Condominio e GDPR: guida pratica

1. “Chi fa” “cosa” nel condominio: titolare, responsabile, incaricati

Nel condominio il Titolare del trattamento è il Condominio nel suo complesso: la compagine sociale. Il Titolare è il soggetto che decide le finalità e i mezzi del trattamento di dati personali. Solitamente, l’assemblea condominiale non ha le competenze per gestire gli adempimenti privacy:

Per questo motivo, l’assemblea nomina l’amministratore di condominio come Responsabile del trattamento, con un accordo scritto che definisca istruzioni e misure di sicurezza (che l’amministratore deve applicare) ai sensi e per gli effetti dell’art. 28 GDPR. Il Responsabile è la persona fisica o giuridica (l’amministratore potrebbe gestire la propria attività con una società) che tratta i dati personali per conto del titolare del trattamento (cioè il Condominio).

Infine, abbiamo gli incaricati, che sono i soggetti che operano sotto l’autorità del Titolare o del Responsabile del trattamento e che, necessariamente, trattano dati personali del Condominio. Ad esempio, portiere, dipendenti dell’amministratore di condominio.

In pratica, cosa deve fare il Condominio:

• deliberare e approvare la struttura dei trattamenti “tipici” (gestione anagrafiche, morosità, fornitori, lavori, sinistri);
• nominare l’amministratore come responsabile del trattamento e nominare i fornitori esterni sempre ex art. 28 GDPR;
• fornire istruzioni scritte agli incaricati (soggetti che operano sotto l’autorità del Titolare, es. portiere) che trattano dati per conto del condominio.

2) Le basi della liceità: informativa e consenso (quando serve davvero)

2.1 Informativa chiara e completa

Ogni condominio deve fornire agli interessati (condòmini, inquilini, ospiti) una informativa semplice e trasparente, prima del trattamento, con tutti gli elementi richiesti dall’art. 13 GDPR: finalità, basi giuridiche, destinatari, tempi di conservazione, diritti, contatti, eventuale DPO.

Suggerimento pratico: prima di preparare un’informativa per il Condominio esamina i seguenti punti:

• anagrafiche condòmini e inquilini;
• gestione assemblee (anche da remoto);
• gestione fornitori e sinistri;
• eventuale videosorveglianza (se presente).
• mantieni l’informativa sempre reperibile (bacheca digitale, area riservata del sito / app condominio, consegna cartacea al nuovo proprietario/inquilino).

2.2 Il consenso nel Condominio non è la regola

Nel condominio molte attività non richiedono il consenso, perché poggiano su un obbligo legale, contratto o legittimo interesse (art. 6 GDPR). Esempi: convocazioni assemblee, gestione pagamenti, ripartizioni spese, contenziosi, adempimenti fiscali.

Il consenso serve solo quando non c’è un’altra base giuridica (cioè il fondamento che legittima il trattamento dei dati personali) adeguata che consenta il trattamento dei dati personali. Ad esempio, creazione gruppi whatsapp per la gestione di problemi condominiali, pubblicazione del nome, cognome e numero cellulare del condomino volontario che si occupa del giardino.

Bacheca Condominiale e morosità: attenzione al principio di minimizzazione. Niente esposizione di dati sensibili (particolari) o dettagli non necessari; si comunica solo quanto strettamente indispensabile, evitando la diffusione indiscriminata.

Regola d’oro in ambito privacy:

“Meno dati utilizzi, meglio è”

3) Accountability: registro, misure di sicurezza e gestione incidenti (“Data breach”) nel Condominio

3.1 Registro delle attività di trattamento

3.2 Misure tecniche e organizzative a protezione dei dati personali

Il GDPR chiede misure adeguate (art. 32) come, ad esempio, controllo accessi ai documenti, armadi chiusi, cifratura dei file con dati personali, gestione password robusta, backup, aggiornamenti software, formazione minima per chi accede ai dati del condominio.

In poche parole, il GDPR chiede al Titolare e al Responsabile del trattamento di attivarsi al fine di applicare delle misure, adeguate al trattamento, che proteggano i dati personali e consentano un utilizzo in sicurezza.

Ad esempio, con riferimento alle password utilizzate, qualora il condominio abbia un proprio portale o qualora l’amministratore di condominio salvi i dati personali relativi al Condominio su un proprio sito web/portale online, ecco alcuni suggerimenti:

• niente password in chiaro, devono essere “hashate” con algoritmi moderni, come raccomandato da ACN + Garante nelle Linee Guida 12/2023; evitare soluzioni fai-da-te e vecchi algoritmi;
• rotazione/aggiornamento degli schemi di hashing nel tempo e, se possibile, autenticazione a due fattori per l’accesso ai gestionali condominiali.

3.3 Data breach (violazione della privacy)

Se capita un incidente (furto pc con anagrafiche, e-mail inviata al destinatario sbagliato, bacheca online esposta), l’amministratore deve valutare il rischio e, se necessario, notificare il Garante e informare gli interessati.

Il suggerimento pratico, in questo caso, è di creare una procedura semplice per reagire alla violazione dei dati. Ad esempio, una procedura che definisca quanto segue:

• cosa si intende per incidente;
• chi avvisare;
• entro quanto tempo reagire;
• con quali modelli/strumenti.

Attenzione. Comunicare un data breach al Garante Privacy è un’operazione molto delicata. Salvo che l’amministratore di condominio abbia ricevuto una formazione adeguata o vi siano uno o più condomini esperti privacy, è fortemente consigliato rivolgersi a un legale esperto in materia.

4) Assemblee del Condominio (anche da remoto) e documenti

Convocazioni e verbali: invia solo i dati necessari (nome, contatti, ordine del giorno).

Assemblee online: usa piattaforme affidabili, link nominali, sala d’attesa, niente registrazioni se non strettamente necessarie e coperte da informativa e base giuridica; conserva i log di accesso per il tempo strettamente utile a documentare l’evento.

5) Videosorveglianza in Condominio: 10 mosse “a prova di Garante”

Prima di installare un sistema di videosorveglianza condominiale, ti consiglio di valutare questi aspetti:

• Delibera assembleare: ai sensi dell’art. 1122-ter c.c.: senza delibera, l’impianto è illegittimo. 
• Finalità e base giuridica: individuare finalità del trattamento e la relativa base giuridica, valutando bilanciamento e misure.
• Informativa a due livelli: cartello chiaro prima dell’area ripresa (primo livello), poi informativa completa (secondo livello) accessibile facilmente. Cartelli ad altezza occhi e ben visibili. 
• Angoli di ripresa: solo aree comuni; evitare riprese di finestre/porte private o spazio pubblico oltre il necessario. 
• Tempi di conservazione: definiti in delibera e informativa; solo il tempo strettamente necessario. 
• Autorizzati e tracciamento accessi: individua chi può visionare le immagini (es. solo amministratore o ditta incaricata) e registra gli accessi. 
• Misure tecniche: è necessario stabilire quali misure adottare, quali, ad esempio, cifratura, password robuste, aggiornamenti, protezione dall’accesso remoto non controllato.
• Fornitore impianto di videosorveglianza: deve essere nominato come responsabile (art. 28 GDPR). 

6) DPO nel condominio: serve davvero?

Il DPO (Responsabile della Protezione dei Dati) è obbligatorio solo in casi previsti dall’art. 37 GDPR. Un condominio tipico non rientra in questi casi: di norma non serve il DPO.

Ad esempio, se sei l’amministratore di condominio o un condomino in un supercondominio con 200 videocamere, accesso alle aree comuni con riconoscimento facciale e strumenti di IA, in questi casi occorre valutare attentamente la nomina di un DPO.

avv. Gianfranco Leggio

Se hai bisogno di aiuto per gestire gli adempimenti privacy nel Condominio acquista il videocorso GDPR PRATICO CONDOMINIO.