I mercoledì della privacy: perché il condominio è titolare del trattamento e le conseguenze del ruolo assunto

L'articolo 4 del Regolamento Ue 2016/679 definisce il trattamento «qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione».

Sempre il medesimo articolo definisce il titolare del trattamento «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri». La normativa in questione definisce anche la figura del responsabile del trattamento, identificato come «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».

Cosa rappresenta il condominio da un punto di vista della normativa sul trattamento dei dati personali, lo ha scritto con autorevolezza il Garante per la protezione dei dati personali, con parere del 18 maggio 2006, nel quale ha affermato che «la legge sulla privacy non pone ostacoli all’applicazione delle norme del Codice civile riguardanti il condominio degli edifici, sottolineando comunque la necessità che vengano raccolti e utilizzati solo i dati personali necessari alla gestione amministrativa della proprietà. I condòmini devono infatti essere considerati come contitolari di un medesimo trattamento e in quanto tali hanno il diritto di accedere e di ricevere le informazioni riguardanti l’amministrazione e il funzionamento del condominio».

Se analizziamo a fondo il parere, possiamo affermare che, secondo l'Authority, co-titolari sono i singoli condòmini, i quali effettuano un unico trattamento, quello che si identifica come esplicato dal condominio nel suo insieme. Il condominio a sua volta è un ente di gestione privo di autonoma personalità giuridica, composto da un insieme di soggetti che invece hanno una propria personalità giuridica quali sono, appunto, i condòmini.Sono questi ultimi che declinano i loro interessi e prendono le loro decisioni in relazione alle parti comuni dell'edificio attraverso la compagine assembleare e sottostanno alle regole codicistiche sulla materia e al regolamento condominiale.

I condòmini demandano inoltre l'esecuzione e la gestione del deliberato ad un soggetto che nominano, attraverso un contratto di mandato, amministratore di condominio. Il parere 1/2010 del Gruppo articolo 29, detto «WP29», nel dettare le linee guida che vanno a distinguere le diverse figure coinvolte nel trattamento dei dati, evidenzia come il responsabile sia un soggetto esterno rispetto al titolare del trattamento. Il WP29 ricorda che il titolare del trattamento può decidere di trattare i dati all’interno della propria realtà oppure delegare in tutto o in parte le attività di trattamento dati ad un soggetto esterno ad esso. Ci sono casi nei quali, come specificato nello stesso articolo 28 Gdpr, il titolare del trattamento non può (non avendone proprio le “capacità”) trattare dati senza avvalersi di un responsabile esterno.

Questo è anche il caso del condominio, in se privo di personalità giuridica e incapace, senza demandare apposito mandato ad un soggetto terzo (l'amministratore appunto), a gestire in autonomia le proprie questioni. Da quanto dedotto, emerge che, anche secondo il Gdpr, proprio dall'analisi delle definizioni dei ruoli, per agire come responsabile del trattamento occorre essere una persona giuridica distinta dal titolare e elaborare dati per conto di questi. Il Gruppo di studio dell’Edpb (European data protection board) sul tema, con le Linee guida del 2020, ha ricordato che, infatti, le risorse coinvolte nel trattamento ed appartenenti all'organizzazione del titolare coincidono con il titolare stesso, o comunque potranno essere definite quali persone autorizzate o designate. Quindi, il responsabile del trattamento è soggetto esterno, tratta i dati personali secondo le istruzioni del titolare, assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura.

Da ciò si deduce che, sia il titolare condominio sia l'amministratore sono responsabili dell'ottemperanza agli obblighi previsti dalla normativa in materia di trattamento dei dati personali e devono, pertanto, adottare misure tecniche e organizzative adeguate per garantire la tutela dei dati personali (articolo 32 Gdpr).La responsabilità ricadente su entrambi i ruoli fa sì che, l'amministratore rimane sempre obbligato al rispetto del Gdpr a favore del condominio da lui amministrato e ciò proprio in virtù dell'esistenza del mandato ricevuto.

Il contratto di mandato e gli obblighi ricadenti sul mandatario, gli impongono di ottemperare agli obblighi imposti dalla norma «self executing» e di rango superiore, quale il Regolamento europeo 679/2016 sul trattamento dei dati personali.Una eventuale volontà contraria in tal senso espressa dall'assemblea di condominio non può essere quindi, di per se stessa, sufficiente ad esonerare l'amministratore di condominio ad adempiere alle attività di adeguamento del condominio amministrato.