Come regolare in modo corretto il trattamento dati dei condòmini che fruiscono di servizi e beni comuni da parte del titolare.
QUESITO di Mario M.
Nel nostro condominio, costituito da alcune centinaia di unità immobiliari e dotato di strutture comuni – piscina, campi di calcetto e da tennis, etc. – le spese di gestione dei beni comuni sono ripartite in parte sulla base di tabelle millesimali e in parte in misura uguale tra tutti i proprietari. Questi criteri di ripartizione della spesa sono stati spesso oggetto di critiche, in quanto alcuni proprietari, soprattutto quelli che affittano gli immobili, utilizzano tali strutture più intensamente e assiduamente di altri.
L’amministratore sta, quindi, valutando la possibilità di ripartire la spesa per la gestione delle strutture comuni sulla base del loro effettivo utilizzo da parte dei proprietari e dei loro ospiti e per fare ciò, sta immaginando di registrare gli accessi alle varie strutture, in modo da poterli contare e associare a ciascun immobile, così da addebitare a ciascun proprietario una quota condominiale proporzionale al numero di accessi conteggiati (per giorno o media per mese). Per far ciò, verranno raccolti ed elaborati i seguenti dati: nominativo di chi accede alla struttura, l’immobile di cui è proprietario o di cui è ospite, data e ora di ingresso e uscita dalla struttura.
L’amministratore ha la possibilità di acquisire e trattare tali dati, in virtù del suo ruolo di “responsabile del trattamento” dei dati personali dei partecipanti al condominio, oppure deve predisporre una apposita informativa privacy per acquisire un consenso esplicito da parte dei proprietari e dei rispettivi ospiti, esterni al condominio?
Il trattamento di “dati personali” (identificativo del fruitore della struttura comune, identificativo dell’immobile) associato a quello di dati di utilizzo (tipo di struttura, giorno e ora di fruizione), configurano la fattispecie di una “profilazione”? E’ necessario e sufficiente che l’informativa privacy descriva i dati trattati, la modalità di trattamento (dati in chiaro o pseudonimizzati) e la finalità del loro trattamento (rimodulazione delle quote condominiali relative alla gestione delle strutture comuni)?
Per rispettare le norme anti-covid, l’estate scorsa sono state rilevate le presenze quotidiane nelle aree comuni, raccogliendo gli stessi dati citati in precedenza; qualora i dati fossero ancora disponibili, potrebbero essere utilizzati a fini statistici ed eventualmente per valutare sin d’ora quote condominiali diversificate?
M.M.
RISPOSTA AL QUESITO
PRIVACY E SPESE DI GESTIONE DEI BENI CONDOMINIALI DI PROPRIETA’ COMUNE
AVV. MAURO BUONTEMPI
Il quesito proposto ci offre l’occasione di chiarire alcuni importanti aspetti del rapporto tra Condominio e GDPR. Innanzitutto, cerchiamo di fare chiarezza sulla figura dell’Amministratore e sul suo inquadramento giuridico sotto il profilo del trattamento dei dati personali in ambito condominiale. Il Garante per la Privacy si è più volte espresso affermando che le informazioni personali riferibili a ciascun partecipante possono essere trattate per la finalità di gestione ed amministrazione del Condominio e possono essere, per tali ragioni, condivise all’interno della compagine condominiale, tenendo anche conto che i condòmini devono essere considerati contitolari di un medesimo trattamento dei dati di cui l’Amministratore, agendo in eventuale veste di responsabile del trattamento, ha la concreta gestione.
Ai sensi dell’art. 4 § 1 n. 7 il Titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali”, mentre il Responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4 § 1 n. 8).
In sostanza il Titolare è il soggetto che individua le finalità del trattamento e determina le modalità di tale trattamento ponendo massima attenzione alla sicurezza e alla minimizzazione dei dati. Il Responsabile, invece, è colui che viene incaricato dal Titolare del trattamento a compiere una o più operazioni di trattamento specificatamente indicate dallo stesso Titolare.
Sotto il profilo della responsabilità il Titolare è sempre chiamato a rispondere del trattamento dei dati anche nei confronti di terzi ed anche in presenza della nomina del Responsabile del trattamento (eventualmente per culpa in eligendo o in vigilando), mentre quest’ultimo risponderà nei limiti dell’incarico assegnatogli.
Risulta evidente come la figura del Responsabile del trattamento sia in qualche modo eventuale anche perché, generalmente, è il Titolare del trattamento che svolge le operazioni di trattamento dei dati personali. In sostanza nel caso del Condominio la necessità di nominare un Responsabile del trattamento nascerà laddove il Titolare/Amministratore dovesse necessitare di un supporto quando numero e/o complessità dei trattamenti e delle relative operazioni dovessero giustificare una tale nomina.
Se l’Amministratore fosse una persona giuridica, l’esigenza di un Responsabile del trattamento sarebbe più sentita dal momento che in tale caso le operazioni di trattamento vengono svolte da persone fisiche a ciò incaricate.
Affrontiamo adesso la problematica della registrazione degli accessi alle varie strutture sollevata nel quesito.
Va preliminarmente chiarito quali siano i dati personali che nell’ambito dell’amministrazione del Condominio possono essere trattati. Il Garante ha puntualmente chiarito, anche alla luce del GDPR, che possono essere trattate soltanto le informazioni personali pertinenti e non eccedenti le finalità di gestione e amministrazione delle parti comuni. In sostanza si possono usare dati anagrafici e indirizzi dei condòmini (per la convocazione dell’assemblea o per altre comunicazioni), i dati riferiti alle quote millesimali di proprietà, quelli necessari per il calcolo delle spese condominiali, mentre non possono essere trattati in alcun modo dati che non siano legati ad attività di gestione ed amministrazione delle parti comuni o che non siano strettamente collegati alle quote dovute dai partecipanti al Condominio. In questa ottica l’Amministratore può porre in essere delle attività di trattamento per cercare di ripartire la spesa per la gestione delle strutture comuni e potrà operare una registrazione agli accessi alle varie strutture ponendo particolare attenzione all’adempimento di alcuni importanti quanto necessari adempimenti. Il GDPR obbliga il Titolare del trattamento all’osservanza di alcuni principi fondamentali che sono: a) liceità, correttezza e trasparenza; b) limitazione delle finalità; c) minimizzazione dei dati; d) esattezza; e) limitazione della conservazione; f) integrità e riservatezza; g) responsabilizzazione. Per poter effettuare una corretta ripartizione delle spese e al contempo osservare i principi di cui sopra, l’Amministratore necessiterà soltanto di registrare in forma anonima l’accesso di una persona legandolo all’immobile verso cui è diretto. Questi sono gli unici dati di cui necessita non risultando pertinenti né quelli relativi al nominativo del soggetto che effettua l’accesso, né la data e l’ora di entrata e uscita. Tale attività di trattamento dovrà essere adeguatamente illustrata attraverso una informativa che l’interessato (cioè il soggetto che effettua l’accesso) troverà in bella evidenza presso la portineria (se l’ingresso è unico) o presso tutti gli altri ingressi del condominio (nella eventualità di più punti di accesso). Trattandosi di attività amministrativa prevista dalla legge l’interessato non dovrà prestare alcun consenso in quanto la base giuridica utilizzata sarà quella prevista dall’art. 6§1 lettera c).
Questione diversa se l’Amministratore dovesse trovarsi nella condizione di “provare” ai condòmini l’ingresso degli ospiti e il loro utilizzo di parti comuni. Mi riferisco alla possibilità che anche un solo condòmino possa contestare la registrazione anonima degli ospiti non fidandosi di un dato minimizzato. In questo caso l’Amministratore, nella sua qualità di Titolare del trattamento, potrebbe registrare il nominativo dell’ospite, raccoglierne la firma con indicazione dell’orario di entrata e di uscita oltre che dell’immobile di destinazione. Per fare ciò il Titolare del trattamento deve fornire ad ogni ospite adeguata e chiara informativa, eventualmente attraverso le modalità sopra illustrate, ma deve anche raccoglierne il consenso informato in quanto la base giuridica che potrà essere utilizzata sarà appunto solo quella del consenso così come previsto dall’art. 6 § 1 lettera a). Questo perché i dati registrati sono sì necessari per uso interno ma non per assolvere l’obbligo di legge della ripartizione delle spese per cui sarebbe sufficiente una registrazione anonima. Nella eventualità in cui l’ospite negasse il consenso al trattamento dei propri dati personali l’Amministratore, o la persona da lui delegata (Responsabile del trattamento ex art. 28 o incaricato ex art. 29) potrebbe vietargli l’ingresso in virtù di un Regolamento condominiale che espressamente preveda tale eventualità o di una delibera assembleare che, tra le altre, dovrà indicare la durata temporale del trattamento e dell’eventuale divieto di accesso al Condominio in caso di denegato consenso.
In entrambi i casi non ci troveremo di fronte ad alcuna profilazione che, lo ricordiamo, viene definita all’interno del GDPR come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (cfr. art. 4 § 1 numero 4).
Per quanto concerne la raccolta di dati operata dall’Amministratore in costanza di norme anti-Covid preme sottolineare come la raccolta di tali dati avesse come finalità esclusivamente quella del rispetto della normativa vigente con modalità e tempi di conservazione ben definiti. L’utilizzo a fini statistici di tali dati potrebbe essere fatto ma a condizione di rendere una adeguata informativa a tutti gli interessati che sono stati registrati con indicazione, tra le altre, della nuova finalità, della anonimizzazione dei dati e dei tempi di conservazione.
Risposta dell’Avv. Mauro Buontempi
Alcune delle foto presenti su Privacyitalia.eu potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy
Con il sostegno di:
