Registro del trattamento dei dati nel condominio
Nel 2016 veniva approvato il GDPR , acronimo di General Data Protection Regulation, come il regolamento UE n. 2016/679 in materia di Privacy. Si tratta di un regolamento e ciò significa che è in vigore per tutti i paesi dell’Unione europea, senza bisogno di essere recepito dai singoli Stati, i quali saranno obbligati a un adeguamento della normativa interna in caso di conflitto. Si compone di 99 articoli , preceduti dai 173 paragrafi detti “ considerando “, che servono ad una maggiore comprensione ed interpretazione del testo . Una realtà che riguarda il trattamento dei dati personali nell’ambito condominiale . Diverse sono le previsioni del GDPR , fra le quali spicca il registro del trattamento dei dati personali.
L’art. 30 prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. Si tratta di un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Il GDPR si fonda sul principio di accountability del titolare, una forma di auto-responsabilità che si realizza con la osservanza delle modalità e di quanto previsto dallo stesso regolamento, anche laddove ci sia solo una indicazione e non un obbligo . Senza voler assumere il ruolo di interprete è sufficiente riportare quanto emerge sia dalle norme che dalle indicazioni del Garante. Il registro è lo strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Qui si svela il principio di responsabilità. La richiesta non può essere disattesa, né può essere giustificata l’assenza, specialmente laddove si fosse in presenza di dati sottratti , anche da probabili malware o pirati informatici( per semplificare la vicenda).Fino all’intervento , del Garante, dell’ottobre 2018, sembrava che dalla tenuta del registro fossero esentati gli amministratori del Condominio ed il Condominio stesso, in quanto titolare effettivo. Invece l’8/10/2018 il Garante interveniva con un comunicato dichiarando di aver messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”). Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.
Il Registro deve avere forma scritta, anche elettronica. Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti - qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati. Quindi di fatto ,con il proprio comunicato . indicava e specificava l’obbligo per le “organizzazioni” di cui all’art. 30, par. 5 le associazioni, fondazioni e i comitati, esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso); - il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali) , ma anche dati relativi alla proprietà , al codice fiscale, alla posizione debitoria etcc.. rientra, perciò fra gli obbligati Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante, in ogni caso , ne raccomanda la redazione a tutti i titolari e responsabili del trattamento; ciò si dice sempre per avere cura di redigerlo , perché solo così si possono evitare sanzioni o situazioni di responsabilità . Il Registro dei Trattamenti non è altro che un documento sintetico che in cui sono contenuti tutti i parametri del trattamento e dove le informazioni scritte sull’informativa privacy vengono riportate , tramite un semplice elenco. In esso andrà indicato il nome del titolare (che nei Condomini è il Condominio stesso) , quali dati vengono trattati, per quale finalità vengono raccolti. Nel campo “finalità del trattamento” oltre alla specifica indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD); sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD ed in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD. Nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.). Andrà, poi, indicato il tempo per il quale vengono conservati ; in relazione a contratti e laddove non sia possibile predeterminare un termine ,occorre rifarsi a prassi. Andrà indicato chi può esaminare i dati , chi può accedere ai sistemi oppure all’ufficio; se le chiavi sono nella disponibilità d imprese di pulizie o di persone estranee all’ufficio , indicare i recapiti e le misure idonee per evitare che le stesse possono esaminarli; chi può esaminarli ed accedere alle informazioni stesse, sia cartacee che digitali; quali sono le misure che garantiscono la integrità ed il nome del Responsabile ( che nel caso del Condominio è l’amministratore stesso) , con la data del contratto.
Normativa di riferimento
Lo stesso Responsabile avrà un suo registro, specialmente se si occupa di diversi condomini , che terrà distinti. In questi casi il responsabile dovrà suddividere il registro in tanti sub registri per quanti sono i titolari per conto dei quali agisce. Se dovesse ingente il numero di titolari per cui si opera e la correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD. Ovviamente non è sufficiente tenere il registro, in quanto lo stesso va continuamente aggiornato sulla scorta degli accadimenti, dei nuovi fornitori e di nuovi contratti, oltre che di nuovi acquirenti .