assemblea ed è sua responsabilità decidere in modo consapevole ed informato. Non sempre però questo accade nella realtà per vari motivi. Spesso poi gli incontri formali dell’assemblea sono per lo più a cadenza annuale, a volte semestrali, ma probabilmente una cadenza non adatta a controllare con efficacia anche l’aspetto privacy.

Tipica realtà di uno studio di amministratore di condominio

Gli amministratori di condominio tendenzialmente sono professionisti singoli oppure che operano all’interno di piccole realtà con responsabilità differenziate. Un “grosso” studio di amministratori di condominio potrebbe vedere uno o più professionisti che svolgono l’attività di amministratore di condominio e altre persone che si occupano di altri aspetti come le letture dei contatori comuni, la potatura delle piante, le pulizie e via dicendo. Ma spesso lo studio è costituito da un singolo professionista.

Uno studio di amministrazione di condominio normalmente è composto da un ufficio, qualche PC (spesso portatili) e una o più stampanti. Possono esserci dei casi in cui lo studio coincide con l’abitazione del professionista stesso che si appoggia a uffici temporanei quando necessario.

C’è da tenere presente poi che la carta è molto presente nell’amministrazione di un condominio: il registro dei verbali delle assemblee, i preventivi, il bilancio del condominio stesso ecc.: esistono condomini, o forse più correttamente studi di amministratori di condominio, che potremmo definire “tecnologicamente evoluti” i quali forniscono un portale con accesso ai diversi condomini per le informazioni.

Va tenuto poi anche in considerazione che l’amministratore di condominio professionista svolge questo come lavoro, quindi normalmente amministra più condomini che possono anche essere diverse decine e non uno solo.

Condomini senza amministratore di condominio

Non bisogna poi dimenticare due casistiche: i condomini amministrati da amministratori di condominio non professionisti (ad esempio un condomino dello stabile) e i condomini che non rientrano nell’obbligatorietà di avere un amministratore del condominio stesso (condomini con meno di 4 condomini).

Queste realtà si trovano a gestire le stesse tipologie di dati (anche se in quantità numericamente ridotte), ad avere gli stessi obblighi normativi ma in un contesto organizzativo completamente differente.

Possibili misure di sicurezza minime a protezione dei dati personali

Il GDPR stabilisce, all’art. 32, il dovere per il titolare del trattamento e per il responsabile del trattamento di adottare misure organizzative e tecniche adeguate a garantire la sicurezza del trattamento, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Pertanto, la sicurezza dei dati personali deve essere commisurata al rischio per gli interessati (i condomini nel contesto in esame): ciò sta a significare che non tutti i dati personali devono essere protetti allo stesso modo.

Come indicato in precedenza il titolare del trattamento (il condominio nella sua assemblea) deve valutare i rischi inerenti al trattamento e attuare (nel caso specifico del condominio, chiedere di applicare all’amministratore di condominio) misure a protezione dei dati personali che siano finalizzate a ridurre i rischi.

Le misure di sicurezza tecniche ed organizzative che vengono identificate devono essere in grado di andare a garantire, nel complesso, la disponibilità, l’autenticità, l’integrità, la riservatezza e la resilienza dei dati personali degli interessati. In questa sede proveremo a spiegare cosa si intende con i predetti aspetti indicati dalla normativa e proveremo a riportare alcuni esempi di possibili misure di sicurezza che potrebbero essere applicate nel contesto di uno studio professionale di un amministratore di condominio.

Le misure che qui si riportano sono delle indicazioni di possibili misure di sicurezza semplici che possono essere implementate all’interno di uno studio professionale al fine di incrementare la sicurezza della riservatezza, dell’integrità e della disponibilità dei dati personali (limitiamo per semplicità a questi soli tre aspetti che sono probabilmente quelli più importanti nel contesto che stiamo affrontando). Sono solo alcuni esempi e non hanno la pretesa di essere esaustivi. Possono essere considerate come una sorta di “misure minime” consigliate.

Partiamo con lo spiegare cosa si intende per riservatezza. Per riservatezza si intende il grado con cui si limita l’accesso alle informazioni a un gruppo di utenti preventivamente definito ed autorizzato.

Tra le misure di sicurezza che possono essere adottate per poter garantire la riservatezza dei dati personali all’interno di uno studio di un amministratore di condominio o di uno studio vi sono:

  • Protezione fisica dell’ufficio. Esempi:
    1. Avere un’area della casa dedicata all’ufficio (ad esempio una stanza) separata dal resto dell’abitazione;
  • Protezione dell’uso del computer da misure atte a garantire la riservatezza delle informazioni. Esempi:
    1. L’accesso ai computer ed alle applicazioni deve essere protetto attraverso delle credenziali di autenticazione (nome utente e password);
    2. La password deve essere sufficientemente robusta (almeno 8 caratteri alfanumerici e speciali) e deve essere rinnovata periodicamente;
    3. Cifratura del disco rigido del computer portatile dell’ufficio;
    4. Cancellazione sicura del disco prima della dismissione/rottamazione/vendita/cessione;
    5. Aggiornamento periodico del sistema operativo;
    6. Aggiornamento periodico degli applicativi;
    7. Ecc.
  • Protezione della documentazione cartacea da misure atte a garantire la riservatezza delle informazioni. Esempi:
    1. Chiusura della documentazione cartacea contenente dati personali in armadi chiusi a chiave;
    2. Distruzione della documentazione cartacea attraverso distruggi documenti;
    3. Ecc.
  • Protezione delle comunicazioni. Esempi:
    1. Discussione di informazioni o comunicazione di dati personali in luoghi privati;
    2. Utilizzo di sistemi di posta elettronica di tipo “business”;
    3. Invio di documentazione via mail cifrata (ad es. attraverso un file zip protetto da password);
    4. Ecc.
  • Protezione della rete interna all’ufficio. Esempi:
    1. Firewall perimetrale a protezione dell’accesso esterno;
    2. Sostituzione delle password e delle utenze di default sui sistemi di rete;
    3. Utilizzo di reti Wi-Fi con password e sistema di cifratura;
    4. Non consentire l’accesso al Wi-Fi agli esterni;
    5. Ecc.

Per integrità si intende il grado con cui le informazioni sono identiche al dato originale, prive di errori (sia intenzionali che accidentali) ed aggiornate. L’integrità è infatti caratterizzata da due aspetti: correttezza delle informazioni; completezza delle informazioni.

Possibili misure di sicurezza che possono essere attuate per poter garantire l’integrità dei dati personali all’interno di uno studio di un amministratore di condominio sono:

  • Verifica inserimento dei dati:
    1. I sistemi sono predisposti con controlli di correttezza dell’inserimento dei dati (ad es. verifica formato per l’inserimento del Codice Fiscale);
    2. I sistemi hanno meccanismi di inserimento guidati (ad es. per una data);
    3. Riduzione al minimo del travaso di dati manuale;
    4. Ecc.

Per disponibilità si intende il grado in cui le informazioni sono disponibili all’utente e/o al sistema informativo nel momento in cui queste vengono richieste. La disponibilità è caratterizzata da tre aspetti e sono: l’aspetto temporale – i sistemi informativi sono disponibili quando necessario; la continuità: il personale può continuare a lavorare in caso di guasto; robustezza: vi è una capacità sufficiente per consentire a tutto il personale nel sistema di lavorare.

Possibili misure di sicurezza che possono essere prese per poter garantire la disponibilità dei dati personali all’interno di uno studio di un amministratore di condomino sono:

  • Sistema server centrale:
    1. Utilizzo degli applicativi su un sistema server e non solo su computer;
  • Sicurezza dei dischi dei sistemi server:
    1. Utilizzo di sistemi server con dischi in RAID (1, 3 o 5);
    2. Utilizzo di sistemi SAN/NAS di archiviazioni di rete con dischi in RAID (1, 3 o 5);
  • Backup delle postazioni di lavoro:
    1. Utilizzo di sistemi di backup automatizzato o manuale per copie di ripristino dei dati;
    2. Utilizzo di repository in cloud per la conservazione delle copie;
  • Continuità operativa:
    1. Accordi con studi professionali per ospitarsi in casi di inagibilità dello studio.

Conclusioni

La realtà di un condominio e dell’amministratore che lo amministra e gestisce è complessa e non ha caratteristiche omogenee. Il titolare del trattamento è la compagine condominiale e vede un organo decisionale che è l’assemblea, e una rappresentanza legale che è data all’amministratore di condominio a cui è affidato il mandato.

L’amministratore di condominio è sia rappresentante legale del condominio che responsabile del trattamento riportando così una dualità e, sulla tematica privacy, conflittualità di ruoli. È pur vero che il condominio nella sua assemblea si trova a deliberare su una serie di tematiche che spaziano molto e che a tale assemblea spetta di deliberare in merito alle responsabilità sulla privacy da assegnare all’amministratore.

Per il governo della protezione dei dati e della privacy all’interno di un condominio non è possibile arrivare ad una soluzione univoca.

Le strade da percorrere possono essere varie per raggiungere l’obiettivo di proteggere e trattare adeguatamente i dati personali all’interno del condominio e della sua amministrazione. Ogni strada presenta sia aspetti positivi che negativi.

Opzione 1: l’assemblea di condominio adotta un approccio similare a quello adottato per molte delle decisioni che prende, cioè si appoggia a un professionista esterno che gli indica quali sono le misure di sicurezza che devono essere adottate a protezione dei dati personali nel contesto del condominio stesso. Cioè adotta un approccio del tutto similare a quello di farsi aiutare a scrivere un capitolato d’appalto che invece di essere per dei lavori di ristrutturazione sarà per la privacy. Il vantaggio è rappresentato sicuramente dal fatto che un professionista sulla tematica propone delle misure e un’organizzazione coerenti con la struttura del condominio, mentre il contro principale sarebbe che il condominio si trova a sostenere un costo su una tematica non sempre ritenuta prioritaria per il condominio stesso.

Opzione 2: l’assemblea condominiale chiede, ad esempio all’atto di assegnazione del mandato, all’amministratore di condominio di indicare all’assemblea le misure di sicurezza che esso adotta a protezione dei dati personali del condominio stesso. L’assemblea le valuta, anche attraverso consulenti esterni nel caso, e ratifica o chiede integrazioni. Il vantaggio principale di questo approccio è quello che l’assemblea valuta soltanto e non sceglie direttamente ma chiede delle integrazioni, inoltre viene tenuto implicitamente in considerazione il fatto che l’amministratore di condominio potrebbe essere un professionista che fa capo a degli ordini professionali e che segue già delle indicazioni dati da questi per la protezione dei dati personali che egli tratta nella sua professione. Il contro di questo approccio è che la decisione principale di identificare le misure di sicurezza invece di essere in carico al Titolare del Trattamento come da normativa viene spostata al Responsabile del Trattamento.

Opzione 3: si può auspicare che vengano redatte, in primis dalle associazioni di categoria, delle linee guida (meglio se uniche e non di singola associazione) sulla protezione dei dati personali specificatamente pensate per la realtà dell’amministrazione e la gestione dei condomini che possono essere seguite dagli amministratori per aggiornare la gestione dei dati personali nelle loro attività. Inoltre sarebbe opportuno inserire come argomento obbligatorio della formazione, sia iniziale che negli aggiornamenti, la tematica privacy nei condomini. Il vantaggio è che un ente esterno fornisce delle indicazioni sulla tematica privacy, il contro è che se è sviluppato dalle associazioni di categoria potrebbe richiedere tempi più lunghi e comunque sarebbe sviluppato da una delle due parti coinvolte.

Come detto non c’è una soluzione univoca nella determinazione della protezione dei dati personali nel contesto dei condomini.

Una soluzione temporanea e non completa ma che potrebbe comunque elevare almeno un po’ la sicurezza dei dati è quella di verificare se ci sono almeno delle misure di sicurezza di base che abbiamo provato ad elencare precedentemente. A voler essere pragmatici, si potrebbe affermare che la costruzione di un edificio nasce dalla realizzazione delle fondamenta sopra le quali si erige tutto il resto, quindi si potrebbe suggerire una soluzione temporanea partendo dalla verifica che le regole di base siano applicate, e nel caso in cui non lo dovessero essere, si dovrebbe procedere ad applicarle per poi passare allo step successivo.

__________

Bibliografia

MINISTERO DELLA GIUSTIZIA DECRETO 13 agosto 2014, n. 140

LEGGE 14 gennaio 2013, n. 4 Disposizioni in materia di professioni non organizzate

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016

Vademecum “Il condominio e la privacy”, Autorità Garante della Protezione dei dati personali

@RIPRODUZIONE RISERVATA

Articolo 1 di 5