GDPR, responsabile esterno o titolare autonomo. I ruoli in condominio

Il Regolamento Generale sulla Protezione dei Dati (GDPR) impone obblighi chiari sulla gestione dei dati personali, anche in ambito condominiale. Spesso, infatti, diversi soggetti entrano in contatto con i dati dei condomini: amministratori, fornitori di servizi, periti e tecnici specializzati. Ma chi sono i titolari del trattamento e chi invece i responsabili esterni? E quali misure devono adottare per garantire la protezione dei dati?

Titolare o responsabile: la corretta qualificazione dei ruoli

Nel contesto condominiale, il primo passo è distinguere tra titolare autonomo e responsabile esterno del trattamento.

• Titolare autonomo del trattamento: è il soggetto che determina autonomamente le finalità e i mezzi del trattamento. Ad esempio, un’azienda, nei confronti dei dipendenti o dei clienti.
• Responsabile esterno del trattamento: è invece un soggetto che tratta dati per conto del titolare e secondo le sue istruzioni. Ad esempio, una ditta di manutenzione che gestisce un sistema di videosorveglianza su incarico dell’amministratore rientra in questa categoria, come pure lo stesso amministratore che effettua trattamenti per conto del condominio.

Non sempre la distinzione è immediata. Alcuni professionisti, come periti assicurativi chiamati a valutare un danno, possono essere titolari autonomi se operano in piena autonomia senza istruzioni specifiche dall’amministratore.

Casi pratici e gestione dei ruoli

Vediamo alcuni esempi tipici:

• Tecnico della videosorveglianza: se installa e gestisce le telecamere su incarico dell’amministratore, è responsabile esterno e deve firmare un contratto di nomina con precise istruzioni sulla gestione dei dati;
• Perito assicurativo: se agisce per conto della compagnia assicurativa, è titolare autonomo. Se invece opera su incarico dell’amministratore per una perizia condominiale, può essere considerato responsabile esterno;
• Fornitore di software gestionale: se elabora dati per conto dell’amministratore, è un responsabile esterno e deve garantire adeguate misure di sicurezza.

Obblighi e misure di sicurezza

Chiunque tratti dati condominiali deve rispettare misure di sicurezza adeguate, tra cui:

• Nomina formale dei responsabili esterni tramite un contratto di nomina conforme al GDPR;
• Limitazione dell’accesso ai dati solo al personale autorizzato;
• Limitazione dell’utilizzo dei dati per le sole finalità stabilite dall’incarico;
• Adozione di misure tecniche e organizzative per proteggere i dati (es. crittografia, password sicure, backup). Le misure di sicurezza non si limitano ai trattamenti effettuati tramite i dispositivi informatici, ma devono essere garantite anche ai documenti cartacei, appunti, fotografie o comunicazioni a voce;
• Obbligo di riservatezza non solo per i dati particolarmente sensibili, ma per tutti i dati personali. E’ vietata qualsiasi forma di diffusione dei dati, come, ad esempio, la pubblicazione sui social network, senza il consenso esplicito del soggetto interessato;
• Registro delle attività di trattamento, quando previsto. Ricordiamo che, come specificato dalle linee guida del Garante del 2019, anche la presenza di un solo dipendente, impone la redazione del registro, seppur in forma semplificata, se l’azienda ha meno di 250 dipendenti o non tratta sistematicamente dati particolari (ex dati sensibili).

Il GDPR impone una corretta qualificazione dei ruoli e l’adozione di misure adeguate per la protezione dei dati. In ambito condominiale, amministratori, tecnici e fornitori devono prestare particolare attenzione alla gestione dei dati personali, evitando trattamenti illeciti o non autorizzati. La trasparenza e la sicurezza sono elementi essenziali per garantire il rispetto della normativa e la tutela dei diritti dei condomini.

Leggi tutti gli articoli della sezione Sicurezza & Tech

di Daniele Umberto Spano, Ceo di Kruzer Srl Privacy e Cybersecurity
spano@kruzer.it