Il GDPR IN CONDOMINIO – SECONDA PARTE

Cosa cambia davvero

Oltre alle già viste novità in tema di regole più chiare per l’Informativa, per il consenso al trattamento, per i trattamenti automatizzati e per le procedure di riscontro ai diritti degli interessati, il Regolamento ha previsto anche rigorose garanzie per il trasferimento dei dati al di fuori dell’Unione Europea.
Questo tipo di trasferimento resta in linea di principio vietato se i Paesi o le Organizzazioni internazionali verso cui si vogliano far transitare i dati, non rispondano a precisi standard di sicurezza in materia di adeguate tutele.
Qualora, infatti, la Commissione Europea non avesse già fornito una decisione di adeguatezza di tale Paese o organizzazione, i Titolari del trattamento (aziende, enti, società, professionisti) dovranno prevedere specifiche garanzie contrattuali per la tutela degli Interessati, per le quali il Regolamento prevede norme molto dettagliate.
In assenza di riconoscimenti di adeguatezza o di specifiche garanzie contrattuali, i dati personali potranno essere trasferiti verso tali Paesi solo con il consenso esplicito degli interessati, oppure, ad esempio, quando vi siano particolari e importanti motivi di interesse pubblico, o ancora per esercitare o difendere un diritto in giudizio.

Come già accennato, un altro degli aspetti importanti della nuova normativa è l’obbligo per il Titolare di registrare, e in alcuni casi anche di notificare o comunicare, eventuali violazioni di dati personali (Data Breach).
Le regole prevedono infatti la notificazione di tali avvenimenti al Garante e, se la violazione comporta una minaccia per i diritti e le libertà fondamentali delle persone, anche una comunicazione diretta al singolo Interessato, comprendente le indicazioni su come si intendano affrontare le possibili conseguenze negative dell’accaduto.

Per quanto riguarda Imprese, Enti e Professionisti, il Regolamento è, esattamente come per i singoli Interessati, direttamente applicabile negli Stati Europei, senza alcuna necessità – salve le modifiche e gli adeguamenti di cui al novellato Codice della Privacy – di specifici provvedimenti di attuazione o adattamento.

Il GDPR si applica integralmente anche alle imprese situate al di fuori dell’Unione Europea che offrano servizi o prodotti a persone residenti o che si trovino nel territorio dell’Unione. Di conseguenza tutte le aziende, ovunque stabilite, dovranno rispettare le norme europee.

Dal punto di vista degli operatori commerciali, delle aziende e ovviamente anche degli Amministratori di Condominio, l’aspetto decisamente più rilevante e innovativo della normativa è comunque rappresentato dalla cosiddetta accountability, ossia dal principio della responsabilizzazione.
In sintesi, le regole impongono un approccio responsabilizzato, che tenga conto dei rischi che un determinato trattamento di dati personali può generare nei confronti degli interessati: tenuto conto del contesto, della tipologia e delle finalità di ciascun specifico trattamento che desideri porre in essere, ogni operatore è obbligato ad adottare modelli, approcci e politiche adeguate a prevenire tali rischi.
Ogni operatore deve inoltre poter dimostrare di aver determinato e stabilito modalità di protezione dei dati personali sin dalla fase in cui ha progettato la propria attività (privacy by design) ed essere, in seguito, in grado di dimostrare di averlo fatto in ogni fase in cui si è sviluppato il trattamento (privacy by default).

Come vedremo nelle prossime uscite, inoltre, la normativa pone una rilevanza significativa e non eludibile in materia di sicurezza dei trattamenti.
Senza indicare specifiche misure o accorgimenti, il Regolamento impone una costante e attenta cura di ogni aspetto della sicurezza dei trattamenti, affinché, solo le persone debitamente autorizzate, possano accedere, visionare, modificare e utilizzare le informazioni oggetto di trattamento.
La particolare attenzione che è necessario porre sul tema della sicurezza dei trattamenti, è data anche dalla necessità di dotarsi, come specificamente previsto dal GDPR, di appositi accordi, contratti o altre tipologie di istruzioni e designazioni per far sì che sia documentato tutto il flusso delle informazioni e, soprattutto, che sia precisato l’ambito dei poteri e delle responsabilità di ogni soggetto che interviene nel corso del processo di trattamento delle informazioni, anche in relazione alla riservatezza e integrità delle stesse.

Vedremo e analizzeremo nelle prossime uscite, per esempio, come l’Amministratore di Condominio abbia l’obbligo, sia come professionista nel proprio Studio che come Amministratore nominato dall’Ente Condominiale, di tenere e aggiornare i Registri delle Attività del Trattamento (Art. 30.1. e Art. 30.2. del GDPR), di contrattualizzare, quando necessario, i rapporti con i fornitori, ex Art. 28 del GDPR (ad esempio con le imprese di pulizie), e di autorizzare e istruire specificamente coloro che, come ad esempio il portiere, possono, in molte occasioni, trattare dati dei singoli condomini (v. al riguardo gli Artt. 29 e 32, c. 4 Regolamento UE n. 679/2016 – GDPR e l’Art. 2 quaterdecies – D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018).

Prenderemo in esame, insomma, i molti aspetti sui cui questa normativa incide in modo importante sull’attività degli Amministratori condominiali, a partire dal prossimo lunedì.

Avv. Andrea Broglia

***

L’ approfondimento del Garante in materia di data breach: www.gpdp.it/regolamentoue/databreach
Le Linee Guida del WP 29: ec.europa.eu/newsroom/article29

2019-04-17T13:27:29+02:0015.04.2019|