Strumenti informatici e GDPR per l’amministratore di condominio

Strumenti informatici e GDPR per l'amministratore di condominio

Come in molti sanno (purtroppo ancora non tutti), dal 2016 anche gli amministratori di condominio devono adempiere agli impegni ed alle linee imposte dal GDPR in materia di protezione dei dati (concetto più specifico della Privacy in generale).

Come il testo del regolamento prevede, la gestione dei dati può essere automatizzata grazie a strumenti informatici. Strumenti informatici e GDPR sono strettamente legati perché per gestire i dati, spesso e volentieri l’amministratore utilizza un computer. Se sei un amministratore vecchio stampo che utilizza solo carta e penna, puoi terminare qui la lettura.

Responsabile del trattamento

L’articolo 5, numero 2 recita:

Il titolare del trattamento è responsabile ed è in grado di dimostrare il rispetto del paragrafo 1 (”responsabilità”)

Come è ormai consolidato, il Titolare del trattamento è la compagine condominiale, l’amministratore ricopre la figura e le incombenze del Responsabile. Chiaramente l’articolo 5 riporta i doveri del Titolare ma è solo il Responsabile, in ambito condominiale, che li può attuare.

Il citato paragrafo 1 specifica i principi fondamentali da mettere in pratica nel trattamento dei dati personali:

  • liceità – posso trattare i dati in mio possesso?
  • correttezza e trasparenza – i Titolari devono sapere che possiedo i loro dati,
  • limitazione delle finalità – devo utilizzare i dati in mio possesso solo per poter rispettare il mio mandato,
  • minimizzazione dei dati -devo possedere solo i dati strettamente necessari,
  • esattezza – i dati che tratto devono essere giusti,
  • limitazione della conservazione – non devo conservare i dati per più del tempo necessario,
  • integrità e riservatezza – mi devo impegnare a conservarli e a non comunicarli senza motivo e consenso.
Responsabile trattamento dati del condominio

Il Responsabile deve dimostrare di essere consapevole e competente, attuando le misure tecniche ed affinando gli strumenti informatici al fine di adeguarli al rischio e di mitigarlo.

A tal fine sono necessari continui check di controllo che possono prevedere attività correttive nelle pratiche organizzative dello studio di amministrazione stabili.

Le varie mansioni dei collaboratori devono essere organizzate in modo da garantire la sicurezza dei dati. Una volta fatto questo, siamo a posto e non ci pensiamo più? No! L’amministratore coscienzioso deve condurre dei test per essere certo che la sicurezza dei dati venga garantita nel tempo.

Strumenti informatici e GDPR - Individuazione e gestione del rischio trattamento dati

Attività da intraprendere per strumenti informatici e GDPR

Tutte le attività intraprese dallo studio di amministrazione condominiale deve essere riportata sul Registro dei trattamenti, comprensivo di analisi dei rischi e tutte le soluzioni adottate. In questo modo il Responsabile potrà dimostrare di aver condotto una strategia corretta nella gestione dei dati, questione essenziale in caso di problemi ed eventuali controlli da parte dell’Authority.

Strumenti informatici e GDPR - Violazione dati personali del condominio
Un pericolo che si corre con il Telelavoro realizzato con semplici sistemi di condivisione schermo.
Telelavoro

Se in questo periodo qualche collaboratore ha utilizzato il telelavoro, questa novità dovrà essere riportata nel Registro dei trattamenti e corredata da analisi dei rischi, con le relative contromisure atte a garantire la sicurezza dai dati.

Ad esempio, il dipendente utilizza un software in cloud così da non dover essere collegato al computer in ufficio, evitando così una condizione che presenta criticità. Se il collaboratore utilizza un computer fornito dallo studio, questo dovrà essere corredato di antivirus, firewall e nessuna credenziale dovrà essere accessibile agli estranei.

Se il computer utilizzato è personale del collaboratore, si dovrebbe creare un nuovo profilo utente, differente da quello normalmente utilizzato e magari condiviso con altre persone. La password di accesso non deve essere resa disponibile. Tutti i dati di lavoro dovranno essere conservati sotto il nuovo profilo.

Ci si dovrà preoccupare di procedere ad un backup in modo che il sistema prescelto consenta di garantirne l’accesso, l’inalterabilità, la conservazione in luogo preposto ed in condizioni idonee alla conservazione contro rischi dovuti alle temperature, furti, manomissioni.

La comunicazione e condivisione dei dati dovrà avvenire esclusivamente tramite i canali identificati come sicuri. Si dovrà istruire tutto il personale ed essere certi che le indicazioni vengano comprese ed applicate, non solo conosciute. Ad esempio, pretendendo che vengano rispettate tutte le istruzioni per l’invio di e-mail.

La corretta esecuzione di backup, conservazione, trasmissione dati ed invio comunicazioni dovrebbero essere garantite da un software gestionale di ultima generazione. La caratteristica dei gestionali più recenti è di essere stati programmati considerando anche questi aspetti, condizioni che potrebbero non essere state comprese nei software più vecchi.

Strumenti informatici e GDPR - Processi automatizzati
I software possono fare molte cose, l’importante è che le facciano in maniera corretta.
Software gestionali

Strumenti informatici e GDPR sono particolarmente correlati nei software dedicati agli amministratori di condominio. Possiamo dividere i gestionali in due gruppi:

  1. installati in locale (sul computer)
  2. accessibili in cloud (da remoto)

Il primo offre sicuramente meno garanzie sulla conservazione dei dati, dipendendo fortemente dai sistemi di sicurezza impostati sul computer. Non esiste trasmissione dei dati verso l’esterno (salvo le comunicazioni inviate), questo ovviamente è più sicuro dato che in teoria, potrebbe essere anche scollegato dalla rete e quindi inibendo in modo certo un accesso dall’esterno.

Il secondo demanda ad un secondo Responsabile il trattamento dei dati, nello specifico la trasmissione e la conservazione. Le software house dovrebbero garantire delle procedure più sicure e dei risultati migliori di quelli attuabili da qualsiasi studio di amministrazione immobili, avendo una struttura dedicata esclusivamente a questo scopo. Dovrebbero… È meglio chiedere rassicurazioni scritte su questo aspetto e conservare tale dichiarazione ad integrazione del GDPR dello studio.

Sappiate che il backup dovrebbe essere condotto (almeno) quotidianamente, che si dovrebbe fare un backup ridondante (il backup del backup), ospitare i backup in luoghi differenti, consentire una trasmissione dati codificata e sicura. I server devono offrire garanzie di inalterabilità dei dati ed essere ospitati in locali che li preservino da fiamme, calore, agenti atmosferici, rischi elettrici, ecc.

Dato che i software in cloud prevedono la presenza di una connessione ad internet, si devono adottare tutte le soluzioni atte ad impedire un accesso illecito ai dati proveniente dall’esterno. Sia il pc che sta utilizzando il software che il server che lo ospita, devono possedere sistemi efficaci (antivirus e firewall), impostati in modo più restrittivo possibile.

Software generici

Oltre ai gestionali, è comune adottare anche software generici nelle varie procedure adottate dello studio di amministrazione condominiale. Questi produrranno dei file che sarebbe consigliabile conservare protetti da password.

Se gli stessi dati sono conservati sia sul gestionale in cloud che in file salvati in locale, devono prevedere lo stesso grado di sicurezza.

Un discorso particolare lo assume il programma di posta utilizzato. Sarebbe consigliabile creare raggruppamenti di indirizzi per condominio. In questo modo, se dovrà capitare il caso di doverne cancellare i riferimenti, non si conserveranno dati per errore.

Valutazione d'impatto sulla protezione dei dati del condominio
Si deve stabilire aggiornare di continuo tutto ciò che può interessare il trattamento dei dati.

Nuovo personale o variazione di mansioni

Tutti i nuovi collaboratori devono essere formati sugli strumenti informatici e GDPR. Si possono organizzare corsi o affidarsi ad un ente esterno per affrontare gli argomenti generali, spetterà all’amministratore affinare queste informazioni con delle istruzioni più dettagliate e specifiche per le mansioni che dovrà ricoprire il neo assunto.

Il nuovo arrivato dovrà essere autorizzato a trattare i dati dei condomini e fornitori, dovrà sottoscrivere un patto di riservatezza ed il divieto a divulgare informazioni. Su tutto questo deve vigilare l’amministratore perché in generale, è lui il responsabile per tutto quello che accade nello studio.

Anche in caso in cui un collaboratore vada a ricoprire un nuovo ruolo, si dovrà modificare il GDPR specificando le operazioni che dovrà svolgere, le relative criticità e le soluzioni che dovrà applicare.

Ad esempio, stiamo riscontrando la necessità di affrontare nuove tipologie di procedure, ad esempio quelle legate alla gestione dei superbonus o alle assemblee in teleconferenza. Questi casi prevedono un’apposita gestione della privacy.

Aggiornare il GDPR

Sono molti gli amministratori che fanno confusione tra trattamento dei dati, privacy, GDPR dello studio, ruoli e responsabilità. A questo link potrete trovare molte informazioni per evitare confusioni che possono portare a spiacevoli conseguenze.

Spesso ci succede, in qualità di consulenti sugli strumenti informatici, che i clienti ci sottopongano la validità delle dichiarazioni sul trattamento dati che in buona fede, ritengono essere soddisfacenti per ottemperare agli obblighi previsti. Spesso e volentieri non lo sono.

Ancora troppe volte capita di trovarci davanti a dichiarazioni generiche, reperite in rete o da qualche professionista, prive delle informazioni necessarie o ancora peggio, riportanti solo dati generici assolutamente non calzanti per le caratteristiche dello studio di amministrazione immobili.

Sanzioni GDPR
Se qualcosa va male, si arriva a questo punto.

“Tanto cosa vuoi che succeda se non ho il GDPR? Anche l’altro amministratore non lo ha fatto…”

Bene, vediamo che capita a chi non presta la dovuta attenzione agli strumenti informatici e GDPR.

Le sanzioni amministrative introdotte dal regolamento UE integrano quelle penali già previste dal Codice della privacy e possono arrivare fino a 20 milioni di euro e fino al 4 per cento del fatturato.

Il GDPR regola soltanto le sanzioni amministrative pecuniarie, l’articolo 83 prevede un importo pari ad un massimo di:

  • 10 milioni di euro o 2 per cento del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non nominano il DPO, non comunicano un data breach all’Autorità garante, trattano in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4 per cento del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

Per l’ultimo punto attenzione all’utilizzo di Whatsapp ed altre app di messaggistica!

Le sanzioni previste dal GDPR non sono solo amministrative e monetarie ma anche di natura penale. Non avere precedenti penali è una delle caratteristiche che deve assolvere l’amministratore di condominio (ex art. 71-bis disp.att.ne Codice Civile).

Cosa fare assolutamente per il GDPR

Il Garante e la Guardia di Finanza valutano caso per caso, considerando la gravità degli illeciti, la validità delle documentazioni, ecc. Non vengono sempre applicate le sanzioni massime.

Quel che viene considerato come minimo indispensabile, magari per ricevere solo un ammonimento e non una sanzione, è:

  • la nomina a Responsabile al trattamento dei dati sottoscritta dalla maggioranza dalla compagine condominiale;
  • soluzioni in caso di data breach (ovvero cosa capita se si perde un pc, se lo rubano, se si incendia, se un elemento estraneo ha bloccato il data base);
  • compilazione del registro dei trattamenti, dove verranno raccolte tutte le procedure per la tutela della privacy.

Se l’argomento trattato è stato di tuo interesse, richiedi alla tua associazione di inserire i nostri corsi sugli strumenti informatici, dedicati agli amministratori di condominio, nella loro offerta formativa prevista dal DM 140/14.

Richiedi maggiori informazioni sui nostri servizi

* Campi obbligatori da compilare
() (###) ###-####
A quale servizio sei interessato?

Seleziona i metodi di contatto preferiti:

Per maggiori informazioni sulla nostra privacy policy, visita la pagina dedicata.

Cliccando su Invia, acconsenti che le informazioni siano trasferite a Mailchimp affinché siano processate, consentendo a OS Informatica di poterti rispondere. Learn more about privacy practices here.

Autore: Nicola Prencipe

Content manager e web strategist di OS Informatica. Laurea in logica del linguaggio ed in lingue. Diploma in Project management, specializzato in: Marketing e Social media marketing, WordPress e sicurezza, E-commerce marketing. Docente corsi DM 140/14. Organizza seminari di web marketing e di Strumenti Informatici dedicati agli amministratori di condominio. Cura l'istruzione e la gestione di piattaforme gestionali per amministratori di condominio. Autore di manuali di web e social media marketing dedicati agli amministratori di stabili.