I mercoledì della privacy – Il Dpo nelle procedure del 110%: il Consorzio De Rosa esempio virtuoso

Mai come in questo caso sembra perfettamente calzante il detto «chi la dura la vince».
Divulgare la cultura privacy ha sensibilizzato una parte dell'ambiente condominiale, al punto che ieri il Consorzio domus network di Ernesto De Rosa è stato il primo gruppo che si occupa di superbonus ad aver proceduto alla nomina del Dpo (Data protection officer) o, per dirla in italiano Responsabile del trattamento dei dati.

Il Consorzio in questione, nello specifico, ha nominato (lo scrivente) come Responsabile della protezione dei dati, per disciplinare le procedure di raccolta dei documenti di natura condominiale e privata atti a consentire, ai tecnici specializzati, l'espletamento dell'esame sulla prefattibilità gratuita dei lavori che permettono l'ottenimento dei bonus fiscali ecobonus e sismabonus al 110% di cui al Dl 34/2020, articoli 119 e 121, come convertito in legge 77/2020. Una mole enorme di dati personali, dunque, considerando che il Consorzio vede partecipare otto general contractor che utilizzano la rete di professionisti ed imprese sviluppata dentro al gruppo.

Il ruolo del Dpo
Innanzitutto il DPO deve essere una figura indipendente, di garanzia, in grado di svolgere quei compiti imposti dal Regolamento europeo 16/679, nell'articolo 39.Si tratta, infatti, di un'attività, quella svolta dal Consorzio, che comporta trattamenti di dati che devono considerarsi su “larga scala”, intendendosi per questa, secondo il Garante: «Un trattamento che riguarda un alto numero di interessati localizzati in un determinato contesto territoriale».

In particolare, nella nota 14, pagina 9 delle Linee guida del Garante, al paragrafo 2.1.3 «Larga scala», si specifica che questa sussiste quando vi è almeno uno dei seguenti fattori: 1) elevato numero di soggetti interessati dal trattament o;
2) volume dei dati e/o diverse tipologie di dati oggetto di trattamento;
3) durata, ovvero la persistenza, dell'attività di trattamento;
4) la portata geografica dell'attività di trattamento.

I singoli trattamenti
Nel caso delle attività posta in essere dal Consorzio domus network, quantomeno in relazione ai punti 1) e 4), è facilmente intuibile che si tratti di trattamento su «larga scala e, conseguentemente, che deve considerarsi necessaria la nomina del Dpo in relazione ai trattamenti che si andranno a sviluppare.Viene da pensare che, ad eccezione di realtà più circoscritte, ogni general contractor che operi in questo settore avrà questa necessità, potendosi considerare improbabile la insussistenza dei requisiti previsti dalle Linee guida del Garante in relazione al concetto di «Larga scala».

Il lavoro collegato al superbonus
Ma quali sono i compiti del Data protection officer in quest'attività collegata al superbonus 110%?Il responsabile della protezione dei dati o Dpo può essere incaricato, ai sensi dell'articolo 39 Gdpr, almeno dei seguenti compiti:«a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento;b) sorvegliare l'osservanza del regolamento, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati;d) cooperare con l'autorità di controllo;e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione».

Dpo come supervisore
Occorre tener conto anche del principio di imparzialità che va a contraddistinguere la stessa figura del Dpo, che sarà una sorta di supervisore, una figura indipendente e al di sopra delle parti, esperto in materia, che si andrà ad occupare della protezione dei dati personali e delle procedure tecniche ed organizzative a questo connesse, andando a sviluppare i processi insieme al Consorzio nel rispetto del principio della privacy by design. La realtà pratica impone però al Dpo del 110%, ancora maggiori competenze perché, inevitabilmente, ogni sua azione e procedura si va ad interfacciare con la contrattualistica, ma anche con le procedure condominiali ponendosi come un aiuto all'operato dello stesso amministratore e una garanzia per tutti, condomini in primis.

La privacy by design, infatti, porta per sua natura ad uno studio di ogni passaggio strutturale che si intende porre in essere, in una fase prodromica allo stesso: le procedure si impostano prima per limitare i rischi sui diritti e le libertà fondamentali degli individui, nel rispetto del Gdpr ma anche della normativa condominiale ed oggi più che mai anche sanitaria. In questo contesto si dovranno prevedere anche quei supporti giuridici e pratici per fornire all'amministratore gli strumenti per svolgere le assemblee in modalità di teleassemblee.

Infine, l'integrazione delle procedure per la raccolta, tenuta e conservazione dei dati forniti dall'amministratore e dai privati, nonché il corretto utilizzo delle piattaforme elettroniche adoperate per il 110%, evita inutili rischi di sanzioni amministrative o di azioni risarcitorie che renderebbero tutt'altro che gratuita la procedura del superbonus 110%.Insomma, tanto lavoro per i Dpo, ma anche un'opportunità importante di sensibilizzazione ulteriore dell'ambiente verso le opportunità di crescita, sviluppo e protezione che la disciplina della privacy può e deve evidenziare.