Come in molti sanno (purtroppo ancora non tutti), dal 2016 anche gli amministratori di condominio devono adempiere agli impegni ed alle linee imposte dal GDPR in materia di protezione dei dati (concetto più specifico della Privacy in generale).
Come il testo del regolamento prevede, la gestione dei dati può essere automatizzata grazie a strumenti informatici. Strumenti informatici e GDPR sono strettamente legati perché per gestire i dati, spesso e volentieri l’amministratore utilizza un computer. Se sei un amministratore vecchio stampo che utilizza solo carta e penna, puoi terminare qui la lettura.
Responsabile del trattamento
L’articolo 5, numero 2 recita:
Il titolare del trattamento è responsabile ed è in grado di dimostrare il rispetto del paragrafo 1 (”responsabilità”)
Come è ormai consolidato, il Titolare del trattamento è la compagine condominiale, l’amministratore ricopre la figura e le incombenze del Responsabile. Chiaramente l’articolo 5 riporta i doveri del Titolare ma è solo il Responsabile, in ambito condominiale, che li può attuare.
Il citato paragrafo 1 specifica i principi fondamentali da mettere in pratica nel trattamento dei dati personali:
- liceità – posso trattare i dati in mio possesso?
- correttezza e trasparenza – i Titolari devono sapere che possiedo i loro dati,
- limitazione delle finalità – devo utilizzare i dati in mio possesso solo per poter rispettare il mio mandato,
- minimizzazione dei dati -devo possedere solo i dati strettamente necessari,
- esattezza – i dati che tratto devono essere giusti,
- limitazione della conservazione – non devo conservare i dati per più del tempo necessario,
- integrità e riservatezza – mi devo impegnare a conservarli e a non comunicarli senza motivo e consenso.
Il Responsabile deve dimostrare di essere consapevole e competente, attuando le misure tecniche ed affinando gli strumenti informatici al fine di adeguarli al rischio e di mitigarlo.
A tal fine sono necessari continui check di controllo che possono prevedere attività correttive nelle pratiche organizzative dello studio di amministrazione stabili.
Le varie mansioni dei collaboratori devono essere organizzate in modo da garantire la sicurezza dei dati. Una volta fatto questo, siamo a posto e non ci pensiamo più? No! L’amministratore coscienzioso deve condurre dei test per essere certo che la sicurezza dei dati venga garantita nel tempo.
Attività da intraprendere per strumenti informatici e GDPR
Tutte le attività intraprese dallo studio di amministrazione condominiale deve essere riportata sul Registro dei trattamenti, comprensivo di analisi dei rischi e tutte le soluzioni adottate. In questo modo il Responsabile potrà dimostrare di aver condotto una strategia corretta nella gestione dei dati, questione essenziale in caso di problemi ed eventuali controlli da parte dell’Authority.
Telelavoro
Se in questo periodo qualche collaboratore ha utilizzato il telelavoro, questa novità dovrà essere riportata nel Registro dei trattamenti e corredata da analisi dei rischi, con le relative contromisure atte a garantire la sicurezza dai dati.
Ad esempio, il dipendente utilizza un software in cloud così da non dover essere collegato al computer in ufficio, evitando così una condizione che presenta criticità. Se il collaboratore utilizza un computer fornito dallo studio, questo dovrà essere corredato di antivirus, firewall e nessuna credenziale dovrà essere accessibile agli estranei.
Se il computer utilizzato è personale del collaboratore, si dovrebbe creare un nuovo profilo utente, differente da quello normalmente utilizzato e magari condiviso con altre persone. La password di accesso non deve essere resa disponibile. Tutti i dati di lavoro dovranno essere conservati sotto il nuovo profilo.
Ci si dovrà preoccupare di procedere ad un backup in modo che il sistema prescelto consenta di garantirne l’accesso, l’inalterabilità, la conservazione in luogo preposto ed in condizioni idonee alla conservazione contro rischi dovuti alle temperature, furti, manomissioni.
La comunicazione e condivisione dei dati dovrà avvenire esclusivamente tramite i canali identificati come sicuri. Si dovrà istruire tutto il personale ed essere certi che le indicazioni vengano comprese ed applicate, non solo conosciute. Ad esempio, pretendendo che vengano rispettate tutte le istruzioni per l’invio di e-mail.
La corretta esecuzione di backup, conservazione, trasmissione dati ed invio comunicazioni dovrebbero essere garantite da un software gestionale di ultima generazione. La caratteristica dei gestionali più recenti è di essere stati programmati considerando anche questi aspetti, condizioni che potrebbero non essere state comprese nei software più vecchi.
Software gestionali
Strumenti informatici e GDPR sono particolarmente correlati nei software dedicati agli amministratori di condominio. Possiamo dividere i gestionali in due gruppi:
- installati in locale (sul computer)
- accessibili in cloud (da remoto)
Il primo offre sicuramente meno garanzie sulla conservazione dei dati, dipendendo fortemente dai sistemi di sicurezza impostati sul computer. Non esiste trasmissione dei dati verso l’esterno (salvo le comunicazioni inviate), questo ovviamente è più sicuro dato che in teoria, potrebbe essere anche scollegato dalla rete e quindi inibendo in modo certo un accesso dall’esterno.
Il secondo demanda ad un secondo Responsabile il trattamento dei dati, nello specifico la trasmissione e la conservazione. Le software house dovrebbero garantire delle procedure più sicure e dei risultati migliori di quelli attuabili da qualsiasi studio di amministrazione immobili, avendo una struttura dedicata esclusivamente a questo scopo. Dovrebbero… È meglio chiedere rassicurazioni scritte su questo aspetto e conservare tale dichiarazione ad integrazione del GDPR dello studio.
Sappiate che il backup dovrebbe essere condotto (almeno) quotidianamente, che si dovrebbe fare un backup ridondante (il backup del backup), ospitare i backup in luoghi differenti, consentire una trasmissione dati codificata e sicura. I server devono offrire garanzie di inalterabilità dei dati ed essere ospitati in locali che li preservino da fiamme, calore, agenti atmosferici, rischi elettrici, ecc.
Dato che i software in cloud prevedono la presenza di una connessione ad internet, si devono adottare tutte le soluzioni atte ad impedire un accesso illecito ai dati proveniente dall’esterno. Sia il pc che sta utilizzando il software che il server che lo ospita, devono possedere sistemi efficaci (antivirus e firewall), impostati in modo più restrittivo possibile.
Software generici
Oltre ai gestionali, è comune adottare anche software generici nelle varie procedure adottate dello studio di amministrazione condominiale. Questi produrranno dei file che sarebbe consigliabile conservare protetti da password.
Se gli stessi dati sono conservati sia sul gestionale in cloud che in file salvati in locale, devono prevedere lo stesso grado di sicurezza.
Un discorso particolare lo assume il programma di posta utilizzato. Sarebbe consigliabile creare raggruppamenti di indirizzi per condominio. In questo modo, se dovrà capitare il caso di doverne cancellare i riferimenti, non si conserveranno dati per errore.
Nuovo personale o variazione di mansioni
Tutti i nuovi collaboratori devono essere formati sugli strumenti informatici e GDPR. Si possono organizzare corsi o affidarsi ad un ente esterno per affrontare gli argomenti generali, spetterà all’amministratore affinare queste informazioni con delle istruzioni più dettagliate e specifiche per le mansioni che dovrà ricoprire il neo assunto.
Il nuovo arrivato dovrà essere autorizzato a trattare i dati dei condomini e fornitori, dovrà sottoscrivere un patto di riservatezza ed il divieto a divulgare informazioni. Su tutto questo deve vigilare l’amministratore perché in generale, è lui il responsabile per tutto quello che accade nello studio.
Anche in caso in cui un collaboratore vada a ricoprire un nuovo ruolo, si dovrà modificare il GDPR specificando le operazioni che dovrà svolgere, le relative criticità e le soluzioni che dovrà applicare.
Ad esempio, stiamo riscontrando la necessità di affrontare nuove tipologie di procedure, ad esempio quelle legate alla gestione dei superbonus o alle assemblee in teleconferenza. Questi casi prevedono un’apposita gestione della privacy.
Aggiornare il GDPR
Sono molti gli amministratori che fanno confusione tra trattamento dei dati, privacy, GDPR dello studio, ruoli e responsabilità. A questo link potrete trovare molte informazioni per evitare confusioni che possono portare a spiacevoli conseguenze.
Spesso ci succede, in qualità di consulenti sugli strumenti informatici, che i clienti ci sottopongano la validità delle dichiarazioni sul trattamento dati che in buona fede, ritengono essere soddisfacenti per ottemperare agli obblighi previsti. Spesso e volentieri non lo sono.
Ancora troppe volte capita di trovarci davanti a dichiarazioni generiche, reperite in rete o da qualche professionista, prive delle informazioni necessarie o ancora peggio, riportanti solo dati generici assolutamente non calzanti per le caratteristiche dello studio di amministrazione immobili.
“Tanto cosa vuoi che succeda se non ho il GDPR? Anche l’altro amministratore non lo ha fatto…”
Bene, vediamo che capita a chi non presta la dovuta attenzione agli strumenti informatici e GDPR.
Le sanzioni amministrative introdotte dal regolamento UE integrano quelle penali già previste dal Codice della privacy e possono arrivare fino a 20 milioni di euro e fino al 4 per cento del fatturato.
Il GDPR regola soltanto le sanzioni amministrative pecuniarie, l’articolo 83 prevede un importo pari ad un massimo di:
- 10 milioni di euro o 2 per cento del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non nominano il DPO, non comunicano un data breach all’Autorità garante, trattano in maniera illecita i dati personali degli utenti;
- 20 milioni di euro o 4 per cento del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.
Per l’ultimo punto attenzione all’utilizzo di Whatsapp ed altre app di messaggistica!
Le sanzioni previste dal GDPR non sono solo amministrative e monetarie ma anche di natura penale. Non avere precedenti penali è una delle caratteristiche che deve assolvere l’amministratore di condominio (ex art. 71-bis disp.att.ne Codice Civile).
Cosa fare assolutamente per il GDPR
Il Garante e la Guardia di Finanza valutano caso per caso, considerando la gravità degli illeciti, la validità delle documentazioni, ecc. Non vengono sempre applicate le sanzioni massime.
Quel che viene considerato come minimo indispensabile, magari per ricevere solo un ammonimento e non una sanzione, è:
- la nomina a Responsabile al trattamento dei dati sottoscritta dalla maggioranza dalla compagine condominiale;
- soluzioni in caso di data breach (ovvero cosa capita se si perde un pc, se lo rubano, se si incendia, se un elemento estraneo ha bloccato il data base);
- compilazione del registro dei trattamenti, dove verranno raccolte tutte le procedure per la tutela della privacy.
Se l’argomento trattato è stato di tuo interesse, richiedi alla tua associazione di inserire i nostri corsi sugli strumenti informatici, dedicati agli amministratori di condominio, nella loro offerta formativa prevista dal DM 140/14.
