I mercoledì della privacy: la comunicazione dei dati dei condòmini ai terzi va ben oltre l'articolo 66

«Per la riscossione dei contributi in base allo stato di ripartizione approvato dall'assemblea, l'amministratore, senza bisogno di autorizzazione di questa, può ottenere un decreto di ingiunzione immediatamente esecutivo, nonostante opposizione, ed è tenuto a comunicare ai creditori non ancora soddisfatti che lo interpellino i dati dei condòmini morosi». Seguendo le indicazioni del Garante, con newsletter del 26 settembre 2008 i dati possono comunicarsi ai morosi solo per far valere gli obblighi di un contratto o per far valere o difendere un diritto.

Quali dati trasferire
I dati che si devono trasmettere al creditore a seguito di richiesta espressa da parte di questi, in caso di insolvenza del condominio o anche in caso di ottenimento del decreto ingiuntivo di pagamento, sono “solo” quelli strettamente necessari all'identificazione del moroso (nome, cognome, residenza o domicilio e codice fiscale), oltre ai dati necessari a determinare le somme dovute (millesimi e importo del debito). Ma questa, disciplinata dal Codice civile, non è l'unica occasione nella quale i dati dei condòmini vengono comunicati dallo studio di amministrazione a terzi soggetti. In particolare, stiamo parlando della gestione dei dati da parte dei fornitori che, nella quotidianità, trattano i dati degli amministrati per permettere la gestione ordinaria dell'attività di mandato.

I fornitori sub responsabili del trattamento
Si pensi, ad esempio, al gestionale di studio, soprattutto laddove operi in cloud, che vede inserite le anagrafiche dei condòmini, massivamente, all'interno dei propri sistemi.Più in piccolo, si può pensare al rapporto che lo studio di amministrazione condominiale ha con l'avvocato che gestisce il recupero crediti, oppure al citofonista, o anche all'idraulico che riceve il telefono della condomina per concordare con questa l'intervento sulla tubazione condominiale che è situata all'interno della sua abitazione, ma anche la società di postalizzazione o il servizio Ced e così via.

Ebbene, tutti questi (ed altri) fornitori, necessariamente nella pratica devono svolgere il ruolo di sub-responsabili del trattamento dati, ciò in quanto, laddove questo non avvenisse, dovranno essere titolari autonomi del trattamento, mettere a disposizione dei singoli condòmini (contitolari del trattamento dati) l'informativa, andando a determinare le finalità e i mezzi di trattamento, così come richiesto dall'articolo 13 Gdpr.La conseguenza sarebbe che anche la scelta del gestionale, ma così come di ogni fornitore che normalmente tratta dati per conto del condominio in quanto utilizzato per la gestione dall'amministratore, dovrebbe passare per i condòmini, i quali dovrebbero avere contezza dell'informativa e accettarne le finalità, i mezzi e i modi di trattamento. In pratica si rischierebbe lo stallo da un punto di vista gestorio.

Le responsabilità dell’amministratore che nomina il fornitore
Laddove invece la nomina del fornitore passasse per l'amministratore (come in effetti accade normalmente), sarà quest'ultimo a nominarlo diminuendo di molto il rischio di subire ingerenze inopportune da parte di condòmini contitolari al trattamento in relazione al condominio nel quale sono titolari di diritti. La finalità della nomina che l'amministratore responsabile del trattamento fa al fornitore sub-responsabile si ravvisa anche nella circostanza di poter eventualmente chiamare in manleva il sub – fornitore nominato in caso di trattamento illecito dei dati.

Così, in linea generale possiamo affermare che se il primo responsabile in relazione ad eventuali illeciti trattamenti è sempre il Titolare del trattamento dati (il condominio), nelle ipotesi previste dall'articolo 28 Gdpr di cui stiamo trattando, anche l'amministratore risponderà dell'eventuale illecito trattamento dei soggetti terzi che per suo conto trattano i dati.La nomina del fornitore quale sub-responsabile consente invece all'amministratore di poter chiamare in causa il fornitore sub-responsabile nominato in caso di azione dell'interessato per eventuale trattamento illecito del dato. Deve considerarsi che per l'amministratore però l'invio della nomina quale sub-responsabile del trattamento non è sufficiente a potergli garantire la chiamata del terzo in manleva, necessitandosi anche l'evidenza documentale dell'accettazione della nomina in questione.

Cosa l’amministratore è tenuto a fare
L'amministratore, quindi, dovrà seguire tutti i passaggi previsti dall'articolo 28 Gdpr quali, nell'ordine, ottenere previamente e genericamente l'autorizzazione a nominare i sub-responsabili del Trattamento dati (i fornitori esterni), sarà tenuto a verificare la conformità alla norma da parte di questi mediante una intervista (audit) e, infine, sarà tenuto a comunicare la lista dei Responsabili al trattamento nominati al condominio e a dare notizia di eventuali variazioni degli stessi.

L'elenco dei fornitori nominati dovrà quindi portarsi in visione all'assemblea condominiale la quale avrà solo la possibilità di revocare in ogni momento le varie nomine già effettuate dall'amministratore ma non avrà la possibilità di scelta sul fornitore nominato che resta invece a carico dell'amministratore, evitandosi così problematiche gestorie che, in caso contrario, rischierebbero di essere all'ordine del giorno.