I mercoledì della privacy: le domande che ogni professionista deve porsi nel trattare dati

L'articolo 32 del Regolamento Ue 16/679, rubricato “Sicurezza del trattamento”, dispone al primo comma che: «Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio».

Questo comma racchiude tutti i concetti che il regolamento europeo vuole intendere in una parola sola, che è quella dell'accountability, finalizzata a ridurre i rischi su trattamenti illeciti di dati che possano andare a pregiudicare «i diritti e le libertà delle persone fisiche».Il titolare di studio, sia se svolga il ruolo di titolare sia che venga invece nominato dal condominio che amministra quale responsabile del trattamento dati, deve comunque concentrarsi nell'attuare una serie di misure tecniche ed organizzative atte a mitigare i rischi sui trattamenti dei dati personali.Per di più l'articolo 25 del regolamento europeo in questione ci ricorda la necessità di mettere in atto queste misure di sicurezza anche in anticipo rispetto ai nuovi trattamenti che si andranno a sviluppare.

In tali casi si parla di «privacy by defaul»”, che prevede l'adozione di impostazioni iniziali standard predefinite che limitino al massimo la raccolta dei dati personali e «privacy by design» che prevede l'attuazione di attività che limitino i rischi sin dal momento della progettazione oltre che dell’esecuzione del trattamento stesso. Ma nel concreto cosa significa applicare «misure tecniche ed organizzative adeguate al rischio»?Vuol dire che l'amministratore di condominio, deve porsi una serie di domande improntate nel rispetto del principio di accountability e che si prefiggano lo scopo di ottemperare a due principi cardine dettati dalla normativa poste a tutela dei dati personali: la finalità del trattamento e la minimizzazione.

Per principio di finalità si intende che un trattamento di dati personali è legittimo in relazione, appunto, al fine del trattamento stesso. Per capire se si sta percorrendo la strada giusta l'amministratore deve rispondere alla domanda «perché» trattare i dati. I dati devono essere raccolti per finalità determinate, esplicite e legittime. Quindi per poter effettuare una qualunque tipologia di operazione su dati personali occorre dapprima avere chiaro qual è l'obiettivo che lo studio si vuole prefiggere. Ad esempio: occorre convocare l'assemblea condominiale, effettuare un'assemblea in modalità di videoconferenza, trattare un sinistro con lesioni.In ognuno di questi esempi si può facilmente notare come, la tipologia di dati trattata sarà sempre diversa.

Nel caso di convocazione di assemblea l'amministratore, infatti, deve mantenere il confine stabilito dalla norma in relazione ai soli dati che tratta per la gestione del registro anagrafe condominiale (articolo 1130 comma 3, n. 6 Codice civile); laddove invece vi sia la necessità di svolgere un'assemblea in modalità di videoconferenza, disciplinata dall'articolo 66 disposizioni attuative Codice civile, l'amministratore di condominio avrà la base giuridica per poter trattare anche il numero di telefono cellulare e la mail del condòmino; infine, ove debba essere gestito un sinistro con lesioni, lo studio dovrà raccogliere anche una serie di dati sensibili collegati allo stato di salute del soggetto presuntivamente danneggiato, su cui potrà svolgere i necessari trattamenti una volta ottenuto il relativo consenso.

Gli esempi in questione, ci pongono dinanzi a casistiche nelle quali la diversa finalità di trattamento porta poi l'amministratore di condominio a dover trattare necessariamente una serie di dati diversi nell'un caso rispetto agli altri. La seconda domanda che un titolare di studio accountability dovrà porsi è: «quali dati servono per poter raggiungere quella finalità ci si prefigge?». Ecco, quindi, che si dà voce al principio di minimizzazione, ovvero si potranno trattare solo i dati strettamente necessari rispetto alla finalità perseguita. Ma il principio in questione va oltre, e impone che il titolare o responsabile del trattamento si ponga anche altre domande, collegate alla prima ma sempre dirette a limitare i trattamenti e a “minimizzarli”.

Ci si dovrà allora porre l'ulteriore quesito: «per quanto tempo mi serve trattarli?» Si tratta di comprendere la «durata del trattamento e i tempi della conservazione»: i dati vanno trattati e conservati per il tempo strettamente necessario rispetto alla finalità perseguita.Dopo di che, la domanda che ci si deve rivolgere è collegata alla strutturazione dei processi interni agli studi, ovvero: «chi tratta quei dati?». È importante, infatti, che vi siano dei livelli di accesso tra il personale e che solo i soggetti debitamente formati possano trattare dati, soprattutto se questi sono di natura sensibile.

Non tutti possono vedere tutto, questa deve essere la regola.Le domande riportate sono quelle che uno studio di amministrazione deve porsi sempre, nello svolgimento delle proprie attività quotidiane, come fossero un disco ricorrente. Le risposte a questi quesiti, dovranno ritrovarsi scritti in procedure strutturate che potranno ritrovarsi nelle cosiddette policy di studio.L'amministratore virtuoso deve ragionare nell'ottica che organizzare processi sui trattamenti non è mai una perdita di tempo, ma consente una più snella e proficua gestione dello studio.