Privacy Europa Blog

Condominio e la Privacy

IL CONDOMINIO E LA PRIVACY

Aspetti giuridici e pratici

  • DATO PERSONALE:

La definizione di “dato personale” nella nostra normativa è tanto ampia da includere “qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.”

  • DATO SENSIBILE:

Dato personale idoneo a rilevare l’origine razziale, etnica, convinzioni religiose, filosofiche o di altro genere, opinioni politiche, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.

  • DATO SANITARIO:

E’ una tipologia di dato sensibile, idoneo a rilevare lo stato di salute di un determinato soggetto, non solo con riferimento a presunte malattie, ma anche ad ogni informazione relativa allo stato fisico, relazionale e psichico dell’individuo;

  • DATO GIUDIZIARIO:

Genus dato sensibile idoneo a rilevare l’esistenza di determinati procedimenti giudiziari (soggetti ad iscrizione nel casellario giudiziale) a carico di un individuo

IL TRATTAMENTO: DEFINIZIONE

QUALSIASI OPERAZIONE RELATIVA ALLA RACCOLTA, CONSERVAZIONE, CONSULTAZIONE, ELABORAZIONE, MODIFICA, UTILIZZO, COMUNICAZIONE, DIFFUSIONE, CANCELLAZIONE E LA DISTRUZIONE DEI DATI

Principi del trattamento:

  • principio di necessità: ridurre al minimo l’utilizzo dei dati, evitandone l’utilizzo se le medesime necessità possono essere perseguite con l’utilizzo di dati anonimi.
  • PRINCIPIO DI LICEITA’: i dati devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi legittimi e espliciti, esatti ed aggiornati, completi e pertinenti, oltre che non eccedenti rispetto alle finalità, conservati in modo da non consentire l’identificazione dell’interessato per un tempo superiore a quello necessario per gli scopi del trattamento.

I DATI TRATTATI IN VIOLAZIONE DI TALI PRINCIPI NON POSSONO ESSERE UTILIZZATI POICHE’ IL TRATTAMENTO E’ ILLECITO

 

IL TRATTAMENTO DEI DATI NEL CONDOMINIO

quali dati si possono trattare?

  • Per l’individuazione, e’ sempre necessario applicare il Principio generale di necessita’:
  • L’amministratore può, quindi, raccogliere ed utilizzare le sole informazioni personali necessarie per lo svolgimento della attività di gestione ed amministrazione della parti comuni (=questo vale per i proprietari e gli usufruttuari).
  • Tali dati personali possono riguardare tutta la compagine condominiale e/o ciascun partecipante.
  • In generale, quindi, l’amministratore può trattare dati anagrafici ed indirizzi (necessari per le convocazioni assembleari) , numero dei componenti del nucleo familiare (necessari per stabilire i consumi), le quote millesimali (per determinare i quorum assembleari, l’attribuzione delle spese che non si basano sui consumi).
  • Non possono essere trattati i DATI SENSIBILI che, in linea di massima, non sono necessari per lo svolgimento ed il compimento dell’incarico.
  • Eccezioni:
  • Possono essere trattati i dati che si trovano già in pubblici registri e che sono accessibili a tutti (es: mail, utenze telefoniche);
  • Dati sensibili necessari per lo svolgimento dell’incarico.

Caso di scuola è quello di richieste di risarcimento danni che provengano da condomini e/o dell’amministratore che deve abbattere le barriere architettoniche e deve, quindi, entrare in possesso dei dati relativi alla salute di uno o più condomini;

Dati sensibili del personale del condominio: il trattamento è consentito in ragione della necessità di trattamento da parte del datore di lavoro, con prescrizioni particolari in ordine alla raccolta

modalita’ di raccolta

I soggetti privati possono trattare i dati personali con il consenso dell’interessato, salvo le deroghe previste. Il consenso per essere valido deve essere prestato dietro idonea informativa

I soggetti economici pubblici e/o soggetti privati possono trattare i dati sensibili con il consenso dell’interessato rilasciando in forma scritta e con autorizzazione del garante, salvo le deroghe previste.

L’ eccezione nel condominio

Nel condominio i dati personali possono essere trattati senza necessità di raccolta del consenso in forza della deroga prevista. Resta inteso che deve comunque essere resa un’idonea informativa.

In definitiva, l’amministratore nella raccolta del dato:

Non deve chiedere il consenso ai condomini per il trattamento dei dati personali.

In particolare, tali dati servono a questi per eseguire un contratto, quello di mandato per la gestione delle cose comuni; trovano comunque applicazione, a seconda dei casi, anche le deroghe di cui alla lettera a (per esempio, l’amministratore è tenuto per legge a fare l’anagrafe condominiale) e la deroga di cui alla lettera g (per perseguire un interesse legittimo del titolare o di un terzo, può quindi comunicare ai condomini dati dei singoli partecipanti alla comunione);

Deve chiedere il consenso ai condomini per l’utilizzo dei dati sensibili e giudiziari ed avvalersi delle autorizzazioni del Garante

 

PROTEZIONE DATI: DA OGGI SI APPLICA IN ITALIA IL REGOLAMENTO UE

tratto dal sito del Garante Privacy

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9286582

PROTEZIONE DATI: DA OGGI SI APPLICA IN ITALIA  IL REGOLAMENTO UE
Cambia in maniera radicale l’approccio alla protezione dei dati

Responsabilizzazione per  imprese ed enti, maggiore trasparenza, nuovi diritti per le persone, più controllo sui propri dati. Norme applicabili anche al di fuori dell’Unione europea

Da oggi si applica in Italia il Regolamento Ue in materia di protezione dei dati personali. La nuova disciplina uniforma le regole in tutti i Paesi dell’Unione e rappresenta la più grande riforma in questo settore da un quarto di secolo a questa parte.

Il Regolamento adegua il quadro normativo al nuovo contesto sociale ed economico – caratterizzato da un incessante sviluppo tecnologico e da forme sempre più massicce e pervasive di scambio e  sfruttamento di dati – rafforzando le tutele poste a salvaguardia dei dati personali e i diritti degli individui.

Con il Regolamento cambia in maniera radicale l’approccio alla protezione dei dati: imprese ed enti dovranno operare seguendo il principio di responsabilizzazione (“accountability”), considerare la protezione dei dati non come obbligo formale, ma come una parte integrante e permanente delle loro attività e promuovere consapevolezza negli utenti sui loro diritti e le loro libertà.

Nello specifico, la prima novità fondamentale del Regolamento è quella di essere integralmente applicabile alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone presenti nel territorio dell’Unione europea o ne monitorano il comportamento. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’Ue.

Ogni utente avrà il diritto di ricevere informazioni chiare sull’uso che viene fatto dei suoi dati personali, potrà trasferirli da un titolare del trattamento ad un altro, compresi i social network (“diritto alla portabilità dei dati”), e vedrà rafforzato il suo diritto di far cancellare, anche on line, le informazioni  non più necessarie rispetto alle finalità per le quali sono state raccolte (“diritto all’oblio”).

La nuova disciplina introduce anche altre importanti misure. Imprese ed enti dovranno rispettare i principi della “privacy by design” e della “privacy by default”: dovranno inserire cioè garanzie a favore degli utenti in dalla progettazione di ogni trattamento e di ogni prodotto o servizio che comporti il trattamento di dati personali. Il consenso all’uso dei dati dovrà essere ancora più specifico per ogni servizio reso. Chi tratta dati avrà l’obbligo di informare le Autorità garanti, e nei casi più gravi gli stessi interessati, in caso si verifichino furti, diffusione illecita o perdite di dati (“data breach”).

Altra importante innovazione è la figura del Responsabile della protezione dei dati (RPD) che dovrà operare all’interno di tutte le amministrazioni pubbliche e di quelle imprese che fanno particolari trattamenti di dati o usano particolari categorie di dati, offrendo consulenza e supporto al proprio titolare o responsabile del trattamento.

Le sanzioni per chi non rispetta le regole potranno arrivare fino al 4 per cento del fatturato globale annuo. Tutte le Autorità di protezione dati dei Paesi Ue, alle quali è affidato il compito di vigilare sull’attuazione del Regolamento, avranno gli stessi poteri e gli stessi compiti, a garanzia ulteriore di un’applicazione realmente uniforme ed efficace nell’intera Unione.

Roma, 25 maggio 2018

Gdpr: la guida pratica

Gdpr: la guida pratica del Garante privacy

Pubblicata la guida aggiornata del Garante privacy sul regolamento Ue sulla protezione dei dati in vista dell’entrata in vigore del 25 maggio 2018

Gdpr: la guida aggiornata del Garante privacy
La guida, scaricabile sul sito del garante e sotto allegata, recepisce le riflessioni più recenti sul tema della protezione dei dati personali e suggerisce, attraverso raccomandazioni specifiche, alcune azioni che privati, aziende e Pa possono intraprendere sin d’ora perché fondate su precise disposizioni del regolamento che non lasciano spazi a interventi ulteriori del legislatore nazionale. Inoltre, la guida suggerisce possibili approcci rispetto ad alcune delle principali novità introdotte dal regolamento.

Suddivisa per macroaree, nel dettaglio la guida si sofferma sul consenso, l’informativa e il trattamento dei dati:

Consenso trattamento dati personali

Ex art. 9 del regolamento Ue, ricorda il Garante, il consenso relativamente ai dati sensibili deve essere esplicito, anche con riferimenti ai trattamenti automatizzati, “compresa la profilazione”. Non deve essere necessariamente “documentato per iscritto”, né
 è richiesta la “forma scritta”, anche se tale modalità è idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”. Inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Per i minori, il consenso è valido a partire dai 16 anni (limite abbassabile dalla normativa nazionale a 13 anni). Infine, precisa il Garante, tra le raccomandazioni, “il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica”. Nello specifico, occorre: verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato; prestare attenzione alla formula utilizzata per chiedere il consenso (che deve essere comprensibile, semplice, chiara).

Informativa

L’art. 13 del regolamento, spiega il Garante, elenca in modo tassativo i contenuti dell’informativa che va fornita entro un termine ragionevole non oltre 1 mese dalla raccolta, o al momento della comunicazione dei dati. In particolare, si legge nella guida, “il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti”.

Il regolamento, inoltre, precisa l’Autorità, prevede ulteriori informazioni “necessarie per garantire un trattamento corretto e trasparente”, ossia: la specificazione da parte del titolare del periodo di conservazione dei dati o dei criteri seguiti per stabilire tale periodo, e il diritto di presentare un reclamo all’autorità di controllo.

È opportuno, suggerisce il Garante nelle raccomandazioni, che “i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento”.

Diritti degli interessati

Le modalità per l’esercizio di tutti i diritti da parte degli interessati (diritto di accesso, all’oblio, di limitazione del trattamento, di portabilità dei dati, ecc.) sono stabilite, in via generale, negli artt. 11 e 12 del regolamento. Il termine per la risposta all’interessato, spiega il Garante privacy è, “per tutti i diritti (compreso quello di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego”. 
Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso. Infine, “la risposta fornita all’interessato non deve essere solo ‘intelligibile’, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro”.

Tra le raccomandazioni, infine, “è opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica)”.

Contitolarità del trattamento

Il regolamento disciplina, all’art. 26, la contitolarità del trattamento e “impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente”. Inoltre, fissa in modo più dettagliato rispetto al Codice la caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: “deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce ‘garanzie sufficienti’ 
– quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento”. Secondo la raccomandazione del Garante, infine, “i titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità, essendo obbligati in tal caso a stipulare l’accordo interno di cui parla l’art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell’esercizio dei diritti previsti dal regolamento”.

Top