Presentazione standard di PowerPoint · Sono riservati tutti i diritti alla ROKLER Management & Consulting Srl. E’ vietata la riproduzione, l’estrapolazione e diffusione anche

Sono riservati tutti i diritti alla ROKLER Management & Consulting Srl. E’ vietata la riproduzione, l’estrapolazione e diffusione anche parziale senza previa autorizzazione scritta della ROKLER Management & Consulting Srl.

"NORMATIVA IN MATERIA DI PRIVACY:

DAL D.LGS. 196/2003 AL REGOLAMENTO UE 2016/679

DIFFERENZE E ADEMPIMENTI"

A.N.AMM.I.Associazione Nazional-europea AMMinistratori d'Immobili

in sinergia con

ROKLER Management & Consulting S.r.l.


SI PREGA DI VOLER SPEGNERE

O

SILENZIARE I VOSTRI CELLULARI


La Rokler Management & Consulting S.r.l. è il risultato del progetto di due professionisti: Ivano Rossi

e Carlo Pikler.

Team di consulenti esperti nella risoluzione delle problematiche relative alla tutela dei dati personali

sotto l'aspetto legale, procedurale, informatico e della formazione del personale.

Questo ci consente di poter affiancare aziende e Pubbliche Amministrazioni nella gestione di tutte le

tematiche derivanti dall’applicazione del Codice Privacy e di supportarle efficacemente nei processi di

cambiamento, crescita culturale e trasferimento delle conoscenze per l’adeguamento al nuovo

Regolamento Europeo che diverrà applicabile il 25 maggio 2018.

Ivano Rossi

Esperto nel settore della privacy

e con esperienza in ambito di

gestioni condominiali

Privacy Officer certificato TUV Italia

Carlo Pikler

Avvocato esperto nel settore civilistico

e specializzato in problematiche

Privacy

DPO certificato KHC


STORIA DEL DIRITTO ALLA PRIVACY

Nato negli USA alla fine del 1800 come right to be let alone (diritto a rimanere soli) oggi il diritto sui propri dati personali

si estende anche ai dati non connessi alla sfera intima e personalissima della persona o a quelli comuni (nome, indirizzo,

etc).

Nel 1995 la Comunità europea ha introdotto, con la Direttiva del Parlamento europeo e del Consiglio n. 95/46/CE, un

complesso sistema di regole che devono governare i trattamenti, anche non automatizzati, di dati personali.

La Direttiva 95/46/CE viene anche definita “Direttiva madre”, proprio in quanto costituisce il testo di riferimento, a

livello europeo, in materia di protezione dei dati personali.

La Direttiva madre determina in Italia l’adozione della l. n. 675/1996, riprendendo i principi dettati dalla Costituzione agli

artt. 14-15-21; viene istituita la figura del Garante per la protezione dei dati e garantito che il trattamento dei dati personali

si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare

riferimento alla riservatezza e all'identità personale e garantisce altresì i diritti delle persone giuridiche e di ogni altro ente

o associazione.

Il 30 giugno 2003 viene pubblicato il D.lgs. 196 ossia il Codice in materia di protezione dei dati personali (c.d. Codice

Privacy).


SOMMARIO

INTRODUZIONE

CENNI SUL D.LGS. 196/2003

REGOLAMENTO UE 2016/679

✓ Tipologia dati e Soggetti;

✓ I Nuovi Principi;

✓ Informativa, Consenso, Accountability, Privacy by Default e Privacy by Design.

PAUSA

LA PRIVACY NEL CONDOMINIO

IL SITO CONDOMINIALE E DELL’AMMINISTRATORE

VIDEOSORVEGLIANZA E CASI PRATICI

SANZIONI

CONCLUSIONI – QUESTION TIME


D.LGS. 30 GIUGNO 2003, N. 196

Entrato in vigore il 1 Gennaio 2004 IL Codice della Privacy

è la raccolta in un unico contesto delle diverse disposizioni

previgenti in materia (l. n. 675/1996 e altri decreti legislativi,

regolamenti e codici deontologici in materia di trattamento

dei dati personali).

Ambito di applicazione ex art. 5:

1. Trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque (persona fisica o persona giuridica)

è stabilito nel territorio dello Stato Italiano o, comunque, in un altro luogo soggetto alla sua sovranità;

2. Trattamento dei dati personali effettuato da chiunque è stabilito in un Paese non appartenente all’UE e impiega,

per il trattamento, strumenti situati nel territorio dello Stato Italiano, salvo che essi siano utilizzati solo ai fini di

transito nel territorio dell’Unione Europea.


D.LGS. 30 GIUGNO 2003, N. 196

MISURE MINIME DI SICUREZZA (All. B3)

Sono il complesso delle misure organizzative, tecniche, informatiche, logistiche e procedurali volte a ridurre al

minimo i rischi di:

✓ distruzione o perdita, anche accidentale, dei dati;

✓ accesso non autorizzato;

✓ trattamento non consentito o non conforme alle finalità della raccolta,

✓ modifica dei dati in conseguenza di interventi non autorizzati o non conformi

alle finalità previste.


Regolamento UE 2016/679

Il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679.

Il Regolamento è un atto giuridico vincolante, diretto non solo agli stati membri, ma anche ai singoli (è

obbligatorio per tutti i cittadini dell’UE).

È un atto c.d. “self executing” dotato di portata generale ad efficacia diretta ed immediata senza la ratifica

preventiva mediante legge nazionale (come invece avviene per le Direttive).

Il Regolamento, diverrà esecutivo nel 2018 – periodo di attesa di due anni dalla pubblicazione quando, ai sensi

dell’art. 88, comma I, scatterà l’abrogazione della Direttiva madre 95/46 CE.



OBIETTIVI PERSEGUITI:

• assicurare un’applicazione coerente ed omogenea delle norme a protezione dei dati personali;

• consentire lo sviluppo dell’economia digitale nel mercato interno (europeo) attraverso maggiore trasparenza da

parte degli operatori economici (comprese piccole e medie industrie);

• garantire alle persone fisiche il controllo dei loro dati personali; stesso livello di diritti azionabili e stessi

obblighi;

• rafforzare la certezza giuridica ed operativa per i soggetti economici e le Autorità pubbliche;

• monitoraggio omogeneo;

• sanzioni equivalenti.



AMBITO DI APPLICAZIONE MATERIALE (Art. 2)

Ai sensi dell’art. 2 il regolamento si applica al trattamento interamente o parzialmente automatizzato di

dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinato a

figurarvi.



AMBITO DI APPLICAZIONE MATERIALE (Art. 3)

Ai sensi dell’art. 3 il regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle

attività di uno stabilimento nell’Unione, indipendentemente che il trattamento sia effettuato o meno

nell’Unione e che riguardi offerta di beni o prestazione di servizi, nonché raccolta dati ai fini della

profilazione.

STABILIMENTO: è la sede amministrativa centrale, ovvero dove vengono assunte le decisioni principali

con organizzazione stabile anche se succursale o filiale.



LE TIPOLOGIE

DI DATI

DATI

PERSONALI

DATI

GIUDIZIARI

DATI SENSIBILI: etnia, opinione politica,

religione, appartenenza sindacale,

orientamento sessuale, dati biometrici,

relativi alla salute, dati genetici



DATI

PERSONALI

Il dato personale è qualunque informazione relativa a un individuo, identificato o

identificabile, anche indirettamente.

In un condominio, i dati personali possono essere, ad esempio, il nome e il cognome, il

numero di telefono, la mail, l’indirizzo, l’immagine fotografica o un video che ritrae la

persona interessata.

Possono esserlo anche altre informazioni quali il numero dell’interno dell’abitazione o la

bolletta dei consumi dell’acqua, quando questi sono riconducibili ai singoli condòmini.

DATI

GIUDIZIARI

I dati giudiziari sono tutte quelle informazioni idonee a rivelare provvedimenti in materia di

casellari o giudiziario, di anagrafe delle sanzioni amministrative dipendenti da reato e dei

relativi carichi pendenti, o la qualità di imputato o di indagato.

In termini pratici un esempio di trattamento di dato giudiziario è la raccolta del casellario

giudiziale di eventuali dipendenti da parte dell’Amministratore. Non rientra invece in tale

fattispecie il trattamento dei dati relativi ad azioni giudiziarie civili (es. recupero crediti).



DATI

SENSIBILI

Ai sensi dell’art. 9 è vietato trattare dati personali che rivelino l’origine razziale o

etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza

sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo

univoco una persona fisica, dati relativi alla salute o alla vita sessuale o

all’orientamento sessuale della persona.

Il trattamento dei dati personali di natura sensibile (come quelli sullo stato di salute) o

dei dati giudiziari è consentito esclusivamente nel caso in cui siano indispensabili ai

fini dell’amministrazione del condominio e devono comunque essere adottate adeguate

cautele al fine di salvaguardare la dignità degli interessati.

Es: è possibile nel caso in cui l’assemblea debba deliberare l’abbattimento delle

“barriere architettoniche”, per acquisire informazioni sulle persone che presteranno

servizio alle dipendenze del condominio stesso, oppure quando si debbano trattare i dati

anche sanitari di persone che abbiano subito danni negli spazi condominiali.



IL TRATTAMENTO DEI DATI

Il TRATTAMENTO concerne qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di

processi automatizzati e applicate ai dati personali o insieme di dati personali, come la raccolta, la registrazione,

l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione,

l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il

raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti

di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli

previsti attualmente dal Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona

interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri,

interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).



I SOGGETTI DEL TRATTAMENTO

Il trattamento di dati personali dà luogo ad un rapporto giuridico tra un soggetto che acquisisce i dati o

svolge altre operazioni sui medesimi e un soggetto al quale i dati personali si riferiscono.

D. lgs. 196/2003 Regolamento UE (en) Regolamento UE (it)

TITOLARE DATA CONTROLLER TITOLARE

RESPONSABILE DEL

TRATTAMENTO

DATA PROCESSOR RESPONSABILE DEL

TRATTAMENTO

DATA PROTECTION

OFFICER

RESPONSABILE

DELLA PROTEZIONE

DEI DATI

INCARICATO DATA HANDLER ADDETTO AL

TRATTAMENTO



TITOLARE DEL TRATTAMENTO (Art. 4.7 e 24)

Il titolare deve essere dotato di un autonomo potere decisionale effettivo. Ciò al fine di dar

luogo ad una corretta allocazione in concreto dei ruoli di titolare e di responsabile del

trattamento.



TITOLARE DEL TRATTAMENTO (Art. 4.7 e 24)

Titolare del trattamento è il Condominio come entità composta dai singoli condomini contitolari degli stessi

diritti e doveri.

Per contitolarità si intende il diritto soggettivo che può appartenere a più persone, le quali sono tutte contitolari

del medesimo (unico) diritto, il quale rimane identico a se stesso nonostante faccia capo a più soggetti diversi

che lo condividono.



RESPONSABILE DEL TRATTAMENTO (Art. 4.8 e 28)

Il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo

che tratta dati personali per conto del titolare del trattamento. Il Responsabile del trattamento o chiunque

agisca sotto la sua autorità, non può trattare dati personali a cui ha accesso se non è istruito in tal senso dal

titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Il Responsabile del trattamento (Amministratore di Condominio) deve essere nominato dal titolare o

da altro Responsabile previa autorizzazione scritta del titolare, specifica o generale. La designazione

avviene per contratto o altro atto giuridico.

OBBLIGATORIA FACOLTATIVA

Se il titolare decide di esternalizzare il Se il Responsabile è nominato da

trattamento altro responsabile.



Art. 32 - Misure di sicurezza

Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32,

paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva.

Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di

misure "minime" di sicurezza poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile

(quindi al Condominio e all’amministratore) in rapporto ai rischi specificamente individuati come da art. 32 del

Regolamento.

Si richiama l'attenzione anche sulla possibilità di utilizzare l'adesione a specifici codici di condotta o a schemi di

certificazione per attestare l'adeguatezza delle misure di sicurezza adottate. Tuttavia, l'Autorità potrà valutare la

definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni.

PRINCIPALI ADEMPIMENTI DA PARTE DEL TITOLARE E DEL RESPONSABILE DEL TRATTAMENTO



Art. 30 - Registro dei trattamenti

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se

non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento i cui contenuti

sono indicati all'art. 30.

Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma

anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un

soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma

scritta, anche elettronica, e deve essere esibito su richiesta al Garante.




Art. 32 Sicurezza del trattamento… «il titolare del trattamento e il responsabile del trattamento mettono in atto

misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che

comprendono, tra le altre, se del caso:

✓ la pseudonimizzazione e la cifratura dei dati personali;

✓ la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la

resilienza dei sistemi e dei servizi di trattamento;

✓ la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in

caso di incidente fisico o tecnico;

✓ una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure

tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che

derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o

dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.




IL DATO PSEUDONIMIZZATO (Art. 4.5)

La pseudonimizzazione concerne il trattamento dei dati personali in modo tale

che i dati personali non possano più essere attribuiti a un interessato specifico

senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni

aggiuntive siano conservate separatamente e soggette a misure tecniche e

organizzative intese a garantire che tali dati personali non siano attribuiti a

una persona fisica identificata o identificabile. Es.: identificativi online prodotti

da dispositivi o applicazioni (indirizzi ip, cookies, tag di radiofrequenza).

Si tratta di una tecnica c.d. privacy enhancing, grazie alla quale il trattamento

avviene in modo che le informazioni che consentono ai dati di essere attribuiti

ad una persona identificata siano conservate separatamente rispetto al dato

pseudonimizzato generato e siano soggette a misure tecniche e organizzative

che assicurano tale non-attribuzione.



INTERESSATO (Art. 4.1)

La figura dell’interessato è costruita sul concetto di dato personale, per cui ne subisce la forza espansiva. Si deve

ritenere che la qualità di interessato cessi con la morte, ossia appunto con il venir meno della persona fisica. La

morte tuttavia non fa venire meno il legittimo interesse degli eredi, ad avere accesso a informazioni del deceduto

e dunque a far valere disposizioni regolamentari relative a dati riferibili a quest’ultimo.

Gli interessati sono tutti coloro che vantano all’interno del condominio dei diritti reali i cui dati vengono gestiti

dall’amministratore.



I NUOVI PRINCIPI

- INFORMATIVA CORRETTA E TRASPARENTE

- CONSENSO SPECIFICO

- ACCOUNTABILITY

- RISK ASSESSMENT (ed eventuale predisposizione DPIA)

- DATA RETENTION

- PRIVACY BY DESIGN

- PRIVACY BY DEFAULT



DIRITTO ALL’INFORMATIVA (Artt. 13-14)

Le informative dovranno essere più complete, dotate di un linguaggio

chiaro, semplice ed adeguato allo scopo cui sono dirette. In esse deve

essere indicato il diritto di proporre il reclamo all’Autorità di controllo

e le coordinate di contatto di detta Autorità

Nel caso in cui i dati siano trattati da un soggetto nell’esercizio della

sua professione (medico o avvocato ad esempio) o siano comunque resi

noti ad un soggetto obbligato al segreto professionale o ad obbligo

legale di segretezza l’informativa non sarà dovuta.

Il diritto all’informativa deve ritenersi inderogabile consensualmente. L’informativa è

fornita gratuitamente all’interessato. Le informazioni sono rese per iscritto, ivi inclusi

mezzi elettronici, oppure oralmente se ciò è richiesto dall’interessato di cui sia

comprovata l’identità.




L’Amministratore è obbligato a trasmettere l’informativa a ciascun condomino e ad effettuare e comunicare

eventuali aggiornamenti sulle finalità e modalità del trattamento.

Incombe sullo stesso l’onere probatorio di avere fornito l’informativa, in conformità con i principi generali.

Il diritto all’informativa riflette la pretesa riconosciuta alla persona di comprendere e prevedere l’ambito

di circolazione dei propri dati, le finalità, il soggetto o i soggetti decidenti e di procedere su tale base

a un consapevole esercizio dei poteri di controllo, come ad esempio, l’espressione o il diniego del

consenso.




L’informativa è dovuta per qualsiasi trattamento, ma il legislatore prevede delle deroghe sotto esposte.



DIRITTO DI ACCESSO (Art. 15)

Il diritto di accesso costituisce una declinazione del medesimo diritto conoscitivo garantito con l’informativa,

ad iniziativa dell’interessato.

Nel caso del Condominio la risposta al diritto viene effettuata dall’Amministratore entro il termine perentorio di

15 giorni.

L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un

trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali.



CONSENSO AL TRATTAMENTO (Art. 4.11 – 7)

Il consenso è una manifestazione di volontà recettizia con la quale l’interessato

autorizza il trattamento dei propri dati. Si tratta di un diritto da ritenersi

inderogabile consensualmente.

E’ revocabile nei confronti del titolare in ogni tempo e senza condizionamenti.

Es. Consenso per attività commerciali/marketing Consenso per invio newsletter

Do il consenso Nego il consenso Do il consenso Nego il consenso



PRINCIPIO DI RESPONSABILIZZAZIONE (ACCOUNTABILITY) (Art. 5.2 – 24- 30)

Si esplicita nell’adozione, da parte del titolare e del responsabile, di comportamenti proattivi e tali da dimostrare la

concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento.

E’ responsabilità dell’Amministratore di Condominio decidere autonomamente le modalità, le garanzie e i limiti del

trattamento dei dati personali. Egli deve essere in grado di dimostrare di avere adottato un processo complessivo di

misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di

specifici modelli organizzativi: deve dimostrare in modo positivo e proattivo trattamenti di dati effettuati sono adeguati

e conformi al regolamento europeo in materia di privacy.

Il responsabile del trattamento deve dimostrare in modo sostanziale di aver adottato tutte le procedure idonee ad evitare

la perdita dei dati ed essere in grado di dimostrare la conformità di ogni singolo trattamento al Regolamento generale e

tali aspetti devono essere verificati da revisori interni od esterni indipendenti.

Eventuali sanzioni sono comunque erogate in capo al Titolare (Condominio) e Responsabile (Amministratore).



RISK ASSESSMENT

E’ necessaria un’analisi dei rischi preventiva in capo ai singoli Condomini in qualità di Titolare del trattamento

nonché in capo all’Amministratore in qualità di Titolare del suo studio.

PLAN: Esame dei Rischi

DO: Adozione misure di riduzione del rischio

CHECK: Verificare la mitigazione del rischio

ACT: Monitorare periodicamente e studiare

procedure idonee per riduzione rischio rispetto

al progresso tecnologico



DPIA (Data Protection Impact Assessment)

La valutazione d’impatto privacy, unitamente ad altri adempimenti formali, sostituisce l’obbligo generale di

notificare al Garante il trattamento dei dati personali e si inserisce nel principio della responsabilizzazione del

trattamento.

La DPIA va effettuata prima del trattamento per calcolare la probabilità e gravità dei rischi e mediante essa si

acquisiscono le necessarie conoscenze sulle misure, sulle garanzie e sui meccanismi previsti per attenuare il

rischio ed assicurare la conformità del trattamento a quanto previsto dal GDPR.

La valutazione d’impatto va obbligatoriamente effettuata nei casi di:

- Trattamento dati su larga scala;

- Trattamento di dati sensibili;

- Sorveglianza di zone accessibili al pubblico su larga scala.



CONSERVAZIONE DATI PERSONALI (Art. 5.1.e)

DATA

RETENTION

I dati possono essere conservati in modo da permettere l’identificazione

dell’interessato solo per quel lasso di tempo necessario a conseguire le

finalità del trattamento.

Nel caso del Condominio il periodo di conservazione dei dati non può

eccedere la durata del mandato (2 anni).

L’Amministratore può, però, mantenere i dati per finalità giudiziarie

purché detenga esclusivamente i dati strettamente necessari al contenzioso.



DATA PROTECTION-BY-DEFAULT (Art. 25)

Tale principio si sostanzia in quelle misure tecniche e organizzative funzionali a garantire che vengano trattati

solo i dati personali necessari alle finalità perseguite. La minimizzazione costituisce una misura di riduzione del

trattamento by-default finalizzata a impostare a priori la massima protezione dei dati attraverso il loro minimo

trattamento.

DATA PROTECTION-BY-DESIGN (Art. 25)

Costituisce un’altra modalità di riduzione del trattamento ex ante attraverso la creazione di prodotti e servizi che

tengano conto, sin dalla loro progettazione, delle regole e dei principi della protezione dei dati, in modo da

minimizzare a priori non solo la raccolta di dati, ma anche i trattamenti successivi effettuati.


UN MOMENTO DI PAUSA


LA PRIVACY NELLE ASSEMBLEE

Il Condominio nelle assemblee e per esso l'amministratore, devono attenersi ad alcune regole ferree:

✓ è illecita la comunicazione a terzi di dati personali riferiti ai partecipanti (esempio uso illecito della bacheca o trasmissione a

terzi di parti del verbale che trattano dati sensibili dei singoli condomini);

✓ possono partecipare terzi in assemblea quali tecnici o consulenti, per trattare i punti all'ordine del giorno per i quali i

partecipanti ne ritengono necessaria la presenza. Possono inoltre rimanere solo per il tempo necessario alla trattazione

dell'argomento;

✓ i terzi soggetti che intervengono a mezzo delega scritta per rappresentanza dei condomini, sono tenuti al rispetto del

principio della riservatezza sulla trattazione dei dati;

✓ l'assemblea può essere registrata solo previo consenso informato e unanime dei condomini;

✓ i dati in forma di suoni e immagini costituiscono dati personali in quanto possono rappresentare informazioni su una

persona;

✓ la documentazione, su qualsiasi supporto, deve essere conservata al riparo da accessi indebiti.

Il consenso deve essere fornito anche da parte di tutti i soggetti legittimamente presenti all’assemblea (es. consulenti tecnici).


USO DELLA BACHECA CONDOMINIALE

Le bacheche condominiali sono utilizzabili per avvisi di carattere generale, in quanto si deve scongiurare il rischio

che soggetti terzi vengano a conoscenza delle informazioni relative, ad es. ai singoli condòmini o affittuari

È vietata:

✓ la diffusione di dati personali mediante l’affissione di avvisi di mora o sollecitazioni di pagamento in spazi

condominiali aperti al pubblico (delitto di diffamazione);

✓ l’esposizione dell'ordine del giorno dell'assemblea del condominio (in cui vengono riportati dati personali

riferibili anche in maniera indiretta a titolari o interessati).


IL SITO CONDOMINIALE

L'art. 25 della legge 220/2012 recita: “su richiesta dell'assemblea, che delibera con la maggioranza di cui al

secondo comma dell'articolo 1136 del codice, l'amministratore è tenuto ad attivare un sito internet del condominio

che consenta agli aventi diritto di consultare ed estrarre copia in formato digitale dei documenti previsti dalla

delibera assembleare. Le spese per l'attivazione e la gestione del sito internet sono poste a carico dei condomini”.

Viene specificato in quale caso e con quale maggioranza l'amministratore è tenuto, su richiesta dei condomini, ad

attivare questo sito Internet che pertanto non risulta obbligatorio, ma rimane comunque un utilissimo strumento.

Infatti l'attivazione di un sito permette di gestire un condominio con maggiore trasparenza e, come spesso accade

quando si utilizzano i mezzi informatici, di snellire molte procedure burocratiche.


IL SITO CONDOMINIALE

Un uso inappropriato del web può ledere la riservatezza dei condòmini e della stessa compagine.

Il Garante della privacy ha esplicitato che solo le persone che ne hanno diritto possono consultare ed estrarre

copia dei documenti condominiali.

Devono quindi essere previste delle procedure, ad esempio l'autenticazione tramite password individuale, che

consentano l'accesso sicuro a tali documenti digitali.

È necessario prestare particolare attenzione nel caso in cui siano trattati, tra l'altro, i dati sensibili - come quelli

che si riferiscono alle condizioni di salute di una persona - o quelli giudiziari.

È bene ricordare che esistono dei dati rispetto ai quali non è possibile opporre il diniego di autorizzazione al

trattamento (ossia alla loro comunicazione o comunque accessibilità) perché già pubblici per legge (si pensi a

quelli sulla proprietà immobiliare) o comunque necessari per il normale funzionamento del condominio (es.

domicilio per la spedizione delle comunicazioni).


IL SITO DELL’AMMINISTATORE

ADEMPIMENTI NECESSARI

Elemento indispensabile è l’informativa che deve dettagliatamente indicare finalità e modalità di trattamento dei

dati all’interno di una vera e propria estesa e Privacy Policy.

Laddove all’interno del sito si faccia uso di un tools che enumeri gli utenti che accedono al sito (Google Analytic)

è indispensabile, oltre all’informativa, la predisposizione di un consenso specifico, in quanto tramite questa

attività si svolge una vera e propria profilazione dell’utente.

Medesimo discorso vale anche per l’utilizzo di Google Maps sul sito in quanto avviene una profilazione

dell’utente da parte di terzi.

Infine, laddove sia presente una raccolta di dati tramite il sito web per scopi quali possono essere l’iscrizione alla

newsletter o altro, è obbligatoria la richiesta di un consenso specifico nel quale venga esplicato che tipo di dati si

raccoglie e le modalità di trattamento degli stessi.


I COOKIES

I cookies tecnici sono quelli utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di

comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società

dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio. Essi non vengono utilizzati

per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

I cookies di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi

pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete.

Occorre, inoltre, tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si

tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di

un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").

Anche in questo caso, le difficoltà dovrebbero essere minime: la distinzione tra "cookie di terze parti" e gli altri due tipi

di cookie si fonda sul "chi" installa tali cookie: se il cookie lo installa il tuo sito direttamente, allora è un "cookie

tecnico" o un "cookie di profilazione"; se, invece, il cookie lo installa un servizio terzo usando il tuo sito, allora è un

"cookie di terza parte".


I COOKIES

In ogni caso è comunque necessaria predisporre un’informativa breve sull’utilizzo dei cookies e rimandare alla

Privacy Policy dove sarà presente l’informativa dettagliata.

Obiettivo del Garante è creare un sistema tale da consentire agli utenti di esprimere scelte effettivamente

consapevoli mediante la manifestazione di un consenso espresso, e al tempo stesso garantire il minor impatto

possibile in termini di soluzione di continuità della navigazione degli stessi utenti.



TRATTAMENTO DEI DATI PERSONALI E VIDEOSORVEGLIANZA - PRINCIPI GENERALI

Le misure minime di sicurezza possono variare anche significativamente. E' tuttavia necessario che le stesse sianoquanto meno rispettose dei principi che seguono:

✓ in presenza di differenti competenze specificatamente attribuite ai singoli operatori devono essere configuratidiversi livelli di visibilità e trattamento delle immagini. Tali soggetti, designati incaricati o, eventualmente,responsabili del trattamento, devono essere in possesso di credenziali di autenticazione che permettano dieffettuare, unicamente le operazioni di propria competenza;

✓ laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate,deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincroniacon la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni dicancellazione o duplicazione;

✓ per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche odorganizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termineprevisto;

✓ qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devonoessere protetti contro i rischi di accesso abusivo di cui all'art. 615-ter del codice penale.



TRATTAMENTO DEI DATI PERSONALI E VIDEOSORVEGLIANZA

ADEMPIMENTI APPLICABILI A SOGGETTI PUBBLICI E PRIVATI

Gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata.A tal fine, il Garante ritiene che si possa utilizzare lo stesso modello semplificato di informativa "minima", indicante iltitolare del trattamento e la finalità perseguita.

Il modello è ovviamente adattabile a varie circostanze. In presenza di più telecamere, in relazione alla vastità dell'area

oggetto di rilevamento e alle modalità delle riprese, potranno essere installati più cartelli.

Il supporto con l'informativa:

✓ deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non

necessariamente a contatto con gli impianti;

✓ deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione

ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;

✓ può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine

di informare se le immagini sono solo visionate o anche registrate.



VIDEOSORVEGLIANZA

ADEMPIMENTI ORGANIZZATIVI

1) Informativa - il titolare dello studio dovrà necessariamente consegnare idonea informativa dettagliata ai propri collaboratori,

che va ad integrare l'informativa breve della cartellonistica

2) Autorizzazione da parte del D.T.L. in caso di presenza di lavoratori;

3) Nomine Responsabili ed incaricati – Si devono designare per iscritto tutte le persone fisiche, incaricate del trattamento,

autorizzate ad utilizzare gli impianti e, nei casi in cui è indispensabile per gli scopi perseguiti, a visionare le registrazioni;

4) Regolamento aziendale – È opportuno che venga predisposto un regolamento aziendale relativo ai sistemi di videosorveglianza

e registrazioni di immagini in uso presso l’azienda. Nelle aziende più piccole il regolamento può essere sostituito da istruzioni

scritte per gli incaricati;

5) Formazione – Devono essere adottate opportune iniziative periodiche di formazione degli incaricati sui doveri, sulle garanzie e

sulle responsabilità, sia all’atto dell’introduzione del sistema di videosorveglianza, sia in sede di modifiche delle modalità di

utilizzo;

6) Diritto di accesso – Le immagini di una persona acquisite con un impianto di videosorveglianza costituiscono dati personali,

con conseguente diritto di acquisire informazioni sul trattamento da parte dell’interessato ai sensi dell’art. 7 Codice della Privacy.



VIDEOSORVEGLIANZA IN CONDOMINIO

Art. 1122 ter c.c. - (Impianti di videosorveglianza sulle parti comuni)

Le deliberazioni concernenti l'installazione sulle parti comuni dell'edificio di impianti volti a consentire la

videosorveglianza su di esse sono approvate dall'assemblea con la maggioranza di cui al secondo comma dell'articolo

1136 c.c.

Impianto installato dal condominio è ammissibile esclusivamente in relazione all'esigenza di preservare la sicurezza di

persone e la tutela di beni da concrete situazioni di pericolo, di regola costituite da illeciti già verificatisi, oppure nel caso

di attività che comportano, ad esempio, la custodia di denaro, valori o altri beni.




Art. 615 bis c.p.:

“Chiunque mediante l'uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini

attinenti alla vita privata svolgentesi nei luoghi indicati nell'art. 614 c.p. (vale a dire nel domicilio e, secondo la

giurisprudenza, nelle aree comuni dei condomini) è punito con la reclusione da sei mesi a quattro anni”.

Utilizzo (raccolta, registrazione e conservazione) di immagini configura un caso di trattamento di dati personali

laddove la persona ripresa sia riconoscibile anche attraverso il collegamento con altre fonti conoscitive.




OBBLIGHI SUCCESSIVI ALL'AUTORIZZAZIONE ASSEMBLEARE

Il condominio una volta deliberata l'installazione, per il tramite dell'amministratore deve:

✓rispettare la disciplina sul controllo a distanza dell’attività lavorativa (es. attività dei custodi) possono essere installati soltanto

previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di

accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali

impianti. Le immagini, raccolte per finalità di sicurezza e di accertamento di illeciti, non possono essere utilizzate per controlli,

anche indiretti, sull'attività lavorativa degli addetti;

✓si può non rendere l'informativa se effettuata per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento

o repressione dei reati. In questi casi è sufficiente adottare la cartellonistica prescritta da posizionare prima del raggio d’azione. I

cartelli, qualora l’impianto fosse in funzione anche di notte, dovranno essere visibili. Dovranno contenere l'indicazione del titolare e

della finalità perseguita;

✓determinare i tempi di conservazione delle immagini. Queste potranno essere conservate per un massimo di 24 ore fatte salve

specifiche esigenze in relazione a indagini di polizia o giudiziarie. Alla scadenza del termine il sistema deve prevedere la

cancellazione automatica delle immagini registrate;

✓nominare i soggetti (ad es. i custodi) che hanno accesso alle immagini, quali Responsabili o Incaricati del trattamento.


La pronuncia n. 71 del 03/01/2013 da parte della Corte di Cassazione, riconosce al singolo condomino il potere di

installare, senza preventivo consenso dell’assemblea, una telecamera nel parcheggio oggetto di precedenti e ripetuti

furti, ed ha affermato che: “non sussistono gli estremi atti ad integrare il delitto di interferenze illecite nella vita

privata (articolo 615-bis del codice penale) nel caso in cui un soggetto effettui riprese dell’area condominiale

destinata a parcheggio e del relativo ingresso, trattandosi di luoghi destinati all’uso di un numero indeterminato di

persone e, pertanto, esclusi dalla tutela di cui all’articolo 615-bis del codice penale, la quale concerne, sia che si tratti

di “domicilio”, di “privata dimora” o “appartenenze di essi”, una particolare relazione del soggetto con l’ambiente in

cui egli vive la sua vita privata, in modo da sottrarla ad ingerenze esterne indipendentemente dalla sua presenza”.

CASO N. 1

Sentenza Cassazione n. 71 del 03 gennaio 2013


La Suprema Corte si è espressa in merito all’ipotesi della legittimità di installare una telecamera davanti alla propria abitazione, nel

momento in cui viene ripresa anche solo in parte la proprietà di fronte o vicina. Il diritto alla riservatezza è violato e a nulla rileva che

l'obiettivo sia puntato verso la strada, oggetto di servitù di passaggio, o che la qualità delle immagini sia scarsa e ad essere inquadrati

siano soltanto gli arti inferiori di coloro che la percorrono: la privacy è comunque “potenzialmente” lesa.

La vicenda vedeva, infatti, contrapposte due famiglie, legate da rapporti di vicinato e di parentela, tra le quali non correva certo buon

sangue anche a causa delle telecamere che una delle due aveva installato sull'ingresso della propria abitazione ma che l'altra riteneva

lesive della privacy.

E la Cassazione dà ragione a quest'ultima, uniformandosi alle pronunce di merito che, sulla base della perizia effettuata, avevano

rilevato come la posizione delle due telecamere di sorveglianza fosse potenzialmente idonea a riprendere la proprietà dei vicini e in

ogni caso l'area in cui gli stessi esercitavano il loro diritto di servitù di passaggio.

Né poteva assumere rilievo, come sostenuto dai ricorrenti, che una delle due telecamere fosse non funzionante e l'altra avesse una

scarsa risoluzione riuscendo a riprendere soltanto gli arti inferiori dei passanti.

Per il Palazzaccio, infatti, è corretta la tesi della corte distrettuale, secondo la quale collegare una videocamera ad un monitor, così

come “modificare la visuale di ripresa o ancora sostituire le ottiche sono operazioni semplici che possono effettuarsi senza possibilità

alcuna di controllo” da parte dei vicini. Da ciò consegue la potenziale lesività della privacy.

In sintesi: la famiglia è stata condannata non solo a rimuovere e riposizione le telecamere ma anche a rimborsare le spese processuali

sostenute dai vicini.

CASO N. 2

Sentenza Cassazione n. 12139 del 11/06/2015


La Corte di Cassazione è intervenuta in materia di privacy in ambito condominiale risolvendo in chiave interpretativa un delicata questione

giuridica sorta a seguito dell’installazione di un impianto di videosorveglianza in un condominio.

Il caso riguarda il condomino di uno stabile condiviso con una coppia di coniugi condannato in primo grado dal Tribunale di Palermo per il

reato di cui all'art. 615 bis c.p. (interferenze illecite nella vita privata) per aver installato una telecamera sul muro del pianerottolo

condominiale, nella parte contigua alla porta d'ingresso della propria abitazione, con cui inquadrava la porzione di pianerottolo prospiciente la

porta suddetta, nonché "la rampa delle scale condominiali e una larga parte del pianerottolo condominiale", in tal modo videoregistrando

chiunque entrasse nel raggio d'azione della telecamera. Tale ricostruzione viene poi confutata in sede di appello dalla Corte di merito che

assolve il condomino per insussistenza del fatto.

Naturalmente la controversia arriva in Cassazione e la Suprema Corte conferma la decisione della Corte di appello sostenendo che la

telecamera non ha ripreso nessuno spazio privato del ricorrente avendo inquadrato solamente una parte del pianerottolo condominiale e la

rampa delle scale. In particolare così come sostenuto dalla Corte di merito il pianerottolo condominiale non rientra nella nozione di privata

dimora.

La Suprema Corte sostiene che l'art. 615 bis c.p. è funzionale alla tutela della sfera privata della persona che trova estrinsecazione

nell'abitazione e nei luoghi di privata dimora, oltre nelle "appartenenze" di essi. Si tratta di nozioni che individuano una particolare relazione

del soggetto con l'ambiente ove egli svolge la sua vita privata, in modo da sottrarla ad ingerenze esterne indipendentemente dalla sua presenza.

Le scale di un condominio e i pianerottoli delle scale condominiali non assolvono alla funzione di consentire l'esplicazione della vita privata al

riparo da sguardi indiscreti, perché sono, in realtà, destinati all'uso di un numero indeterminato di soggetti e di conseguenza la tutela

penalistica di cui all'art. 615 bis c.p. non si estende alle immagini eventualmente ivi riprese.

CASO N. 3

Sentenza Cassazione n. 34151 del 12 luglio 2017



SANZIONI

All’art. 83 il Regolamento prevede, a livello amministrativo le sanzioni equivalenti per le violazioni, ciò al fine di

evitare squilibri tra gli stati membri.

Gli importi delle sanzioni ex art. 83, seguono dei valori fissi per i quali è individuata la massima somma

comminabile, oppure vengono calcolati in percentuale sul fatturato delle imprese. Sussiste però il limite del cumulo

sanzionatorio sia per le persone fisiche che per le persone giuridiche, in caso di plurime violazioni.

SANZIONI

PENALISANZIONI

AMMINISTRATIVE



SANZIONI AMMINISTRATIVE (Art. 83)

Gli importi delle sanzioni ex art. 83, seguono dei valori fissi per i quali è individuata la

massima somma comminabile, oppure vengono calcolati in percentuale sul fatturato delle

imprese. Sussiste però il limite del cumulo sanzionatorio sia per le persone fisiche che per le

persone giuridiche, in caso di plurime violazioni.

Il primo livello sanzionatorio va

fino ad un massimo di €

10.000.000 o per le imprese,

fino al 2% del fatturato

mondiale annuo dell’esercizio

precedente, se superiore

Il secondo livello sanzionatorio

va fino ad un massimo di €

20.000.000 o per le imprese, fino

al 4% del fatturato mondiale

annuo dell’esercizio precedente,

se superiore



LE SANZIONI AMMINISTRATIVE (ART. 83)

PRIMO LIVELLO SANZIONATORIO

Violazione del consenso dei minori;

trattamento che non richiede l’identificazione;

principi e misure di data protection-by-design

e by-default; tenuta dei registri delle attività

del trattamento; adozione di misure di

sicurezza adeguate.

SECONDO LIVELLO SANZIONATORIO

Violazione dei principi generali applicabili al

trattamento;

delle condizioni di liceità; delle condizioni per il

consenso e diritto di revocato; delle disposizioni

relative al trattamento di categorie particolari di

dati personali; mancato rispetto dei diritti

dell’interessato



LE SANZIONI PENALI (ART. 84)

Le sanzioni penali dovrebbero potere essere adottate dagli Stati membri non solo per violazioni del

Regolamento, ma anche per la violazione di norme nazionali adottate in virtù e nei limiti del Regolamento.

Tali sanzioni possono da un lato autorizzare la sottrazione di profitti ottenuti attraverso la violazione del

Regolamento, il che significa che il contravventore verrà colpito anche in senso pecuniario; dall’altro non

dovrebbero essere in contrasto con il principio del ne bis in idem, così come interpretato dalla Corte di Giustizia.

Il Regolamento rimanda l’applicazione delle sanzioni penali all’impianto normativo dello Stato membro.



Tabella relativa alle principali sanzioni penali ed amministrative: Illeciti Penali

Art. 167- 1° comma Trattamento di dati illecito Reclusione da 6 a 18 mesi purché vi

sia nocumento; trattamento

con comunicazione o diffusione

del dato: da 6 a 24 mesi, salvo che

il fatto non costituisca più grave reato

Art. 167- 2° comma Trattamento in violazione alle prescrizioni

su dati che presentano rischi specifici (art.

17), sui dati sensibili (art. 20, 21, 22, 26),

sui dati giudiziari (art. 27), e sui divieti di

trasferimento dei dati all’estero (art. 45)

Reclusione da 1 a 3 anni, purché dal fatto

derivi nocumento.

Art. 168 Falsità nelle notificazioni, comunicazioni,

atti e dichiarazioni al Garante

Reclusione da 6 mesi a tre anni. Salvo che

il fatto non costituisca più grave reato

Art. 169 Omessa adozione delle misure di

sicurezza minime obbligatorie

previste dall’art. 33

Arresto sino a 2 anni.

“Ravvedimento operoso”: la

regolarizzazione entro termini fissati dal

garante con il pagamento di una sanzione

pecuniaria amministrativa pari al quarto

del massimo dell’ammenda (12.500 euro),

estingue il reato

Art. 170 Mancata osservanza provvedimenti del

Garante

Reclusione da 3 mesi a 2 anni


INCOMBENTI NECESSARI PER L’AMMINISTRATORE DI CONDOMINIO

- Esame dei rischi;

- Nomina specifica a Responsabile del Trattamento;

- Inviare informativa a tutti i condomini;

- Nomina a Responsabile a terzi fornitori;

- Nomina Incaricati di collaboratori e dipendenti del condominio;

- Nomina Incaricati e Responsabili in caso di presenza di videosorveglianza;

- Verifica della conformità delle procedure per l’installazione dell’impianto

(assemblea, nomine, cartellonistica).


La ROKLER Management & Consulting Srl in

sinergia con l’ANAMMI si occuperà di tutto a

costo 0 per l’Amministratore con servizio svolto

da professionisti certificati e qualificati.


CONCLUSIONI

OBIETTIVI DA PERSEGUIRE:

1- Ottenimento Attestato di conformità per il Condominio;


CONCLUSIONI


2- Ottenimento Attestazione di conformità per lo studio dell’Amministratore;


CONCLUSIONI


3- Riduzione dei rischi tramite codice di condotta per studio Amministratore;

4- Riduzione dei rischi dell’amministratore tramite una mirata

responsabilizzazione dei terzi fornitori (opportune nomine a

responsabili del trattamento).


QUESTION TIME

Sono riservati tutti i diritti alla ROKLER Management & Consulting Srl. E’ vietata la riproduzione, l’estrapolazione e diffusione anche parziale senza previa autorizzazione scritta della ROKLER Managament & Consulting Srl.

RIFERIMENTI E CONTATTI

ROKLER Management & Consulting S.r.l.

Via Albalonga, 16

00183 Roma (RM)

Tel. 06/89534942

e-mail [email protected]

www.rokler.it

Documents

Presentazione standard di PowerPoint · Sono riservati tutti i diritti alla ROKLER Management & Consulting Srl. E’ vietata la riproduzione, l’estrapolazione e diffusione anche