L'amministratore di condominio quale responsabile del trattamento dati.
Ruoli e responsabilità dell'amministratore di condominio nella sua veste di responsabile del trattamento
Tag: condominio, amministratore, trattamento dati
L'art. 4, par. 1, n. 8 del GDPR definisce il " responsabile del trattamento" come "la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
In ambito condominiale, mentre il Titolare del trattamento è il Condominio stesso come più volte evidenziato dal garante sulla protezione dei dati a partire dal Vademecum Condominiale del 2013, il ruolo di responsabile del trattamento viene ricoperto dall'amministratore stesso.
Questi è responsabile del trattamento dei dati già in ragione del perfezionarsi del rapporto contrattuale di mandato che lega le parti al momento di accettazione della nomina quale amministratore da parte del soggetto eletto in sede di assemblea condominiale.
Il responsabile amministratore ha degli obblighi di trasparenza. In tal senso il GDPR impone di contrattualizzare il rapporto tra titolare e responsabile, specificando l'assunzione dell'incarico con un documento formale redatto dal Condominio titolare del trattamento, nel quale vengano specificati gli obblighi e i limiti del trattamento dati che effettuerà l'amministratore nello svolgimento del suo ruolo di responsabile del trattamento.
Il responsabile del trattamento secondo il GDPR, deve avere una competenza qualificata dovendo garantire una conoscenza specialistica della materia, e dovrà attuare quelle misure tecniche e organizzative in grado di soddisfare i requisiti stabiliti dal regolamento europeo.
Appare evidente quindi, nella fattispecie che riguarda la gestione dei dati in ambito condominiale, come l'Amministratore possa farsi coadiuvare nello svolgimento dell'attività di responsabile da soggetti che abbiano la competenza qualificata richiesta dalla norma.
Da una lettura attenta, può evincersi come l'aggiornamento svolto secondo i parametri indicati dalle norme UNI 11697/2017, debba essere condizione imprescindibile per lo svolgimento dell'incarico di responsabile del trattamento dei dati.
Considerando poi che la qualifica di responsabile del trattamento, è implicita nell'atto di accettazione alla nomina ad amministratore del condominio, vi è da chiedersi se, la mancata effettuazione della formazione richiesta, possa essere motivo di revoca giudiziale in quanto verrebbe a mancare uno dei requisiti obbligatori previsti dalla legge.
Il responsabile ha obblighi di garantire la sicurezza dei dati . Egli deve adottare tutte le misure di sicurezza adeguate al rischio (art. 32 regolamento), le misure di attuazione dei principi di privacy by design e by default, dovrà inoltre garantire la riservatezza dei dati, vincolando i dipendenti, dovrà informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento.
Lo stesso GDPR, indica all'art. 5, alcune misure di sicurezza utili per ridurre i rischi del trattamento, quali la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Inoltre, il responsabile ha l'obbligo di avvisare, assistere e consigliare il titolare. Dovrà, quindi, avvisare il condominio se ritiene che una delibera adottata viola qualche norma in materia, configurandosi a suo carico una responsabilità per omessa informazione nei confronti del titolare del trattamento.
Dovrà evadere le richieste degli interessati, dovrà avvisare i contitolari in caso di violazione dei dati, e condurre per conto del Condominio la valutazione di impatto privacy (DPIA) che dovrà effettuarsi nei casi in cui il titolare e il responsabile lo riterranno opportuno (ad esempio laddove vi sia un impianto di videosorveglianza installato con le telecamere che inquadrano aree di pubblico transito).
Nel caso di trattamento in violazione del regolamento europeo, il responsabile amministratore risponde per il danno cagionato all'interessato, in solido con il titolare, secondo quanto previsto dall'articolo 82 e dal Considerando 28.
L'amministratore potrebbe quindi rispondere nei casi in cui travalica le istruzioni del condominio in relazione al trattamento dei dati; non lo assiste (ad esempio per le violazioni dei dati o la valutazione di impatto); non pone a disposizione del condominio le informazioni necessarie per un audit; non lo informa che una delibera è in violazione della normativa; laddove ne fosse obbligato non designa il DPO (in realtà quali centrali termiche particolarmente importanti); designa un sub-responsabile non essendo stato previamente autorizzato o che non presta garanzie sufficienti.
Il responsabile del trattamento sarà, però, esonerato dalla responsabilità se dimostra che l'evento dannoso non è in alcun modo imputabile alla sua condotta, e quindi che il danno è scaturito da una fonte "estranea" al loro raggio d'azione, oppure se dimostrano di aver adottato tutte le misure idonee al fine di evitare il danno stesso.
L'art. 82, comma 5 dispone infine che: "Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2".
La norma è interessante in quanto disciplina le conseguenze patrimoniali derivanti dal danno, nei rapporti interni tra Condominio e amministratore responsabile del trattamento dei dati: una responsabilità che si configura "per quote", ossia sulla base delle diverse "porzioni" di responsabilità.
Fonte: condominioweb