I mercoledì della privacy: i contratti devono sempre prevedere le corrette clausole e nomine privacy

È il Garante nell'ordinanza – ingiunzione iscritta nel Registro provvedimenti al numero 294 del 22 luglio 2021 (documento web 9698724 che potete consultare cliccando qui) a stabilire questo importante principio. Il provvedimento in questione, seppur emesso nei confronti di aziende private e di Roma Capitale, può considerarsi applicabile in ogni ambito, tanto più nel contesto immobiliare, in particolare con riferimento ai contratti di appalto che vanno ad interessare, tra gli altri, i bonus facciate e i super-ecobonus.

La vicenda
Il caso nasce da una segnalazione presentata all'Autorità che, come noto, può consistere in una semplice mail inviata da chiunque, purché si identifichi.A seguito della segnalazione, il Garante ha avviato un'attività ispettiva in collaborazione con il Nucleo speciale Privacy della Guardia di Finanza, dal cui accertamento è emerso che, «non risulta[va]essere stata formulata la nomina dei responsabili esterni del trattamento secondo le indicazioni prefissate dall'articolo 28 del Regolamento 16/679». La pronuncia assume particolare rilievo nella parte in cui chiarisce come: «Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (articolo 4, paragrafo 1, punto 7 del Regolamento)».

Ricorda il Garante che è sempre il titolare del trattamento il soggetto:«sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (articolo 5, paragrafo 2 cosiddetta “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento; cfr. anche provvedimento 81 del 7 marzo 2019, documento web 9121890; provvedimento 160 del 17settembre 2020, documento web 9461168)».

I riflessi in ambito superbonus
Nei contratti di appalto connessi con i bonus fiscali, il titolare del trattamento in relazione agli interventi sulle parti comuni è il condominio, mentre, in relazione agli interventi privatistici e ai relativi contratti, il titolare del trattamento è il General contractor, il quale stabilisce finalità, tempi e modi di conservazione andando anche a specificare i documenti che gli occorrono in una check list che, per il tramite dell'amministratore (inquadrabile come responsabile del trattamento), viene consegnata ai singoli proprietari, i quali poi, a loro volta, la riconsegnano all'amministratore che la inoltra al General contractor o al tecnico da questi incaricato.

Un passaggio di dati che vede protagonista l'amministratore quale responsabile esterno e coinvolti due titolari distinti per diverse operazioni: il condominio e il General contractor.Ebbene i ruoli in questione devono necessariamente essere ben chiari ed evidenziati attraverso le dovute nomine. Nella pronuncia, infatti, viene ribadito che:«il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (articolo 28, paragrafo 3, lettera a) del Regolamento)».

Se non si definiscono con precisione i rapporti
La mancata definizione del rapporto con i soggetti esterni coinvolti nel trattamento comporta la violazione dell'articolo 28 del Regolamento.Secondo l'Authority, tra l'altro, il titolare può ricorrere a un Responsabile per lo svolgimento di alcune attività di trattamento, al quale impartisce specifiche istruzioni, anche sotto il profilo della sicurezza,«purché vigili sull'operato dello stesso». Infatti, le modalità di trattamento attuate devono garantire l'adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento e occorre fornire evidenza documentale di aver conferito apposite istruzioni, in tal senso, al responsabile del trattamento, al fine di evitare la conseguente violazione dell'articolo 32 del Regolamento.

Ecco, quindi, che l'amministratore di condominio, nelle attività connesse ai trattamenti dei dati per l'ottenimento dei bonus fiscali, dovrà svolgere il ruolo di controllore (al fine di verificare la bontà dei contratti e delle nomine), ma anche di controllo in virtù del potere che compete ai titolari del trattamento. Il Garante, infatti, sul punto è stato inclemente, sanzionando in maniera estremamente rilevante i soggetti coinvolti: titolare del trattamento e responsabile ugualmente puniti anche laddove vi fosse solo la responsabilità in capo al responsabile del trattamento, tenendo conto della “responsabilità generale” posta sul titolare. Il ruolo di responsabile del trattamento da parte dell'amministratore di condominio, quindi, può essere anche relativo allo svolgimento solo di alcune attività di trattamento, come nel caso appunto dei compiti che svolge a favore del General contractor per la gestione della check list sugli interventi privati, ma questo può avvenire solo dove riceva specifiche istruzioni, anche sotto il profilo della sicurezza.