Decima puntata sul ruolo del professionista in condominio per il Resto del Carlino

Decima puntata sul ruolo del professionista in condominio per il Resto del Carlino

Amministratore e banche dai condominiali

Il tormentone della privacy dei dati personali è di moda un po' dappertutto, condominio compreso, e se ne parla spesso a sproposito. Alla disinformazione, contribuiscono anche iniziative corrette delle Autorità preposte, che vengono spesso riportate dai media in modo succinto o distorto. Ma vediamo cosa si intende per protezione dei dati personali e quali sono gli obblighi che ne derivano stabiliti dal decreto legislativo 30 giugno 2003, n. 196 (il cosiddetto “codice della privacy”), anche rispetto alle banche dati che l’amministratore possiede, in genere su computer.

Banche dati.

L’amministratore può essere in possesso di tre "banche dati personali": quella dei condomini (integrata dagli eventuali inquilini in affitto del palazzo), quella relativa ai dipendenti dei condomini amministrati e quella dei fornitori (ditte impiantistiche, edili, compagnie di assicurazioni eccetera). Nessuna di queste banche dati, com’è ovvio, dovrebbe contenere “dati sensibili” che riguardano la salute, le credenze politiche o religiose, gli atteggiamenti verso i consumi. Meno scontato è il fatto che esse non contengano “dati giudiziari”. In effetti è vero che ogni amministratore professionista, che in genere gestisce almeno una trentina di palazzi, si trova a confrontarsi in giudizio con qualche condomino moroso. Ma è altrettanto vero che il codice della privacy definisce come giudiziari essenzialmente i dati che riguardano illeciti “penali” dell’individuo. Non solo: l’articolo 24 del codice della privacy afferma che il consenso al trattamento dati non è necessario “per adempiere ad un obbligo previsto dalla legge” (qual è quello dell’amministratore di citare in giudizio il moroso) e “per far valere o difendere un diritto in sede giudiziaria”.

Pertanto l’amministratore, diversamente da altri, non è costretto dalla legge a notificare al Garante della privacy il possesso delle banca dati.

Comunicazioni necessarie.

L'amministratore è però formalmente obbligato a comunicare ai condomini e ai fornitori l'esistenza della banca dati. E’ bene che lo faccia per lettera. La comunicazione ai condomini in assemblea va altrettanto bene, ma a patto che siano avvertiti anche i non presenti, tramite il verbale assembleare. Oltre alla comunicazione l’amministratore deve dare la possibilità agli interessati di conoscere il tipo di dati inseriti, la logica e il metodo con cui sono stati raccolti, e deve consentire loro di aggiornarli e rettificarli nonché di farli cancellare se non necessari all’esecuzione delle sue funzioni. Purchè siano rispettati questi principi, non è per niente indispensabile il consenso degli interessati all’inserimento nella banca dati. Va da sé che i dati non possono, se non con consenso, essere diffusi ad altri, per interessi estranei, ivi comprese quelli delle ditte che intendono proporre ai condomini lavori edili, apparecchiature o impianti.

Sanzioni. La diffusione di dato per profitto o per recare danno è punita con la reclusione da 3 mesi a 2 anni, incrementabile a un periodo di 1-3 anni se provoca effettivamente gravi problemi.. Rammentiamo che il codice dalla protezione dati prevede sanzioni che variano da 3.000 a 18.000 euro per la mancata informativa, che crescono a 5.000-30.000 euro se essa dovrebbe riguardare dati sensibili (il caso tipico è quello di un condomino disabile, ai fini un intervento sull’abbattimento delle barriere architettoniche).

Il documento programmatico di sicurezza

Per attestare la sicurezza delle proprie banche dati, l’amministratore deve compilare un “documento programmatico di sicurezza”. Si tratta essenzialmente di una serie di tabelle che, attenzione, non vanno spedite al Garante o a un qualsiasi ufficio, ma semplicemente conservate presso l’ufficio dell’amministratore ed esibito solo in caso di controlli. Il Dps non ha un modulo standard: le misure minime di protezione sono comunque nell’allegato B al decreto legislativo n. 196 del 2003 (il codice di protezione dati). Una guida è presente sul sito del Garante alla Privacy (www.garanteprivacy.it).nella sezione “Fac-simile e adempimenti”. Il documento andava redatto entro il 31 marzo 2006, mentre le misure di sicurezza per gli strumenti elettronici dovevano essere adottate non oltre il 30 giugno 2006.. Chi è inadempiente è colpito da sanzioni e pene draconiane: arresto sino a 2 anni o ammenda da 10.000 euro a 50.000 euro. Tuttavia, se le banche dati vengono protette entro il termine imposto da un apposito provvedimento del Garante, emesso dopo un controllo che ha avuto esiti negativi, le sanzioni calano a “soli” 12.500 euro.

Vediamo quindi quali sono a nostro avviso i contenuti-base del Dps, da cui derivano anche le misure minime di sicurezza che si è costretti ad adottare. Innanzitutto va indicato il responsabile del trattamento dati (in genere l’amministratore) e chi altri ha accesso ai dati (per esempio la sua segretaria, i suoi dipendenti). Poi vanno elencate le banche dati esistenti: quella dei condomini, quella dei fornitori (non solo le ditte che hanno contratti stabili con il condominio) e una banca dati che contenga ogni altro tipo di documenti (per esempio, curriculum di candidati al ruolo di portiere, amministratore, dichiarazioni fiscali, adempimenti amministrativi, eccetera). Infine, se esistono dipendenti del condominio (portiere, giardiniere ) a loro sarà dedicata una banca dati apposita.

Di ciascuna di queste banche dati va indicato:

1) la finalità del trattamento (cioè a che scopo sono conservate le informazioni, anche al fine di identificare quelle che non possono essere conservate);

2) La modalità del trattamento (in genere si tratterà di software applicativi e di gestione contabile);

3) Il luogo di custodia (presso l’ufficio dell’amministratore, su memorie informatiche, cd di back up, archivi cartacei).

Quindi vanno esplicitati i criteri di ordinamento, accesso, modifica e archiviazione di tutta la documentazione, sia per quella cartacea che per quella su supporto magnetico (ordine cronologico, alfabetico, protocollo), con particolari misure per quella potenzialmente delicata (buste sigillate, cartelle computer con particolari password di accesso).

Vanno specificati eventuali sistemi di protezione all’accesso dell’ufficio dell’amministratore e (portinaio, guardia giurata, porta blindata, impianto d’allarme eccetera) e alla documentazione cartacea (cassaforte, armadi metallici con chiave eccetera).

Per l’hardware e il software va chiarito se i computer sono collegati in rete, che sistemi operativi utilizzano e quali software di protezione (anti-virus, firewall, anti-spam). In particolare va assicurato che ciascuna persona che utilizza il computer goda di una password di perlomeno otto tra lettere e cifre, e dichiarato ogni quanto essa viene sostituita (per esempio, ogni 3 mesi). Inoltre va detto ogni quanto tempo si esegue un back up dei dati. Infine va fatta un’analisi del rischio (alto, medio, basso) rispetto ad eventi quali: il furto delle credenziali di autentificazione, l’incuria e gli errori di chi tratta i dati, gli accessi abusivi o i furti di documenti, l’azione di virus o trojans, il malfunzionamento o il degrado degli strumenti, l’intercettazione di informazioni in rete, gli incidenti nei locali (incendi, corti circuiti).