I dati che l'amministratore può trattare, come più volte ci ha ricordato il Garante per la protezione dei dati personali, sono quelli strettamente collegati all'esercizio della sua gestione, come individuati nell'articolo 1130 numero 6 Codice civile. Il principio di minimizzazione e della finalità dei trattamenti deve governare l'operato del titolare di studio, il quale ha il dovere di misurare i trattamenti che intende effettuare valutando se, come e per quanto tempo, quell'informazione personale può essere gestita. L'amministratore di condominio deve infatti sempre rammentare che a supporto di ogni trattamento deve esserci una base giuridica che lo legittimi.

Quando il trattamento è legittimo

Queste sono riportate specificatamente nell'articolo 6 Gdpr che esplicita: «1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».

La valutazione sul trattamento spetta all’amministratore

Laddove manchi uno di questi presupposti indispensabili, il trattamento si considera illegittimo e quindi illecito. La grande novità del Gdpr è l'approccio “europeista” della normativa, che intende responsabilizzare il soggetto che va a trattare i dati. Questo comporta che non vi è un elenco di trattamenti leciti né di quelli illeciti che l'amministratore può seguire, ma ogni valutazione sulla conformità degli stessi è lasciata dalla norma al titolare del trattamento stesso.

Sarà quindi l'amministratore di condominio che dovrà di volta in volta esaminare se può compiere o meno quell'operazione, se ha gli strumenti idonei per farlo e se, soprattutto, ha informato (articolo 13 Gdpr) l'interessato di cosa e come andrà a trattare.La valutazione sul trattamento la troviamo in maniera ancora più evidente laddove si deve esaminare l'esistenza di un legittimo interesse ad effettuare un trattamento che, il titolare di studio, va a considerare come preminente rispetto al diritto dell'interessato a mantenere riservati i propri dati personali.

Il caso concreto: installare le telecamere di videosorveglianza

Esempio di queste specifiche valutazioni, da effettuarsi per scritto in ossequio al principio di accountability, la troviamo nel caso di installazione dell'impianto di videosorveglianza, dove le Linee Guida europee dell'Edpb 3/2019 ci vanno ad instradare su quali sono gli elementi di valutazione (necessità dell'installazione per il verificarsi di una fattispecie penalmente rilevante attuale e concreta e fallimento di altri strumenti meno invasivi), ma lasciano comunque libero il titolare del trattamento condominio e, per esso l'amministratore, di valutare caso per caso se l'impianto può essere installato, dove mettere le telecamere e quante posizionarne.

Altri esempi poi li troviamo, ad esempio, nei casi in cui singoli condòmini vanno a richiedere copia di documentazione all'amministratore che racchiuda dati personali di soggetti privati che non hanno espressamente autorizzato la comunicazione dei propri dati a terzi. La circostanza in questione la possiamo rinvenire ad esempio nella corrispondenza inviata all'amministratore ove risulta anche l'indirizzo email oppure altre informazioni personali di uno o più condòmini. In questo caso la valutazione riguarda espressamente comprendere se prevale il principio di trasparenza che fa capo al rapporto tra mandante e mandatario, ovvero la riservatezza del dato. Deve in questi casi comprendersi la motivazione della richiesta ed effettuare un bilanciamento degli interessi per capire se prevale uno o l'altro diritto.

Conclusioni

Per tutela e per rispetto del principio di accountability, in ognuna di queste fattispecie nei quali vi sono dubbi sulla legittimità del trattamento, si deve sempre lasciare traccia della valutazione che si è effettuata, evitandosi in tal modo il rischio di subire sanzioni dal Garante il quale, trovandosi di fronte ad una valutazione ponderata del titolare, può emettere provvedimento con cui dichiara la valutazione errata e, quindi, imporre di effettuare quel trattamento, oppure può ordinare di porre in essere le misure idonee a limitare il rischio di danno al soggetto interessato. Non procedere ad effettuare alcuna valutazione e agire senza verificare l'esistenza di una base giuridica che legittimi il trattamento, può comportare da un lato rischi di sanzioni amministrative con risvolti a volte anche gravi che possono sfociare nella commissione di reati, dall'altro rischi di azioni risarcitorie da parte del soggetto interessato che ritiene leso il proprio diritto di riservatezza.

Riproduzione riservata Ⓒ