E’ entrato in vigore il nuovo Regolamento UE 2016/679 in materia di privacy , il famoso GDPR (General Data Protection Regulation) che va a sommarsi all’articolo 1130, comma 6, del codice civile, che per quanto riguarda il ruolo dell’amministratore di condominio già imponeva la “cura della tenuta del registro di anagrafe condominiale contenente le generalità dei singoli proprietari e dei titolari di diritti reali e di diritti personali di godimento, comprensive del codice fiscale e della residenza o domicilio, i dati catastali di ciascuna unità immobiliare, nonché ogni dato relativo alle condizioni di sicurezza delle parti comuni dell’edificio”.

Ma quali sono nel dettaglio le incombenze nell'ambito della privacy dell’amministratore di condominio?

Secondo l’Art 24 del regolamento europeo, l’Amministratore professionista, in qualità di mandatario dovrebbe assumere il ruolo di titolare del trattamento dei dati sulla privacy , in attesa che il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri , nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, nonchè ad integrare elementi del presente regolamento nel proprio diritto nazionale. Inoltre, l’Art 28 del Regolamento UE 2016/679 attribuisce al responsabile del trattamento il compito di mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato. Inoltre in base all’Art 37 del citato regolamento, il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'Art 39.

Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. Per quanto concerne le sanzioni, l’Art 82 del presente regolamento dispone che chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Nel primo caso il titolare del trattamento dei dati se coinvolto nel trattamento, risponde per il danno cagionato qualora violi il presente regolamento. Nel secondo caso, il responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Nel terzo caso il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

L’Art 84 del presente regolamento conferma con riferimento alle sanzioni che : Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive. Inoltre ogni Stato membro, notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.

Per quanto riguardi i documenti da consegnare all'interessato resta valida l’informativa da consegnare all'inizio del trattamento, con lo scopo di informarlo circa le finalità per cui i suoi dati vengono trattati, le modalità del trattamento degli stessi, la natura obbligatoria o facoltativa del conferimento dei dati, i soggetti che possono venirne a conoscenza in qualità di autorizzati o di responsabili del trattamento, l’ambito di comunicazione o di diffusione dei dati medesimi, il periodo massimo o il criterio di detenzione dei dati personali e dei suoi diritti in qualità di interessato.

Dovranno essere chiaramente indicati anche il nome del titolare del trattamento e i recapiti di contatto. Partendo dal presupposto che ogni operazione sui dati per scopi diversi da quelli per cui sono stati raccolti è illecita senza consenso, così come prescritto dagli articoli 6, 7, 9 del Regolamento UE 2016/679, esistono poi alcuni casi specifici. Qualora l’amministratore, nell'ambito delle sue mansioni, dovesse trattare dati sensibili, quei dati cioè che attendono a origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale, dovrà inoltre raccogliere il consenso presso l’interessato così come previsto dall’Art. 9 del Regolamento UE 2016/679. Stessa cosa per quanto riguarda la finalità commerciali.

Altra incombenza per gli amministratori di condominio è il fatto che se essi risultano personalmente titolari del trattamento dei dati, devono essere in grado di dimostrare di avere adottato un processo complessivo di misure tecniche e organizzative per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi: deve quindi poter dimostrare di aver svolto ogni possibile azione volta a ridurre al minimo il rischio di violazione o di perdita anche accidentale di dati.

Il GDPR sarà applicato a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea. Le norme si applicano dunque anche alle imprese situate fuori dall'Unione europea che offrono servizi o prodotti all'interno del mercato UE. Tutte le aziende, ovunque stabilite, dovranno rispettare le nuove regole. Chi non le rispetta sarà soggetto a sanzioni.

Tra quelle amministrative più ricorrenti ci sono quelle relative alla mancanza di informazioni nei confronti degli utenti e interessati in genere. Si tratta di un articolo che prevede una sanzione pecuniaria da tremila a diciottomila euro, nel caso che l’omessa o inidonea informativa si riferisca a dati personali identificativi, ma in alcuni casi è previsto anche un aggravio della pena da cinquemila a trentamila euro.

Le sanzioni per comportamenti scorretti possono arrivare sino al 4% del fatturato globale o a 20 milioni di euro e possono essere inflitte a persone fisiche, a soggetti giuridici privati o pubblici, specificamente ai titolari e i responsabili del trattamento, ovvero il DPO (Data Protection Officer, nuova figura introdotta dal GDPR ) oppure gli organismi di certificazione e di monitoraggio dei codici di condotta.