I MERCOLEDÌ DELLA PRIVACY: La gestione dei consensi nell'anagrafica condominiale

La gestione dell'anagrafica può considerarsi il punto dolente della normativa sul trattamento dei dati personali, nonché il passaggio chiave per verificare che l'amministratore (ma anche il Condominio quale titolare del trattamento), sia in linea con il principio dell'accountability, ovvero di “rendicontazione”: si deve dimostrare di operare utilizzando metodologie e strumenti tecnici/organizzativi adeguati al rischio che incombe, come dice il Gdpr, il Regolamento generale sulla protezione dei dati, “sui diritti e le libertà dell'interessato” posto che stiamo trattando dati personali.

I dati obbligatori
In base all'articolo 1130 Codice civile i dati che sono da considerarsi obbligatori e di cui l'amministratore deve necessariamente disporre sono: nome, cognome, data di nascita, codice fiscale, residenza o domicilio dei proprietari e dei titolari di diritti personali o reali di godimento e dati catastali dell'immobile.

I recapiti personali
Tutto ciò che si richiede in più deve fare i conti con la normativa sul trattamento dei dati personali. I numeri di telefono fisso, di telefono cellulare e l'indirizzo di posta elettronica possono essere utilizzati solo se: 1) indicati in elenchi pubblici (pagine bianche o gialle); 2) l'interessato abbia fornito il proprio consenso.

In ogni caso, occorre sempre tenere presente il principio di proporzionalità circa l'uso di questi recapiti, con particolare riferimento a frequenze e ad orari: il loro utilizzo può essere opportuno in casi di necessità ed urgenza (soprattutto per evitare situazioni di pericolo o danni incombenti), e, comunque, non possono essere comunicati a terzi.

Dati sulla salute o giudiziari
I dati di natura particolare (come quelli sullo stato di salute o i dati giudiziari) si possono trattare esclusivamente nel caso in cui siano indispensabili ai fini dell'amministrazione del condominio. Può accadere un trattamento di tal genere, ad esempio, quando l'assemblea debba deliberare l'abbattimento delle “barriere architettoniche” che rendono difficoltoso l'accesso a un condomino diversamente abile, oppure laddove si intendano acquisire informazioni sulle persone che presteranno servizio alle dipendenze del condominio stesso, oppure quando si debbano trattare i dati anche sanitari di persone che abbiano subito danni negli spazi condominiali. Per il trattamento di queste informazioni è imprescindibile l'acquisizione dei consensi (articolo 4 e Considerando 32 Gdpr).

La contabilità tra proprietario e conduttore
Ma l'amministratore deve gestire altri consensi? Normalmente la gestione dei consensi nell'attività di uno studio di amministrazione condominiale è ancora più ampia.
Occorre tenere presente la tenuta della contabilità separata ordinaria tra proprietario e conduttore. Qual'è l'amministratore di condominio che non “suddivide le spese ordinarie” tra il proprietario e il conduttore? Eppure quest'attività non rientra in quelle derivanti dal rapporto di mandato così come inteso nel codice civile, né è un'incombenza che possa derivare dal regolamento di Condominio o da una delibera assembleare.

Occorrerà quindi disporre di apposita informativa con consenso espresso al trattamento sia da parte del proprietario, sia da parte del conduttore. I dati infatti, raccolti per le finalità dal contratto di mandato ad amministrare, vengono utilizzati per altro fine, in base al quale titolare del trattamento sarà sempre e comunque l'amministratore stesso e non più il Condominio.

Quando occorrono specifici consensi
Lo stesso ragionamento deve essere esteso in relazione a qualunque altro trattamento che l'amministratore decida di effettuare con i dati dei condomini e che non discenda dalla mera attività che gli compete in relazione al rapporto instaurato con i condomini. Si pensi all'invio di newsletter, attività di consulenza, assistenza alla contrattualistica, marketing. Queste ed altri trattamenti che l'amministratore svolge necessitano di specifici consensi.

L’obbligo dell’amministratore
Il problema che ora si pone è: l'amministratore ha l'obbligo di “gestire” i consensi secondo il Gdpr. Occorre raccoglierli; poi si devono suddividere i contatti tra coloro che lo hanno fornito e coloro che non lo hanno mai comunicato (verso quest'ultimi non sarà possibile svolgere alcuna attività ulteriore rispetto a quelle derivanti dall'attività di amministrazione); poi occorre gestire le revoche, facendo in modo che chi l'abbia inviata venga poi trattato come se non lo avesse mai conferito.

I tempi di conservazione dei dati
Occorre anche stabilire con delle policy i tempi di conservazione di queste informazioni e specificarli bene nell'informativa. Tutto ciò va organizzato mediante processi automatizzati per far si che si limiti il rischio di errore, formando l'addetto al trattamento, e conservando traccia di tutti i passaggi, perché laddove dovesse esserci un controllo da parte degli Organi ispettivi (nucleo speciale Privacy della Guardia di Finanza), sarà onere della prova dell'amministratore dover dimostrare in via documentale la corretta gestione dei consensi e dei trattamenti che li richiedono.

Appare quindi indispensabile creare degli strumenti gestionali semplici, che prevedano l'applicazione di misure di sicurezza adeguate e scrivere delle procedure che si vadano ad allineare alle richieste normative da un lato, e alle esigenze dello studio dall'altro.