A quasi vent’anni dalla pubblicazione del provvedimento del 18 maggio 2006 con cui il Garante per la protezione dei dati personali si è occupato dei trattamenti di dati personali effettuati nell’ambito dell’amministrazione dei condomini e a più di dieci anni dal successivo vademecum del 10 ottobre 2013, lo scorso aprile l’Autorità è intervenuta sul tema, predisponendo uno specifico documento di indirizzo che attualmente è oggetto di consultazione pubblica.
Ciò, soprattutto in considerazione della necessità di fornire nuove indicazioni atte a garantire che i trattamenti realizzati in tale ambito vengano effettuati nel rispetto dell’attuale quadro normativo rappresentato dal Regolamento UE 2016/679 (di seguito “GDPR”) e dal D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018 (di seguito “Codice Privacy”). Entriamo, quindi, nel merito del documento analizzandone i principali elementi.
Indice degli argomenti
Titolare del trattamento dati: condominio, amministratore e i condòmini
Come noto, ai sensi dell’art. 4, par. 1, n. 7 del GDPR, il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. All’interno della complessa realtà condominiale e a seconda della specifica casistica in cui si configura il trattamento dei dati personali, il documento di indirizzo dell’Autorità Garante prevede che il ruolo di titolare possa essere ricoperto non solo dal condominio, ma anche dall’amministratore e addirittura dai condòmini.
In particolare, il condominio agisce quale titolare del trattamento nell’ambito dei trattamenti finalizzati alla gestione delle esigenze collettive della comunità condominiale. Ciò, anche in considerazione del fatto che il codice civile e la giurisprudenza lo definiscono quale organismo che opera secondo presupposti di legge e la cui volontà si forma mediante processi normativamente previsti.
L’amministratore, invece, può considerarsi titolare qualora effettui trattamenti per cui è la stessa legge ad attribuirgli piena autonomia. Tra questi rientrano: i) la tenuta dei registri obbligatori, ii) lo svolgimento delle attività prodromiche alla convocazione dell’assemblea, iii) l’adozione dei provvedimenti adottati in autonomia per il mantenimento della cosa comune e per la manutenzione ordinaria, iv) la corretta conservazione della documentazione, nonché v) la stesura dei bilanci.
Attenzione, però, che qualora agisca con i poteri che gli sono stati attribuiti dal regolamento condominiale o dall’assemblea, i trattamenti di dati personali derivanti saranno posti in essere dall’amministratore non più in qualità di titolare, bensì quale responsabile del trattamento ai sensi dell’art. 28 del GDPR. Tra questi vi sono: i) la gestione del sito web condominiale, ii) affidamento ad una società della gestione del sistema di videosorveglianza e iii) conferimento di un incarico ad un professionista esterno.
Per tutte le attività “extra mandato” l’amministratore potrà, invece, essere qualificato quale titolare autonomo.
Da ultimo, anche i singoli condòmini possono ricoprire il ruolo di titolari del trattamento: quando? Nell’ambito di quei trattamenti compiuti sulla base di una loro autonoma decisione, quali ad esempio l’installazione di telecamere presso le proprie abitazioni o l’affissione, di propria iniziativa, nella bacheca aziendale di documenti contenenti informazioni di carattere personale.
Alla luce della varietà delle predette casistiche, è evidente che non vi sia una regola precisa da seguire per l’individuazione del titolare dei trattamenti realizzati in ambito condominiale. Sarà, quindi, necessario valutare il singolo caso e seguire il criterio della cd. “logica funzionale” (secondo cui il titolare è colui che decide ed esegue il trattamento) per la corretta identificazione del titolare del trattamento.
Individuazione delle corrette basi giuridiche
Sono diverse le condizioni di liceità che possono essere poste a fondamento dei trattamenti di dati personali realizzati nell’ambito delle attività condominiali. Al riguardo, il documento di indirizzo prevede che:
- l’adempimento di un obbligo legale (art. 6, par. 1, lett. c) del GDPR) possa essere utilizzato, ad esempio, nel caso di quei trattamenti derivanti dall’obbligo dell’amministratore di riconsegnare la documentazione condominiale al termine del mandato;
- l’esecuzione di un contratto (art. 6, par. 1, lett. b) del GDPR) possa essere una valida base giuridica per i trattamenti di dati dei fornitori (società di pulizie, società di manutenzione, ecc.) nell’ambito dell’instaurazione e gestione dei rispettivi rapporti contrattuali;
- il perseguimento del legittimo interesse (art. 6, par. 1, lett. f) del GDPR) possa rappresentare la corretta base giuridica per quei trattamenti derivanti, ad esempio, dall’installazione del sistema di videosorveglianza nelle parti condominiali comuni a fronte della decisione assembleare.
Anche il consenso (art. 6, par. 1, lett. a) del GDPR) trova la sua ragion d’essere rispetto a quei trattamenti che non trovano presupposto in altre basi giuridiche; si pensi, ad esempio, a quei trattamenti “individualizzati” quale la registrazione delle assemblee condominiali.
Esaurita l’analisi circa l’importanza dell’individuazione della corretta base giuridica per garantire il rispetto del principio di liceità, il Garante si raccomanda affinché il trattamento dei dati venga realizzato tenendo altresì conto degli ulteriori principi sanciti dal GDPR; nello specifico, conformemente al principio di correttezza, trasparenza, limitazione delle finalità, minimizzazione ed esattezza dei dati, limitazione della conservazione, integrità e riservatezza.
Ulteriori adempimenti
Oltre alla predisposizione e alla consegna dell’informativa e alla definizione dei rapporti privacy con i soggetti esterni ed interni alla realtà condominiale che trattano dati per conto del titolare, il rispetto della normativa in materia di protezione dei dati personali deve essere garantito mediante la realizzazione di ulteriori adempimenti. Precisamente:
- in caso di affissione di documenti nella bacheca condominiale – accessibile anche a soggetti terzi – è necessario che questi non contengano i dati personali dei condòmini;
- qualora l’amministratore termini il proprio incarico, tutta la documentazione in suo possesso e afferente al condominio ed ai singoli condòmini deve essere riconsegnata, così da far cessare il trattamento che non troverebbe più idoneo fondamento;
- la corretta gestione delle richieste di esercizio di diritti da parte dei condòmini. Questi ultimi, quali soggetti interessati, hanno tutto il diritto di: i) sapere se esistono dati personali che li riguardano e richiederne una copia in formato intellegibile all’amministratore (attenzione che potranno essere comunicati i soli dati riferiti all’interessato e non anche alla collettività); ii) conoscere le informazioni relative alla gestione condominiale; iii) far aggiornare, rettificare o integrare i propri dati e chiederne la trasformazione in forma anonima, il blocco o la cancellazione qualora trattati in violazione di legge, iv) opporsi, per motivi legittimi, al trattamento dei propri dati e, in caso di mancato riscontro, presentare reclamo al Garante o ricorso all’Autorità giudiziaria.
Videosorveglianza in condominio
Nel documento di indirizzo l’Autorità Garante pone particolare attenzione al tema della videosorveglianza in condominio, a cui viene dedicato un intero paragrafo con l’obiettivo di sviscerare le sue implicazioni sotto l’aspetto della protezione dei dati personali.
Fermo restando che per procedere all’installazione del sistema di videosorveglianza presso le aree comuni del condominio è necessaria un’apposita delibera assembleare approvata con un numero di voti tale da rappresentare la maggioranza degli intervenuti e almeno la metà del valore dell’edificio, è fondamentale che, all’interno della predetta delibera, vengano altresì individuati:
- le finalità e le modalità del trattamento dei dati personali,
- i tempi di conservazione delle immagini
- i soggetti interni e/o esterni autorizzati a visionare le immagini.
Il Garante rammenta, poi, che l’installazione delle telecamere debba essere effettuata solo a fronte di un corretto bilanciamento tra le esigenze di sicurezza del condominio da un lato e tutela della privacy dei condòmini dall’altro.
Nell’ambito dei trattamenti realizzati mediante il sistema di videosorveglianza – come sopra già indicato – sarà, quindi, il condominio ad assumerne la titolarità e a doversi adoperare per dare corso a tutti gli adempimenti previsti dalla normativa vigente, primi fra tutti l’affissione della cartellonistica contenente la cd. informativa minima e l’individuazione del periodo di conservazione delle immagini che non potrà eccedere le 72 ore.
Discorso diverso si ha, invece, qualora l’installazione del sistema di videosorveglianza venga effettuato dal singolo condòmino per fini esclusivamente personali. In questo caso, l’Autorità Garante precisa che la normativa in materia di protezione dei dati personali non trova applicazione, purché i) l’angolo visuale delle riprese sia limitato esclusivamente agli spazi di propria pertinenza e ii) non si configurino ipotesi di comunicazione delle immagini a soggetti terzi o di diffusione.
Condominio digitale
L’Autorità Garante chiude il suo documento analizzando i trattamenti di dati derivanti dall’utilizzo delle nuove tecnologie, quali l’utilizzo di app o di portali per la gestione delle attività condominiali. Anche in questo caso, sebbene la fruizione di detti sistemi agevoli notevolmente una serie di adempimenti, l’Autorità Garante richiama l’attenzione sull’importanza di scegliere “prodotti” in grado di garantire la sicurezza dei dati personali ai sensi dell’art. 32 del GDPR.
È, quindi, fondamentale che il titolare del trattamento si affidi a società altamente specializzate ed in grado di fornire sistemi che assicurino il rispetto dei principi privacy (primo tra tutti quelli di privacy by design e by default) e dotati di adeguate misure di sicurezza atte a prevenire il verificarsi di violazioni.
