Dal 25 maggio 2018, il GDPR (Regolamento UE 2016/679) ha rivoluzionato la gestione della privacy in Europa. Per gli amministratori di condominio, questo significa nuovi obblighi, responsabilità e rischi. Ma anche un'opportunità per professionalizzare la propria attività e tutelare meglio i condomini.
Questa guida spiega in modo pratico e completo cosa deve fare l'amministratore per essere conforme al GDPR, evitando sanzioni che possono arrivare fino al 4% del fatturato o 20 milioni di euro.
Sanzioni GDPR
Le sanzioni per violazioni GDPR sono tra le più severe: fino a € 20 milioni o il 4% del fatturato annuo mondiale, a seconda di quale importo sia maggiore. Per uno studio di amministrazione, anche sanzioni minori possono essere devastanti.
Il Quadro Normativo#
Cos'è il GDPR#
Il GDPR (General Data Protection Regulation) è il regolamento europeo che disciplina la raccolta, l'utilizzo e la conservazione dei dati personali. Si applica a qualsiasi organizzazione che tratta dati di cittadini UE, indipendentemente da dove abbia sede.
Perché riguarda il condominio#
Il condominio e l'amministratore trattano molti dati personali:
| Tipo di dato | Esempi |
|---|---|
| Dati identificativi | Nome, cognome, codice fiscale |
| Dati di contatto | Indirizzo, email, telefono |
| Dati patrimoniali | Quote millesimali, pagamenti, morosità |
| Dati giudiziari | Decreti ingiuntivi, cause in corso |
| Immagini | Videosorveglianza parti comuni |
| Dati particolari | Disabilità (es. per bonus barriere) |
Chi sono i soggetti coinvolti#
| Soggetto GDPR | Chi è nel condominio |
|---|---|
| Titolare del trattamento | Il condominio (come ente di gestione) |
| Responsabile del trattamento | L'amministratore |
| Interessato | Condomini, inquilini, fornitori |
| DPO (eventuale) | Consulente esterno (se necessario) |
Titolare vs Responsabile
Il condominio è il titolare del trattamento: decide finalità e mezzi. L'amministratore è il responsabile: tratta i dati per conto del condominio. Questa distinzione è fondamentale per capire chi fa cosa.
Gli Adempimenti Obbligatori#
1. Informativa Privacy#
L'amministratore deve fornire un'informativa privacy a:
- Ogni nuovo condomino o inquilino
- I fornitori del condominio
- Chiunque i cui dati vengano raccolti
Contenuto minimo dell'informativa
L'informativa deve indicare (art. 13-14 GDPR):
| Elemento | Descrizione |
|---|---|
| Identità del titolare | Dati del condominio e dell'amministratore |
| Finalità del trattamento | Perché si raccolgono i dati |
| Base giuridica | Contratto, legge, consenso, legittimo interesse |
| Destinatari | Chi riceve i dati (commercialista, fornitori...) |
| Trasferimento extra-UE | Se i dati vanno fuori dall'Europa |
| Periodo di conservazione | Per quanto tempo si tengono i dati |
| Diritti dell'interessato | Accesso, rettifica, cancellazione, opposizione |
| Diritto di reclamo | Possibilità di rivolgersi al Garante |
Quando fornirla
- Nuovi condomini: al momento dell'acquisto/affitto
- Fornitori: alla stipula del contratto
- Videosorveglianza: cartelli visibili
- Dipendenti (es. portiere): all'assunzione
2. Registro dei Trattamenti#
Ogni condominio (come titolare) e ogni amministratore (come responsabile) deve tenere un Registro dei Trattamenti (art. 30 GDPR).
Quando è obbligatorio
Il registro è sempre obbligatorio per:
- Trattamenti non occasionali
- Trattamenti che presentano rischi
- Trattamenti di categorie particolari di dati
In pratica: sempre per un condominio, dato che il trattamento è continuo e sistematico.
Contenuto del registro del titolare (condominio)
| Campo | Esempio |
|---|---|
| Nome e dati titolare | Condominio Via Roma 1, C.F. xxx |
| Finalità trattamento | Gestione condominiale, riscossione quote |
| Categorie interessati | Condomini, inquilini, fornitori |
| Categorie dati | Anagrafici, contatto, patrimoniali |
| Destinatari | Commercialista, banche, avvocati |
| Trasferimenti extra-UE | Sì/No (es. backup cloud USA) |
| Termini cancellazione | 10 anni dalla cessazione rapporto |
| Misure di sicurezza | Descrizione tecnica e organizzativa |
Contenuto del registro del responsabile (amministratore)
| Campo | Esempio |
|---|---|
| Nome e dati responsabile | Studio Rossi Amministrazioni, P.IVA xxx |
| Nome e dati titolari | Elenco condomini amministrati |
| Categorie trattamenti | Contabilità, assemblee, recupero crediti |
| Trasferimenti extra-UE | Sì/No |
| Misure di sicurezza | Descrizione tecnica e organizzativa |
3. Nomina del Responsabile del Trattamento#
Il condominio (titolare) deve nominare formalmente l'amministratore come Responsabile del Trattamento con un contratto scritto (art. 28 GDPR).
Elementi essenziali della nomina
| Elemento | Contenuto |
|---|---|
| Oggetto | Attività di trattamento affidate |
| Durata | Legata al mandato di amministrazione |
| Natura e finalità | Gestione condominiale |
| Tipo di dati | Anagrafici, patrimoniali, ecc. |
| Categorie interessati | Condomini, fornitori, ecc. |
| Obblighi responsabile | Riservatezza, sicurezza, cooperazione |
| Diritto di ispezione | Il titolare può verificare |
| Sub-responsabili | Se e come possono essere nominati |
Integrazione nel mandato
La nomina a responsabile può essere integrata nel mandato di amministrazione. Non serve un documento separato, purché tutti gli elementi siano presenti.
4. Misure di Sicurezza#
L'art. 32 GDPR richiede misure di sicurezza "adeguate" al rischio. Per un amministratore:
Misure tecniche
| Misura | Applicazione |
|---|---|
| Password robuste | Minimo 12 caratteri, complesse |
| Autenticazione a due fattori | Per accesso al gestionale |
| Crittografia | Backup e trasmissioni dati |
| Antivirus/antimalware | Su tutti i dispositivi |
| Firewall | Rete dello studio |
| Backup regolari | Giornalieri, criptati, off-site |
| Aggiornamenti | Sistema operativo e software |
Misure organizzative
| Misura | Applicazione |
|---|---|
| Formazione personale | Almeno annuale |
| Policy uso dispositivi | BYOD, uso privato |
| Procedure accesso dati | Chi accede a cosa |
| Gestione incidenti | Cosa fare in caso di breach |
| Clean desk policy | Non lasciare documenti in vista |
| Distruzione documenti | Distruggidocumenti, smaltimento HD |
5. Data Breach: Cosa Fare#
In caso di violazione dei dati (data breach), scattano obblighi precisi:
Notifica al Garante (art. 33)
Se la violazione presenta rischi per i diritti degli interessati:
- Entro 72 ore dalla scoperta
- Tramite il sito del Garante
- Con descrizione della violazione, dati coinvolti, conseguenze, misure adottate
Comunicazione agli interessati (art. 34)
Se la violazione presenta un rischio elevato:
- Senza ritardo
- In modo chiaro e semplice
- Con indicazione di cosa possono fare per proteggersi
Esempi di data breach
| Evento | È un breach? | Notifica Garante? |
|---|---|---|
| Furto PC con dati | Sì | Probabilmente sì |
| Email a destinatario sbagliato | Sì | Dipende dal contenuto |
| Ransomware con backup ok | Sì | Dipende se dati accessibili |
| Smarrimento documento | Sì | Dipende dal contenuto |
| Accesso non autorizzato | Sì | Probabilmente sì |
Casi Pratici Frequenti#
Affissione elenchi morosi in bacheca#
Domanda: Posso affiggere in bacheca l'elenco dei condomini morosi?
Risposta: No, in linea di massima. L'affissione in bacheca (accessibile a tutti, anche visitatori) è un trattamento eccessivo rispetto alla finalità. La morosità va comunicata solo ai soggetti legittimati (assemblea, nelle forme previste).
Eccezione: Se la bacheca è in area accessibile solo ai condomini e l'informativa lo prevede, potrebbe essere ammissibile. Ma è comunque sconsigliato.
Comunicazione morosità in assemblea#
Domanda: Posso leggere in assemblea i nomi dei morosi?
Risposta: Sì, con cautela. L'assemblea ha diritto di conoscere la situazione finanziaria, compresi i morosi. Tuttavia:
- Solo ai partecipanti legittimati (condomini o delegati)
- Non a soggetti esterni
- Il verbale non va diffuso oltre gli aventi diritto
Invio bilanci via email#
Domanda: Posso inviare i bilanci via email?
Risposta: Sì, ma:
- Verificare che l'email sia corretta e del destinatario
- Allegare in PDF protetto o in area riservata
- Non inviare a indirizzi generici o non verificati
- Preferire PEC o portale web dedicato
Videosorveglianza parti comuni#
Domanda: Come gestire le telecamere in condominio?
Risposta: Servono:
- Delibera assembleare (maggioranza semplice per sicurezza)
- Informativa specifica (cartelli visibili)
- Valutazione d'impatto (DPIA) se monitoraggio sistematico
- Conservazione limitata (max 7 giorni, salvo esigenze specifiche)
- Accesso controllato (chi può vedere le registrazioni)
Richiesta dati da parte di un condomino#
Domanda: Un condomino chiede copia di tutti i suoi dati. Devo fornirli?
Risposta: Sì, è il diritto di accesso (art. 15 GDPR). Devi fornire:
- Copia dei dati trattati
- Informazioni su finalità, destinatari, periodo conservazione
- Entro 1 mese dalla richiesta
- Gratuitamente (salvo richieste manifestamente infondate o eccessive)
Passaggio di consegne tra amministratori#
Domanda: Come gestire i dati quando cambia amministratore?
Risposta: L'amministratore uscente deve:
- Consegnare tutti i dati al nuovo (obbligo di legge)
- Cancellare le copie in proprio possesso
- Mantenere solo ciò che serve per obblighi fiscali/legali
- Documentare l'avvenuta consegna
Tempi di conservazione
Anche dopo la cessazione del rapporto, l'amministratore può (e in alcuni casi deve) conservare i dati per:
- 10 anni: documenti fiscali
- 5 anni: atti giudiziari
- Fino a prescrizione: per eventuali contenziosi
Il DPO è Obbligatorio?#
Quando serve il DPO#
Il Data Protection Officer (Responsabile della Protezione dei Dati) è obbligatorio quando:
- Si è autorità pubblica (non il condominio)
- Si fa monitoraggio regolare e sistematico su larga scala
- Si trattano dati particolari su larga scala
Il condominio deve avere un DPO?#
No, nella maggior parte dei casi. Un singolo condominio non tratta dati "su larga scala".
L'amministratore deve avere un DPO?#
Dipende. Uno studio che amministra molti condomini potrebbe rientrare nel "monitoraggio sistematico su larga scala".
Orientamento pratico: studi con oltre 100-150 condomini potrebbero valutare la nomina di un DPO, anche volontario.
Quando nominarlo volontariamente#
Anche se non obbligatorio, un DPO può essere utile per:
- Studi medio-grandi
- Situazioni complesse (tanti dati sensibili)
- Difesa in caso di contestazioni (dimostra diligenza)
Checklist Adempimenti GDPR per Amministratori#
Adempimenti iniziali (una tantum)#
| Adempimento | Status |
|---|---|
| ☐ Redigere informativa privacy per condomini | |
| ☐ Redigere informativa privacy per fornitori | |
| ☐ Creare registro trattamenti (come responsabile) | |
| ☐ Creare modello registro per ogni condominio (titolare) | |
| ☐ Predisporre modello nomina responsabile | |
| ☐ Implementare misure di sicurezza tecniche | |
| ☐ Definire procedure organizzative | |
| ☐ Formare il personale | |
| ☐ Redigere procedura data breach |
Adempimenti per ogni nuovo condominio#
| Adempimento | Status |
|---|---|
| ☐ Consegnare informativa ai condomini | |
| ☐ Farsi nominare responsabile del trattamento | |
| ☐ Creare registro trattamenti del condominio | |
| ☐ Verificare videosorveglianza (se presente) | |
| ☐ Verificare portierato (se presente) |
Adempimenti periodici#
| Adempimento | Frequenza |
|---|---|
| Aggiornare registro trattamenti | Annuale / a variazioni |
| Verificare misure di sicurezza | Annuale |
| Formare il personale | Annuale |
| Review informative | Annuale / a variazioni |
| Verificare sub-responsabili | Annuale |
| Test procedure data breach | Annuale |
Gestisci la privacy con Condominus
Condominus include strumenti per la gestione GDPR: informative precompilate, registro trattamenti integrato, controllo accessi granulare, log di ogni operazione. Tutto a norma.
Scopri le funzionalità GDPRLe Sanzioni: Cosa si Rischia#
Sanzioni amministrative#
| Violazione | Sanzione massima |
|---|---|
| Obblighi del titolare/responsabile | € 10 milioni o 2% fatturato |
| Principi, diritti interessati, trasferimenti | € 20 milioni o 4% fatturato |
| Inosservanza ordine del Garante | € 20 milioni o 4% fatturato |
Sanzioni reali nel settore#
Alcuni esempi di sanzioni del Garante italiano:
- € 15.000 per informativa inadeguata
- € 20.000 per videosorveglianza senza informativa
- € 50.000 per mancata gestione data breach
- € 100.000+ per violazioni gravi e reiterate
Rischi collaterali#
Oltre alle sanzioni, una violazione GDPR può causare:
- Danno reputazionale: perdita di fiducia dei condomini
- Richieste di risarcimento: danni materiali e morali
- Ispezioni: il Garante può disporre verifiche
- Sospensione attività: in casi estremi
Strumenti e Risorse#
Documenti da predisporre#
- Informativa privacy condomini: da consegnare a ogni proprietario/inquilino
- Informativa privacy fornitori: per contratti con ditte
- Registro trattamenti studio: come responsabile
- Modello registro condominio: per ogni stabile amministrato
- Nomina responsabile: integrata nel mandato o separata
- Procedura data breach: cosa fare in caso di incidente
- Modello esercizio diritti: per rispondere alle richieste
Software utili#
Un buon gestionale condominiale dovrebbe offrire:
- Controllo accessi: chi vede cosa
- Log operazioni: traccia di ogni azione
- Crittografia: dati protetti
- Backup automatici: per disaster recovery
- Portale condomini: per comunicazioni sicure
- Generatore documenti: informative, registri, nomine
Riferimenti normativi#
- GDPR: Regolamento UE 2016/679
- Codice Privacy italiano: D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018)
- Provvedimenti Garante: linee guida e provvedimenti specifici
- WP29 / EDPB: linee guida europee
FAQ sulla Privacy in Condominio#
Il condomino può rifiutarsi di fornire i propri dati?
No, per i dati necessari alla gestione condominiale. Il trattamento si basa su obbligo contrattuale/legale, non sul consenso. Il condomino non può impedire il trattamento dei dati necessari (anagrafica, quote, pagamenti). Può opporsi a trattamenti non essenziali (es. invio newsletter).
Posso inviare comunicazioni via WhatsApp?
Sì, ma con cautela. WhatsApp trasferisce dati negli USA (verificare adeguate garanzie). Inoltre:
- Usare per comunicazioni non sensibili
- Avere il numero autorizzato dal condomino
- Preferire broadcast (no gruppi con numeri visibili)
- Meglio ancora: usare un portale web dedicato
Come gestire le richieste di accesso ai documenti?
Il condomino ha diritto di accesso a:
- Propri dati personali (GDPR)
- Documenti condominiali (diritto condominiale)
Fornire i documenti in copia, entro 1 mese per dati GDPR. Per documenti condominiali, in tempi ragionevoli.
Il precedente amministratore può tenere copia dei dati?
Solo per quanto necessario a obblighi fiscali/legali (es. documenti contabili per 10 anni). Per il resto, deve cancellare i dati e consegnarli al nuovo amministratore.
Serve il consenso per le foto delle parti comuni?
Per foto delle sole parti comuni (senza persone): no, se finalizzate alla gestione. Per foto con persone riconoscibili: serve consenso o altra base giuridica. Evitare di pubblicare foto con persone senza autorizzazione.
Il portiere può accedere a tutti i dati dei condomini?
No, solo a quelli necessari per la sua funzione. Principio di minimizzazione: può conoscere nomi e appartamenti, ma non situazione pagamenti, morosità, dati particolari. Istruirlo e limitare l'accesso.
Conclusioni#
La compliance GDPR per l'amministratore di condominio richiede impegno iniziale, ma una volta impostata diventa routine. Gli adempimenti fondamentali sono:
- Informativa a tutti gli interessati
- Registro trattamenti aggiornato
- Nomina come responsabile
- Misure di sicurezza adeguate
- Procedure per breach e diritti
Il GDPR non è solo un obbligo: è un'opportunità per:
- Professionalizzare la propria attività
- Rassicurare i condomini sulla gestione dei loro dati
- Proteggersi da richieste infondate
- Distinguersi dalla concorrenza
Investire nella compliance oggi significa prevenire problemi domani.
Privacy by design con Condominus
Condominus è progettato con la privacy al centro: crittografia, controllo accessi, log completi, informative integrate. Gestisci la privacy senza complicazioni.
Richiedi una demoQuesta guida ha scopo informativo e non sostituisce la consulenza di un professionista. Per situazioni specifiche, consultare un esperto in materia di privacy. Ultimo aggiornamento: Febbraio 2025.