Con il doc-web 9047529 del 08/10/18 il Garante Privacy ha appena pubblicato un importante provvedimento che traccia le linee guida sull'obbligo di tenuta del registro dei trattamenti ex art. 30 Reg.UE 679/2016 (G.D.P.R.).

In questo articolo mi soffermerò in particolare sull'adempimento in ambito condominiale. Quello che l'autorità nazionale ha delineato, del resto, già poteva ricavarsi dalla normativa europea e qualche spunto si traeva anche da quanto il medesimo Garante aveva dettato nel proprio vademecum sulla privacy in condominio (doc-web 2680653).

Il registro dei trattamenti è un documento scritto, in formato anche elettronico e sempre esibibile a richiesta del Garante, contenente le principali informazioni (specificatamente individuate dall'art. 30 del G.D.P.R.), relative alle operazioni di trattamento svolte dal titolare (il condominio) e dal nominato responsabile del trattamento (l'amministratore).

Esso costituisce uno dei principali elementi di "accountability" o di "autoresponsabilità" (art. 24 G.D.P.R.), che la normativa europea pone a carico del titolare, che deve adoperare tale mezzo proprio per tenere sotto controllo tutti i trattamenti effettuati, dovendo essere in grado di fornire l'evidenza della loro conformità al G.D.P.R..

Il registro, quindi, si legge nel documento qui commentato è uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all'interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Ma quando è che il condominio-titolare, e per esso l'amministratore-responsabile, hanno l'obbligo giuridico sanzionabile di formare e conservare questo registro?

Ricordo che la mancata tenuta del registro comporta una possibile pena pecuniaria di € 10.000.000,00 o del 2% del fatturato annuo dell'esercizio precedente, se superiore (art. 83, par. 4 G.D.P.R.)

Come accennava, già nel suo vademecum sulla privacy condominiale il Garante aveva ritenuto legittimo il trattamento di dati sensibili e giudiziari quando ciò fosse indispensabile ai fini dell'amministrazione del condominio.

Si legge nel vademecum che a titolo esemplificativo, tale uso è possibile nel caso in cui l'assemblea debba deliberare l'abbattimento delle "barriere architettoniche" che rendono difficoltoso l'accesso a un condomino diversamente abile, al fine di acquisire informazioni sulle persone che presteranno servizio alle dipendenze del condominio stesso, oppure quando si debbano trattare i dati anche sanitari di persone che abbiano subito danni negli spazi condominiali. In questi casi devono comunque essere adottate adeguate cautele al fine di salvaguardare la dignità degli interessati.

L'art. 30 G.D.P.R. impone la tenuta del registro dei trattamenti alle organizzazioni con almeno 250 dipendenti e, tra le altre ipotesi, ai soggetti "privati" (titolari o responsabili) i quali effettuino un trattamento che possa presentare un rischio per i diritti e le libertà dell'interessato, che non sia occasionale, o che includa categorie particolari di dati di cui all'articolo 9, paragrafo 1 (i dati "sensibili"), o di dati personali relativi a condanne penali e a reati di cui all'articolo 10.

Pertanto a mio parere con il suo ultimo provvedimento il Garante non ha fatto altro che mettere nero su bianco (e sanzionabile) quello che già emergeva in maniera chiara dalla normativa europea da altri suoi interventi.

Dunque, nel provvedimento da ultimo pubblicato si legge che sono tenuti all'obbligo di redazione del registro, ad esempio: (e fra gli altri) il condominio ove tratti "categorie particolari di dati" (es. delibere per interventi volti al superamento e all'abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all'interno dei locali condominiali).

Il cerchio, come si dice, si chiude. La normativa europea impone il registro al titolare e al responsabile.

Potrebbe pensarsi che, poiché l'amministratore tratta obbligatoriamente i dati del condominio che amministra, il registro debba essere unico. Al contrario, nulla giustifica una tale conclusione.

Il Garante fa l'esempio delle software house, ma più modestamente tale situazione può ritrovarsi anche con l'amministratore che sia allo stesso tempo mandatario di più condomini.

In tali casi è ovvio che costui, si legge nel provvedimento in relazione al contenuto di cui all'art. 30, par. 2 G.D.P.R. dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce.

Il Garante chiarisce altresì che le organizzazioni con meno di 250 dipendenti, tra le quali rientra in linea di massima il Condominio-Titolare, potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l'obbligo di redazione del registro alle sole specifiche attività di trattamento che impongono la tenuta del registro (altrimenti non obbligatoria).

Ciò vuol dire, in concreto, che il Condominio, e per suo conto l'Amministratore, ad esempio, potrà limitarsi a inserire nel Registro solo le indicazioni inerenti al portiere, lavoratore dipendente, il cui rapporto di lavoro abbia necessitato la raccolta dei relativi dati sensibili o giudiziari, appunto.

Soffermarsi sul contenuto, punto per punto, del registro dei trattamenti, sarebbe troppo lungo nel limitato spazio di questo articolo.

Infine, faccio presente che il sottoscritto manderà alle stampe delle linee guida sull'applicazione del G.D.P.R. in Condominio. Esse vogliono essere un aiuto concreto e un supporto per tutti gli amministratori. Un vero e proprio codice di condotta che sarà sottoposto all'approvazione del Garante ai sensi dell'art. 40 del medesimo G.D.P.R.

Fonte: CondominioWeb.com