Scade tra pochi giorni, venerdì 30 giugno, il termine ultimo entro cui vanno adottate le misure minime di sicurezza per le ban

Il professionista deve applicare le misure di sicurezza

Amministratori: il 30 giugno scatta la privacy sulle banche dati

Scaduto il termine per il Dps, pochi lo hanno osservato

Scade tra pochi giorni, venerdì 30 giugno, il termine ultimo entro cui vanno adottate le misure minime di sicurezza per le banche dati, comprese quelle condominiali. Chi è inadempiente è colpito da sanzioni e pene draconiane: arresto sino a 2 anni o ammenda da 10.000 euro a 50.000 euro. Tuttavia, se le banche dati vengono protette entro il termine imposto da un apposito provvedimento del Garante , emesso dopo un controllo che ha avuto esiti negativi, le sanzioni calano a “soli” 12.500 euro.

D’altronde è già scaduto (il 31 marzo 2006) un altro termine: quello per redigere il cosiddetto Dps, il documento programmatico di sicurezza, che dovrebbe indicare nel caso concreto quali sono le misure da adottare per ciascuna banca dati su computer o dischi. Poiché tale documento va conservato presso l’ufficio dell’amministratore, è impossibile sapere quanti professionisti abbiano in effetti provveduto.

Il Dps non ha un modulo standard: le misure minime di protezione sono comunque nell’allegato B al decreto legislativo n. 196 del 2003 (il codice di protezione dati) e una guida alla redazione è scaricabile dal sito www.garanteprivacy.it nella sezione “Fac-simile e adempimenti”.

Vediamo quindi quali sono a nostro avviso i contenuti-base del Dps, da cui derivano anche le misure minime di sicurezza che si è costretti ad adottare..Innanzitutto va indicato il responsabile del trattamento dati (in genere l’amministratore) e chi altri ha accesso ai dati (per esempio la sua segretaria, i suoi dipendenti). Poi vanno elencate le banche dati esistenti: quella dei condomini, quella dei fornitori (non solo le ditte che hanno contratti stabili con il condominio) e una banca dati che contenga ogni altro tipo di documenti (per esempio, curriculum di candidati al ruolo di portiere, amministratore, dichiarazioni fiscali, adempimenti amministrativi, eccetera). Infine, se esistono dipendenti del condominio (portiere, giardiniere ) a loro sarà dedicata una banca dati apposita.

Di ciascuna di queste banche dati va indicato:

1) la finalità del trattamento (cioè a che scopo sono conservate le informazioni, anche al fine di identificare quelle che non possono essere conservate);

2) La modalità del trattamento (in genere si tratterà di software applicativi e di gestione contabile);

3) Il luogo di custodia (presso l’ufficio dell’amministratore, su memorie informatiche, cd di back up, archivi cartacei).

Quindi vanno esplicitati i criteri di ordinamento, accesso, modifica e archiviazione di tutta la documentazione, sia per quella cartacea che per quella su supporto magnetico (ordine cronologico, alfabetico, protocollo) , con particolari misure per quella potenzialmente delicata (buste sigillate, cartelle computer con particolari password di accesso).

Vanno specificati eventuali sistemi di protezione all’accesso dell’ufficio dell’amministratore e (portinaio, guardia giurata, porta blindata, impianto d’allarme eccetera) e alla documentazione cartacea (cassaforte, armadi metallici con chiave eccetera).

Per l’hardware e il software va chiarito se i computer sono collegati in rete, che sistemi operativi utilizzano e quali software di protezione (anti-virus, firewall, anti-spam). In particolare va assicurato che ciascuna persona che utilizza il computer goda di una password di perlomeno otto tra lettere e cifre, e dichiarato ogni quanto essa viene sostituita (per esempio, ogni 3 mesi). Inoltre va detto ogni quanto tempo si esegue un back up dei dati. Infine va fatta un’analisi del rischio (alto, medio, basso) rispetto ad eventi quali: il furto delle credenziali di autentificazione, l’incuria e gli errori di chi tratta i dati, gli accessi abusivi o i furti di documenti, l’azione di virus o trojans, il malfunzionamento o il degrado degli strumenti, l’intercettazione di informazioni in rete, gli incidenti nei locali (incendi, corti circuiti).

Il provvedimento del Garante – I punti dubbi

Trattabili i dati dei familiari coabitanti

La delibera del Garante 11 maggio 2006, pone la parola “fine” sulla grande maggioranza dei dubbi che riguardano la privacy in condominio. In sostanza il professionista che cura la gestione dello stabile può chiedere e/o disporre di tutte le informazioni necessarie ad esercitare i suoi compiti, anche senza ottenere il consenso da parte dei singoli condomini.

Unico presupposto è che invii l’indispensabile informativa sulla privacy a tutti gli interessati (non solo i condomini, ma anche gli estranei, come i fornitori) e che ciascuno abbia la possibilità di conoscere quali dati lo riguardano e, se è fattibile, chiederne la cancellazione o la modifica. Rammentiamo che il codice dalla protezione dati prevede sanzioni che variano da 3.000 a 18.000 euro per la mancata informativa, che crescono a 5.000-30.000 euro se essa dovrebbe riguardare dati sensibili (il caso tipico è quello di un condomino disabile, ai fini un intervento sull’abbattimento delle barriere architettoniche).

Qualche punto oscuro in effetti rimane. La delibera consente ovviamente di detenere i dati anagrafici nonché gli indirizzi dei condomini (i numeri telefonici solo con il consenso degli interessati). Si fa cenno anche agli inquilini in locazione i quali, salvo espressa esclusione nel contratto di affitto, possono partecipare alle assemblee quando si tratti di servizi comuni, e votare al posto del proprietario nelle delibere che riguardano il servizio di riscaldamento e condizionamento (articolo 10 della legge n. 392/1978).

Non si parla però espressamente del fatto che alcune tabelle millesimali possono essere rapportate non solo a condomini o inquilini, ma anche al numero dei loro familiari. E’ infatti comune che certe spese (consumo di acqua potabile in mancanza di contatori, funzionamento dell’autoclave, rotazione dei sacchi di immondizia, uso di una piscina o di un campo da tennis, per fare degli esempi), sono spesso correttamente rapportate a quante persone coabitano in ogni appartamento. Pertanto ci si potrebbe chiedere se l’amministratore, oltre ai dati dei condomini, possa detenere anche quelli degli altri abitanti del palazzo. Del resto la stessa delibera parrebbe consentirlo, dove afferma che si possono detenere “i dati personali necessari per commisurare le quote condominiali”. Tuttavia ci pare che all’amministratore, nello spirito della legge, possa bastare sapere quanti abitino stabilmente in ciascuna unità immobiliare, senza per questo conoscere per esteso i riferimenti anagrafici di ciascuno

Le regole del portiere

(autorizzazione generale Garante protezione dati 21/12/05, n. 1)

Come gli altri trattamenti dei dati del personale dipendente, è concesso, anche senza specifica autorizzazione, quando è indispensabile per:

1) adempiere obblighi o compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali;

2) in particolare, adempiere obblighi o compiti previsti dalle norme previdenziali e di assistenza integrativa, quelle di igiene e sicurezza del lavoro, fiscali, sindacali, di tutela della salute, di ordine e sicurezza pubblica;

3) anche fuori di questi casi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori, nel rispetto della legge;

4) far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, in sede amministrativa o nelle procedure di arbitrato e di conciliazione. Se tali dati rivelano lo stato di salute e la vita sessuale il diritto di far valere in giudizio deve essere della personalità o un altro diritto o libertà fondamentale e inviolabile.

5) esercitare il diritto di accesso ai documenti amministrativi;

6) adempiere ad obblighi finalizzati alla copertura dei rischi dei contratti assicurativi

7) garantire le pari opportunità;

8) perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.