I mercoledì della privacy: perché si parla di obbligo annuale di adeguamento anche per i condomìni

I condomini di un condominio, come sancito dal Garante Privacy (16 luglio 2003, documento web numero 1053868) sono tutti insieme titolari e contitolari, gli uni nei confronti degli altri, del trattamento dei loro dati personali. Essi – e il condominio nel suo insieme – sono i soggetti a cui per primi si applica il Regolamento Ue 16/679, norma che si rivolge nella sua interezza dapprima verso i titolari e poi verso i responsabili del trattamento.

Istruire l’amministratore, responsabile del trattamento
Da qui nasce un primo obbligo, secondo il quale i titolari devono adoperarsi per istruire e formare i soggetti che trattano i dati per conto del titolare condominio e, quindi, anche l'amministratore laddove questi rivesta la figura di responsabile del trattamento dati. L'obbligo si ricava con evidenza dall'articolo 29 del Regolamento Ue 679/2016, ai sensi del quale «il responsabile del trattamento (l'Amministratore)... non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento. (il condominio)..».

Inoltre, l'articolo 28 sancisce che «...qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato...».Il Considerando 81 a sua volta sancisce che «...il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica...».

I costi dell’aggiornamento
Si pone allora il dilemma relativo al costo per l'aggiornamento, che come è vero che ricade sul titolare del trattamento, è altrettanto vero che un amministratore che gestisce più condomini si potrebbe vedere ripagato il corso formativo un numero di volte pari al numero dei condomini amministrati. Più logico appare allora che l'amministratore effettui una formazione specifica per la sua attività di responsabile del trattamento dei dati, ripartendo poi il costo (unico e annuale) tra tutti i condomìni che amministra.La formazione dei soggetti incaricati a trattare dati, siano essi responsabili ma anche addetti al trattamento (collaboratori di studio per intenderci), è una vera e propria misura di sicurezza da attuare.

Ci dice l'articolo 32 Gdpr, rubricato «Sicurezza del trattamento», al paragrafo 4, che: «il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri».Che la formazione sia un obbligo costante e non si fermi al semplice «corso sulla privacy», ma necessiti un'attività formativa e informativa continua, ce lo scrive anche l'articolo 24 Gdpr laddove va a specificare l'obbligo «…. di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.

Dette misure sono riesaminate e aggiornate qualora necessario».Aggiornamento e riesame che non può prescindere dalla formazione continua che andrà effettuata: «Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità d iverse per i diritti e le libertà delle persone fisiche».

La definizione di conoscenza specialistica
Infine, va menzionato quanto disposto dal Considerando 81 Gdpr, in relazione all'obbligo di prestare la garanzia della “conoscenza specialistica”, certamente non rientrante all'interno della formazione specifica inquadrata per l'amministratore nel Dm 140/14, bensì da ricercarsi in corsi specifici seguiti da un'attività pratica documentabile che attesti una continuità nell'adeguamento al Gdpr poste in essere dal soggetto che intende ricoprire il ruolo di responsabile del trattamento dati, ovvero da richiedersi ad un professionista del settore che svolgerà il ruolo di consulente privacy, onde poter garantire la presenza del requisito previsto dalla norma per lo svolgimento dell'attività di trattamento dei dati come amministratore di condominio responsabile del trattamento dati del condominio titolare.

Il controllo sulla formazione e sui requisiti previsti dall'articolo 28 Gdpr e, quindi, la presenza o della conoscenza specialistica ovvero di un consulente privacy che supporti il responsabile del trattamento che non ne disponga, la si rinviene nel medesimo articolo 28 del Regolamento, laddove impone al Responsabile del trattamento dei dati (amministratore), di mettere a disposizione del titolare le informazioni derivate da un audit che ha il diritto/dovere di effettuare il medesimo condomino titolare (in questo caso co-titolare) del trattamento dati.Insomma l'obbligo di formazione nel contesto privacy si incastra come in un puzzle, risultando un elemento imprescindibile e la cui assenza si nota a colpo d'occhio, esponendo l'amministratore ad importanti rischi di sanzioni amministrative (articolo 83 Gdpr) ma anche ad eventuali azioni risarcitorie da parte dell'interessato condomino che si senta leso nei suoi diritti al corretto trattamento dei dati che lo riguardano.