La digitalizzazione dell’attività condominiale ha trasformato in modo significativo il ruolo dell’amministratore, che si trova oggi a dover gestire una mole crescente di dati attraverso strumenti informatici e sistemi di archiviazione digitale. Documenti contabili, verbali, bilanci, dati anagrafici, immagini provenienti da sistemi di videosorveglianza: tutto confluisce in archivi digitali che, per essere conformi al Regolamento (Ue) 2016/679 (Gdpr), devono essere gestiti con criteri di sicurezza, tracciabilità e responsabilità ben precisi.
La sicurezza degli ambienti digitali
L’amministratore agisce quale responsabile del trattamento per conto del condominio, titolare del trattamento, ed è tenuto a garantire l’adozione di misure tecniche e organizzative adeguate, così come previsto dall’articolo 32 del Gdpr. In tale prospettiva, la conservazione dei dati deve avvenire in ambienti digitali sicuri, con sistemi che impediscano accessi non autorizzati, perdite accidentali, modifiche non consentite o esfiltrazioni dolose. Il primo livello di protezione si concretizza nella scelta di un sistema di archiviazione che preveda un accesso controllato tramite credenziali uniche, meccanismi di autenticazione forte e tracciabilità delle operazioni svolte.
Dati su cloud
L’uso del cloud, se da un lato offre vantaggi in termini di accessibilità, velocità e ottimizzazione dei costi, dall’altro introduce problematiche specifiche che l’amministratore deve saper governare. I fornitori di servizi cloud devono essere scelti con attenzione, privilegiando soggetti che garantiscano data center ubicati all’interno dello Spazio economico europeo, così da evitare problematiche connesse ai trasferimenti di dati verso Paesi terzi, soggetti alla disciplina degli articoli 44 e seguenti del Gdpr.
La nomina del sub-responsabile del trattamento
È inoltre obbligatorio, ai sensi dell’articolo 28 del Regolamento, che ogni fornitore di servizi che tratti dati per conto dell’amministratore (sia esso per la conservazione, il backup, la manutenzione o la gestione dei flussi informativi), venga formalmente nominato sub-responsabile del trattamento mediante contratto scritto.
In particolare, tale contratto deve dettagliare le finalità del trattamento, la natura dei dati, le categorie di interessati, le misure di sicurezza richieste, le istruzioni vincolanti impartite dall’amministratore e l’obbligo di cooperare in caso di esercizio dei diritti da parte degli interessati. Inoltre, la lettera h) dell’articolo 28 Gdpr impone che il titolare (e quindi l’amministratore come suo delegato), debba poter verificare la conformità dell’operato del sub-responsabile, mediante audit o altre forme di controllo documentato.
La gestione dei backup
Un altro aspetto essenziale è la gestione dei backup, intesi non solo come strumento di sicurezza in caso di malfunzionamento o cancellazione accidentale, ma anche come elemento centrale per la continuità operativa. Il backup deve essere eseguito con cadenza regolare, conservato in ambienti separati e cifrato, in modo che anche in caso di furto o accesso non autorizzato, i dati non siano in chiaro. È importante che la politica di backup sia formalizzata in un documento interno e accompagnata da una procedura di disaster recovery.
Un esempio emblematico è rappresentato dal provvedimento del Garante numero 224 del 1° giugno 2023 (documento web 9916492), con cui è stata sanzionata un’azienda che aveva affidato la gestione di documentazione condominiale a un fornitore cloud extra Ue, senza le necessarie clausole contrattuali standard e senza aver informato i condòmini del trasferimento. La violazione è costata una sanzione amministrativa e ha messo in luce l’importanza di una scelta oculata dei sub-responsabili del trattamento.
In caso di violazione dei dati
Sul fronte della responsabilità, l’amministratore è tenuto ad attivarsi tempestivamente in caso di violazione dei dati personali. L’articolo 33 del Gdpr impone di notificare il data breach all’Autorità garante entro 72 ore dalla conoscenza del fatto, indicando la natura della violazione, i dati coinvolti, le possibili conseguenze e le misure adottate per contenere il danno. In caso di rischio elevato per i diritti e le libertà degli interessati, deve anche essere effettuata una comunicazione diretta ai soggetti coinvolti, come previsto dall’articolo 34 del Regolamento. Le omissioni o ritardi in tali adempimenti possono determinare l’irrogazione di pesanti sanzioni amministrative e, in taluni casi, anche responsabilità civili o penali per danno.
Un caso interessante è il provvedimento del Garante numero 319 del 18 luglio 2023 (documento web 9935503), in cui è stato contestato l’accesso non autorizzato ai dati conservati su server in cloud da parte di soggetti terzi, reso possibile dalla mancata adozione di misure di autenticazione a più fattori. L’inadeguatezza delle misure adottate ha determinato la violazione dell’articolo 32 del Gdpr e ha portato a una sanzione e all’imposizione di misure correttive.
Conclusioni
La conservazione dei dati nei server gestiti dallo studio dell’amministratore non può quindi essere improvvisata: è necessaria una pianificazione attenta, che contempli aspetti tecnici, giuridici e organizzativi. Ogni amministratore dovrebbe dotarsi di un sistema di gestione della sicurezza delle informazioni, almeno nella forma di un protocollo interno che disciplini ruoli, accessi, backup, aggiornamenti software, valutazioni dei fornitori e controlli periodici.
In conclusione, il passaggio dalla conservazione cartacea a quella digitale non comporta soltanto un cambiamento di supporto, ma un vero e proprio mutamento culturale.