Condominio

I mercoledì della privacy, 110% e barriere: necessario il registro delle attività di trattamento

Quest’ultimo traccia la storia del dato rilevato in cond0minio: dal momento dell’acquisizione alla cancellazione dello stesso

di Carlo Pikler - responsabile Centro studi Privacy and Legal Advice

Molte procedure del superbonus, nella fase progettuale, si stanno occupando anche delle procedure di abbattimento delle barriere architettoniche, di cui alla legge 13/89, che rientrano tra quelle fiscalmente detraibili. Una opportunità da non perdere per i condomìni, la possibilità di sistemare impianti ascensore già esistenti, vani scala, pedane all'ingresso del condominio, insomma una serie di lavori che, nel calderone 110%, diventano importanti accessori dal peso economico spesso non trascurabile.

Il registro delle attività di trattamento
Le Faq del Garante sul Registro delle attività dei trattamenti, (documento web 9047529 del 08/10/2018), al numero 2, ci ricorda che il registro in questione deve essere predisposto per il singolo condominio amministrato quale Titolare del trattamento dei dati, ove tratti «categorie particolari di dati». Sul punto, l'Authority ci pone anche degli esempi, quali:«delibere per interventi volti al superamento e all'abbattimento delle barriere architettoniche ai sensi della legge 13/1989 e le richieste di risarcimento danni comprensive di spese mediche relative a sinistri avvenuti all'interno dei locali condominiali».

Ci ricorda il Garante nelle Faq in questione che il Registro per le attività di trattamento è «un documento contenente le principali informazioni (specificatamente individuate dall'articolo 30 del Rgpd) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (come nel caso di condominio che nomina l'amministratore Responsabile del trattamento dati). Secondo il Garante il registro: «Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all'interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante».

La storia del dato condominiale da conservare
Il registro delle attività di trattamento è quel documento che il titolare di studio, sia che svolga il ruolo di titolare del trattamento, sia che invece operi quale responsabile del trattamento dati per conto del condominio titolare come nel caso che ci occupa, andrà a riportare la storia del dato.Si tratta dell'indicazione del percorso del dato all'interno della realtà condominiale, dal momento dell'acquisizione delle informazioni che avverrà anche attraverso la messa a disposizione di una informativa ex articoli 13 o 14 Gdpr, fino al momento della cancellazione e distruzione dello stesso dagli archivi dello studio.

Nel registro dei trattamenti, il condominio deve annotare «chi tratta cosa, come, quando, perché e per quanto tempo».Nell'indicare come i dati vengono trattati, si devono riportare le misure di sicurezza adottate e riportate in un documento allegato denominato «analisi dei rischi» che, nel caso in specie, deve necessariamente riferirsi all'analisi dei rischi dello studio di amministrazione che materialmente tratta queste informazioni.Deve essere in grado di rappresentare in modo semplice e facilmente comprensibile, per consentire un semplice riscontro ai casi di esercizio del diritto di accesso dell'interessato ex articolo 15 Gdpr ovvero sia di ispezione e controllo dell'Autorità.

Il contenuto del Registro
Il registro deve contenere le informazioni come indicate nell'articolo 30 Gdpr. In particolare, vi dovranno essere i dati di contatto dell'amministratore,le basi giuridiche del trattamento che in questo caso sono la delibera di approvazione del progetto esecutivo del superbonus che le prevede e la norma di legge riferita all'abbattimento delle barriere architettoniche, le finalità che sono collegate alla tipologia di intervento da effettuarsi, le tipologie dei dati trattati (quindi anche se vi sono dati sensibili riferiti al o ai soggetti che necessitano di detti interventi). Si devono poi indicare i soggetti che possono trattare i dati in quanto nominati come addetti contitolari o come responsabili esterni del trattamento dati (collaboratori di studio), la durata del trattamento, i tempi di utilizzo e conservazione, l'indicazione delle misure di sicurezza adottate e allegate nell'analisi dei rischi riferita allo studio di amministrazione, i mezzi utilizzati per il trattamento, le procedure di data breach, i riferimenti sulla formazione in materia di trattamento dati effettuata (anch'essa riconducibile allo studio di amministrazione).

Per rispettare il principio dell'accountability, che impone al soggetto che tratta i dati di essere in grado di «rendere conto», il registro deve essere un documento scritto, cartaceo o in formato digitale, per poter consentire di darne evidenza documentale.

Per saperne di piùRiproduzione riservata ©