Amministratore di condominio: obblighi in tema di privacy
1. L’esonero dal consenso
L’amministratore è esonerato (ex art. 24 codice privacy) dalla necessità del consenso da parte dei singoli condomini al trattamento dei dati dovendo adempiere un obbligo previsto dalla legge.
Sono applicabili la lett. a): è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato e c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati.
La disposizione nell’elencare i casi nei quali può essere effettuato il trattamento senza alcun consenso unifica le previsioni dell’art. 12 e dell’art. 20 della legge 675/1996.
Anche se non con riferimento alla lett. e), si deve ricordare, in conformità a quanto previsto dalla direttiva europea (art. 7, par. 1, lett. c), dir. 95/46/CE), il presupposto di liceità del trattamento relativo alla sussistenza di un obbligo legale, riferita ora correttamente alla necessità di adempiere comunque ad un obbligo previsto dalla legge, e non più solo al caso di "dati raccolti e detenuti" in base al medesimo obbligo.
Inoltre, [come osservato da M.IASELLI] quando è comunque necessario per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato e non solo per eseguire "misure" precontrattuali su richiesta del medesimo interessato. Quest’ultimo intervento, ripetuto in maniera speculare nell’art. 43 (già art.28 legge 675/1996), in relazione al trasferimento di dati all’estero, completa l’allineamento alla direttiva europea delle disposizioni concernenti trattamenti effettuati in relazione a rapporti precontrattuali, già avviato con il D.Lgs. 467/2001 (art. 7, par. 1, lett. b, dir. 95/46/CE).
Il D.L. 70/2011 (c.d. Decreto Sviluppo), convertito nella Legge 12 luglio 2011, n. 106, ha apportato modifiche al D.Lgs. n. 196/2003 e, in particolare, in tema di trattamento dei dati personali e Documento Programmatico sulla Sicurezza (DPS), con l’intento di semplificare gli adempimenti soprattutto alle piccole e medie imprese.
L’art. 6 co. 2 lett. a) n. 5 del Decreto Sviluppo aggiunge nell’art. 34 del Codice privacy il co.1-ter, contenente una precisa definizione di “trattamenti effettuati per finalità amministrativo-contabili”. Tale comma informa che: “ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.
Tale definizione generale, peraltro richiamata in diversi ambiti al fine di semplificare gli adempimenti di determinate tipologie di titolari del trattamento, chiarisce meglio il concetto di “trattamento effettuato per fini amministrativo-contabili” citato nel Provvedimento del Garante del 19.6.2008.
L’art. 6 co.2 lett. a) n. 1 del Decreto Sviluppo introduce, il co.3-bis all’art. 5 del Codice privacy: “il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’art.34 co.1-ter, non è soggetto all’applicazione del presente codice.”, escludendo l’applicazione del codice della privacy al trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni, oltre al trattamento effettuato nell’ambito di rapporti intercorrenti tra tali soggetti per finalità di natura amministrativo-contabile (nuovo co.3-bis dell’art.5 D.Lgs. 196/2003, aggiunto dall’art.6 co.2 lett. a) n. 1 D.L. 70/2011 convertito).
Trattasi di un’esplicita esclusione che mira a semplificare la burocrazia inerente trattamenti senza rischi specifici, relativi a ordinari rapporti di natura economica tra imprese e per i quali non vi sono particolari aspetti da tutelare.
Tale esclusione dall’ambito di applicazione del Codice Privacy è opponibile in presenza delle condizioni:
a) il trattamento deve avvenire esclusivamente nell’ambito di ordinari rapporti tra persone giuridiche, imprese, enti o associazioni (rientrano ad esempio i rapporti tra committenti e appaltatori, appaltatori e subcontraenti, clienti e fornitori);
b) i dati oggetto di trattamento devono essere relativi alla persona giuridica, impresa, ente o associazione;
c) il trattamento deve essere effettuato per finalità amministrativo-contabili.
Alla luce delle elencate condizioni, gli adempimenti privacy non più necessari sono:
obblighi di informativa e consenso di cui agli artt. 13, 23 e ss. del Codice privacy;
eventuali nomine dei responsabili del trattamento di cui art. 29 del Codice;
adozione delle misure di sicurezza di cui agli artt. 33 e seguenti del Codice e al Disciplinare Tecnico contenuto nell’Allegato B) al Codice (ad esempio i sistemi di autenticazione informatica, i sistemi di autorizzazione, le procedure di backup e di recovery dei dati e dei sistemi, i programmi antivirus e firewall).
Diversamente, permangono nell’ambito di applicazione della normativa privacy tutte le situazioni di trattamento per finalità amministrativo-contabile in cui:
il titolare del trattamento o l’interessato è una persona fisica.
il trattamento, seppur effettuato nell’ambito di rapporti tra persone giuridiche, imprese, enti o associazioni, persegue finalità diverse da quelle amministrativo-contabili, che può quindi comportare particolari rischi (come ad esempio il marketing diretto, i sondaggi e le ricerche di mercato).
L’art.6 co.2 lett. a), n. 3 Decreto Sviluppo integra l’art. 24 del Codice privacy aggiungendo una nuova lettera i-ter): l’esonero del consenso può avvenire anche quando il trattamento: “con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del Codice Civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”
La lett. g) dell’art. 24 del Codice Privacy, che prevede l’esonero del consenso quando il trattamento “con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato” è stato snellito dal Decreto Sviluppo, eliminando il riferimento “alle attività di gruppi bancari e di società controllate o collegate”.
L’intervento sulla norma semplifica la circolazione delle informazioni e i trattamenti di dati non sensibili, per esigenze organizzative o gestionali interne, nell’ambito di gruppi di imprese, non essendo più necessario il consenso dei soggetti interessati.
Poiché la nuova lett. i-ter) dell’art.24 Codice privacy ha un ambito operativo autonomo rispetto al nuovo co.3-bis dell’art. 5 del Codice riguardante l’esclusione dall’ambito di applicazione del Codice stesso, l’esonero dal consenso è possibile qualora titolare del trattamento e destinatario della comunicazione siano società, imprese, enti o associazioni, mentre l’interessato può essere tanto una persona fisica quanto una persona giuridica (impresa, ente o associazione), diversa, tuttavia, dai soggetti tra cui avviene la comunicazione.
Questo si applica per i gruppi di condomini.
Quanto all’autocertificazione sostitutiva del Documento Programmatico alla Sicurezza (DPS) L’art. 6 co.2 lett. a) n. 5 del Decreto Sviluppo sostituisce il co.1-bis, dell’art. 34, del Codice privacy (introdotto dall’art. 29 D.L. 112/2008, convertito nella Legge 133/2008).
Il nuovo comma 1-bis ora recita:
“Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’ art. 47 T.U. cui al D.p.r. 28.12.2000 n°445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al co.1”
I trattamenti effettuati per "finalità amministrativo-contabili" sono quelli relativi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile (a prescindere dalla natura dei dati trattati). Nello specifico perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro (art. 34 co.1-ter D.Lgs. 196/2003, così come sostituito dall’art. 6 co.2 lett. a) n. 5 D.L. 70/2011 convertito).
Il nuovo co.1-bis dell’art. 34 del Codice privacy, consente ai titolari del trattamento di redigere l’Autocertificazione (in luogo del DPS) nei casi di trattamento con strumenti elettronici di dati, comuni, sensibili e giudiziari, limitatamente, tuttavia, alla gestione del rapporto di lavoro [P. CHIARI, in www.finanzaeinvestimenti.it].
Rimandando agli artt. 47 e 76 del T.U. in materia di documentazione amministrativa e al D.P.R. 445/2000 quanto a contenuti, forme e responsabilità penale per false dichiarazioni nell’autocertificazione, questa deve in definitiva attestare che il titolare del trattamento in questione tratta dati personali comuni e dati sensibili e giudiziari legati solo alla gestione del rapporto di lavoro, in osservanza delle misure minime di sicurezza previste dal Codice Privacy e dal disciplinare tecnico (Allegato B al Codice: il primo passo consiste nella predisposizione di un sistema di autenticazione informatica, costituite da un codice, per l’identificazione dell’incaricato, associato ad una parola chiave segreta e conosciuta esclusivamente dall’incaricato stesso, il quale è, altresì, obbligato ad adottare tutte le cautele necessarie per assicurarne la segretezza. La password deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all’incaricato, cambiando le credenziali almeno ogni sei mesi. Fanno eccezione a tale regola le ipotesi di utilizzo esclusivamente finalizzato alla gestione tecnica per le quali non è prevista tale scadenza di modifica.
2. Le norme codicistiche
Sono rilevanti ai nostri fini, gli artt. 1129 e 1130 c.c.
Il primo ci fa notare che alcune parti, come la polizza individuale di assicurazione per la responsabilità civile per gli atti compiuti nell’esercizio del mandato (co.4), le generalità ed i recapiti dell’amministratore e – qualora non ci sia – della persona che ne svolge le analoghe funzioni (co.5 e 6), le disposizioni sul transito di somme condominiali sul c/c intestato al condominio (co.7), non sono soggette a regolamento sulla riservatezza, quando invece ci sono alcuni profili rilevanti.
Il co.4 ci informa che i dati della polizza non sono coperti da riservatezza, come pure l’obbligo introdotto dalla riforma (co.5 e 6) appare legato alla necessità dei terzi, dei condomini e loro aventi causa in caso di cessione dell’unità immobiliare e delle autorità di P.S. di conoscere i recapiti del soggetto che rappresenta il condominio.
Il fondamento del co.7 risiede nel riconoscimento a ciascun condomino, a proprie spese, la possibilità di prendere visione ed estrarre copia della rendicontazione periodica (Cfr. Cass. 10.5.2012 n°7162: l’amministratore gode di ampia autonomia, e può anticipare fondi per effettuare pagamenti a favore di terzi) e con la trasparenza, l’evitare le conseguenze di eventuali appropriazioni indebite dell’amministratore (art.646 c.p.).
L’amministratore di condominio sarebbe ritenuto responsabile se non richiedesse in tempo i contributi ai condomini, e da ciò derivasse un danno al condominio
Pertiene a tale disposizione la nuova formulazione del punto 3 dell’art.63 disp. att. c.c., che prevede che l’amministratore può sospendere il condomino moroso dalla fruizione dei servizi comuni suscettibili di godimento separato qualora questi non abbia effettuato il pagamento delle quote da un semestre, ad esempio il riscaldamento anche con l’apposizione di sigilli all’interno dell’appartamento del condomino inadempiente (Trib. Milano 11384/1998). Questo spunto ci induce a trattare del fatto che un condomino moroso non può essere additabile mediante l’affissione del nominativo nella bacheca condominiale, anche se le inadempienze possono essere comunicate ad altri condomini sia al momento del rendiconto annuale, che a seguito di richiesta effettuata da singoli condomini nell’esercizio del potere di vigilanza e controllo (analogie con le disposizioni sulle società). Inoltre si osserva che le singole morosità possono essere oggetto di discussione durante l’assemblea condominiale.
Vi sono analogie con il diritto di accesso cui alla legge 241/1990, anche perché ciò si applica nei condomini di proprietà pubblica.
Quanto ai crediti vantati da fornitori/ditte appaltatrici, nei confronti del condominio, la riforma ha previsto che l’amministratore è tenuto a comunicare i nominativi dei condomini morosi ai creditori non ancora soddisfatti che li richiedano.
L’art. 63 co. 1 disp. att. c.c. prescrive tale obbligo all’amministratore e il co. 2 ispone che i creditori possano agire nei confronti dei condomini in regola con i pagamenti solo dopo la preventiva infruttuosa escussione dei morosi attuando un principio di solidarietà passiva attenuato dal beneficium excussionis a favore degli adempienti. In tal modo il legislatore ha disatteso l’ultimo orientamento della Cass. s.u. 9148/2008, favorevole alla parziarietà delle obbligazioni condominiali per cui le obbligazioni assunte nell’interesse del condominio si imputano ai singoli condomini in proporzione delle rispettive quote.
In merito all’art. 1130 c.c., si devono osservare i principi privacy inerenti la tenuta del registro dell’anagrafe condominiale ripone dell’amministratore il dovere di riportare le generalità dei singoli proprietari nonché dei titolari dei diritti reali e personali di godimento, il loro codice fiscale, residenza o domicilio, i dati catastali di ogni singola unità immobiliare, nonché ogni altro elemento concernente le condizioni di sicurezza, dizione anche questa del tutto vaga che potrebbe interpretarsi come acquisizione delle dichiarazioni di conformità degli impianti presenti negli appartamenti.
Ricade sui condomini l’onere di comunicare all’amministratore in forma scritta ogni variazione entro sessanta giorni. Nell’ipotesi di mancanza parziale o totale dei dati indicati l’amministratore deve chiederli ai condomini con raccomandata, decorsi trenta giorni dalla mancata o incompleta risposta egli è tenuto ad acquisirli consultando i pubblici registri potendo poi addebitarne il costo agli inadempienti.
Il registro persegue l’intento primario di risolvere le problematiche connesse alle convocazioni inviate a soggetti che non risultano condomini o non rientrano tra i legittimati passivi alla convocazione oppure per evitare l’avvio di azioni di recupero del credito verso soggetti pur abitanti nel condominio che non hanno alcun diritto di proprietà in relazione all’appartamento in cui vivono.
Se la disciplina è quella esposta, posto che i dati trattati dall’amministratore di condominio sono dovuti per legge, non è possibile opporre alcun rifiuto da parte dei condomini ? Sono dell’opinione che i dati sono sottoposti alla disciplina inerente il codice dell’amministrazione digitale. Di ciò non ci occuperemo.
Il nuovo art. 71ter delle disp. att. c.c. prescrive all’amministratore, se deliberato dall’assemblea a maggioranza qualificata ex art. 1136 co. 2 c.c., di attivare un sito internet del condominio, a spese dei condomini, che consenta agli aventi diritto di consultare ed estrarre copia in formato digitale dei documenti previsti dalla delibera assembleare, una disposizione al passo con i tempi con un’opportunità che a mio parere andrà colta senza alcun dubbio dai condomini.
Il n° 9 è rilevante ai nostri fini: fornire al condomino che ne faccia richiesta attestazione relativa allo stato dei pagamenti degli oneri condominiali e delle eventuali liti in corso.
I compiti dell’amministratore in relazione al trattamento delle informazioni inerenti la gestione e l’amministrazione delle parti comuni.
Tali informazioni possono riguardare sia tutto il condominio (es. dati relativi ai consumi) sia i singoli partecipanti (dati anagrafici, catastali, quote millesimali, ecc.).
In particolare i dati sono trattabili solo se indispensabili ai fini dell’amministrazione del condominio.
Il provvedimento del Garante Privacy «Amministrazione dei condomìni» del 18.5.2006, ha stabilito quali dati possono essere trattati senza il consenso dell’interessato, quali le informazioni personali pertinenti e necessarie rispetto allo svolgimento delle attività di ge-
stione ed amministrazione del condominio e quali invece necessitano del suo specifico consenso per poter essere trattati dall’amministratore del condominio (es. le informazioni relative alle utenze telefoniche intestate ai singoli partecipanti).
3. La privacy in condominio: le telecamere di videosorveglianza
È ammessa la videoregistrazione dell’assemblea condominiale soltanto con il consenso di tutti i partecipanti.
L’installazione di telecamere, o apparecchi divideosorveglianza e videoregistrazione, è am-messa nei pressi di immobili privati e all’interno di condomini e delle loro pertinenze quando i dati non sono comunicati o sistematicamente diffusi, altrimenti si richiede la adozione di cautele a tutela dei terzi ex art. 5 co. 3 Codice, fatte salve le disposizioni in tema di responsabilità civile e di sicurezza dei dati, evitando di incorrere nel reato di interferenze illecite nella vita privata ex art. 615-ter c.p. (Garante Privacy 8.4.2010).
E’ stata dichiarata illegittima la delibera con la quale si disponeva la rimozione della telecamera posta sul balcone di proprietà di un condomino che l’aveva installata dopo aver subito numerosi atti vandalici ai danni del suo appartamento (cfr. Trib. Monza, sent. 18.4.2012 n. 1087, in cui il tribunale ha dato ragione al condomino che ha impugnato il deliberato prendendo in considerazione i contrapposti interessi rappresentati dalle parti).
L’installazione è ammissibile solo per esigenze di sicurezza per le persone e la tutela di beni. L’angolo visuale delle riprese deve essere limitato ai soli spazi di propria esclusiva pertinenza, ad esempio antistanti l’accesso alla propria abitazione, escludendo ogni forma di ripresa anche senza registrazione di immagini relative ad aree comuni o antistanti l’abita zione di altri condomini (Cass. 26.11.2008 n. 44156, anche se tali riprese sono effettuate contro la volontà dei condomini).
Il codice trova invece applicazione in caso di utilizzazione di un sistema di ripresa di aree condominiali da parte di più proprietari o condomini, oppure da un condominio, dalla relativa amministrazione (comprese le amministrazioni di residence o multiproprietà), da studi professionali, società o da enti no-profit.
L’installazione di tali impianti è ammissibile esclusivamente in relazione all’esigen za di preservare la sicurezza di persone e la tutela di beni da concrete situazioni di pericolo, di re gola costituite da illeciti già verificatisi, oppure nel caso di attività che comportano, ad esempio, la custodia di denaro, valori o altri beni (recupero crediti, commercio di preziosi o di monete aventi valore numismatico). La valutazione di proporzionalità va effettuata anche nei casi di utilizzazione di sistemi di videosorveglianza che non prevedano la registrazione dei dati, in rapporto ad altre misure già adottate o da adottare (es. sistemi comuni di allarme, blindatura o protezione rinforzata di porte e portoni, cancelli automatici, abilitazione degli accessi). (cfr. Cass., sez. I, 9.8.2012 n°14346; Cass. pen., 29.10.2008 n° 44701; Cass. pen., 10.11. 2006 n°5591; Cass. pen., 25.10.2006 n°37530).
La condotta di un condomino che riprenda con le telecamere (o fotografi) l’abitazione di un altro condomino – ad esempio nell’atto di compiere abusi edilizi – non costituisce reato poiché il condomino “ripreso” non può invocare la privacy se non ha adeguatamente “protetto” la sua abitazione dalla possibilità di “vedere” (o riprendere o fotografare) dall’esterno (Cass. pen., sez. V, 11.5.2012 n° 18035).
Deve ritenersi illegittima la videosorveglianza dei luoghi in cui non si sono mai verificati furti o intrusioni di terzi estranei?
Perché in questo caso si tratterebbe di un inutile deterrente destinato a influenzare negativamente il comportamento e il movimento delle persone che vi transitano.
E’ illegittima anche l’installazione di telecamere non funzionanti, poiché determina comunque una forma di condizionamento. Non vi è dubbio, infatti, che la sola vista di una telecamera, a prescindere dall’effettivo funzionamento, possa condizionare i movimenti delle persone.
Per evitare di incorrere nel reato di interferenza illecita nella vita privata, l’angolo di visuale delle riprese deve essere limitato agli spazi di esclusiva pertinenza del condominio, senza recare molestia ai confinanti riprendendo aree e unità immobiliari estranee al condominio stesso.
L’art. 1122-ter c.c. in ordine agli impianti di videosorveglianza sulle parti comuni: le deliberazioni concernenti l´installazione sulle parti comuni dell´edificio di impianti volti a consentire la videosorveglianza su di esse sono approvate dall´assemblea con la maggioranza di cui all’art.1136 co.2 c.c., per cui sono valide le deliberazioni approvate con un numero di voti che rappresenti la maggioranza qualificata (Cass. 3.1.2013 n° 71).
Una volta ottenuta la maggioranza richiesta si dovranno comunque seguire gli adempimenti richiesti, mutuati dalle indicazioni del Garante nel Provvedimento generale in materia di videosorveglianza dell’8.4.2010:
Cartello informativo;
Tempi minimi stabiliti di conservazione delle riprese (al massimo 24 ore);
Individuazione del personale che visiona le immagini tramite la nomina di responsabile ed incaricato(i) del trattamento;
Verifica preliminare del Garante nei casi previsti dal Codice Privacy (ad es. a sistemi di video sorveglianza dotati di software che permetta il riconoscimento tramite incrocio o confronto delle immagini, con altri specifici dati personali).