Durante il lockdown della primavera 2020, in anticipo sulle linee guida ANACI, molti amministratori si sono attrezzati per svolgere le assemblee da remoto utilizzando appositi programmi. Questi programmi erano pressoché sconosciuti alla maggior parte degli amministratori di condominio, che hanno però scoperto nell’utilizzo di questi ultimi la chiave per superare le limitazioni imposte dai numerosi DPCM. Sicuramente, adesso che hanno preso piede, l’utilizzo di questi programmi non si esaurirà con la fine dell’emergenza pandemica, ma continueranno ad essere utilizzati in quanto portatori di una serie di vantaggi, tra i quali la possibilità di far intervenire in assemblea il condomino distante che non avrebbe avuto modo di parteciparvi. Hanno altresì creato alcuni problemi ai meno informatizzati, pertanto si ritiene che il futuro possa risiedere nelle assemblee di tipo misto ovvero, parte dei partecipanti in presenza e parte dei partecipanti collegati da remoto.
Il funzionamento di questi programmi è molto semplice ed intuitivo. Normalmente non hanno bisogno di una rubrica interna per avviare conversazioni o videoconferenze perché permettono di creare un evento, anche futuro, ed invitare i partecipanti semplicemente comunicando loro il numero che viene attribuito all’evento. All’ora prestabilita basterà collegarsi alla piattaforma ed inserire il numero dell’evento. Alcuni di questi programmi inviano in automatico una mail agli invitati e per partecipare è sufficiente cliccare sul link indicato. Una buona regola è attribuire all’evento anche una password di accesso. Questi programmi sono molto versatili in quanto ci si può collegare con qualsiasi dispositivo, con il pc, con il tablet, con il telefono e generalmente non è richiesto il download del software perché sono accessibili anche dal browser.
Ma queste piattaforme tutelano la privacy? Il Regolamento UE 679/16 impone alle aziende proprietarie di questi programmi di dare agli utenti un’adeguata informativa ai sensi degli artt. 13 e 14 del Regolamento UE che deve essere fornito al momento dell’iscrizione.
Molte piattaforme possono però utilizzare i dati inseriti per attività di profilazione semplicemente perché l’utente medio accetta con leggerezza l’informativa che appare all’atto della registrazione senza leggerla, accettando così di fornire dati riguardanti sesso, fascia d’età, attività, cronologia, geolocalizzazione, tipologia del dispositivo utilizzato, gusti e preferenze.
La maggior parte di queste piattaforme permette l’accesso attraverso un social-network. Si tratta del cosiddetto “social login”. Attenzione: è un comportamento da evitare in quanto concedendo l’accesso ai dati contenuti nel social, in caso di hackeraggio della password, il malintenzionato avrebbe accesso a tutti gli account gestiti con il social login. Numerosi personaggi celebri sono finiti in trappole di questo tipo rimanendo vittime della diffusione dei loro dati.
L’art. 28 del Regolamento UE richiede al titolare di avere piena consapevolezza dei trattamenti effettuati in outsourcing; ne deriva quindi che il rapporto con il fornitore (che assume la veste di responsabile del trattamento) deve essere regolato da apposito contratto o da altro atto giuridico. Il principio di accountability impone invece all’amministratore di condominio (che assume la veste di titolare del trattamento) di optare per il software in grado di fornire le migliori garanzie in termini di protezione e sicurezza dei dati personali. Sarà quindi compito suo verificare quello più idoneo.
Questi software devono anche garantire il rispetto della protezione dei dati “by design” e “by default”, ovvero che la protezione dei dati debba esserci fin dalla progettazione (in questo caso della piattaforma) e per impostazione predefinita (dello studio dell’amministratore). Questi software, in ottemperanza al principio della minimizzazione, dovranno avviarsi con telecamera, microfono e condivisione schermo disattivati. È altresì vietata l’analisi del comportamento dell’utente e dei dati diagnostici a meno che non siano necessari per la fornitura del servizio. In questo caso però è necessaria una base giuridica.
Il trattamento dei dati deve essere strettamente connesso alla finalità per cui viene avviata l’assemblea da remoto. È vivamente consigliato di non procedere alla videoregistrazione, sebbene per certi condomìni possa essere di notevole ausilio in caso di contestazioni del verbale. In questo caso bisognerà informare i partecipanti con apposita informativa ai sensi dell’art. 13 del Regolamento UE ed il titolare del trattamento dovrà raccogliere il consenso di tutti gli interessati: basterà il diniego di uno solo perché l’assemblea non possa essere oggetto di registrazione. Le registrazioni dovranno essere conservate al riparo da accessi indebiti.
Se l’interessato ritiene che i suoi diritti siano stati violati a seguito di un trattamento illecito da parte dell’amministratore di condominio può ricorrere, ai sensi dell’art 79 del Regolamento UE, all’autorità giudiziaria o al Garante per la protezione dei dati personali.
Se invece la registrazione viene effettuata dal singolo intervenuto alla riunione a distanza, senza la previa autorizzazione degli altri intervenuti e all’insaputa degli altri il Garante della privacy non considera questo comportamento una condotta illecita, ma solo nel caso in cui la registrazione venisse effettuata per fini esclusivamente personali. La registrazione dovrà però rimanere nella sfera privata del soggetto che non potrà divulgarla. Per il Garante il soggetto che ha effettuato la registrazione, come affermato nel Provvedimento dell’8 novembre 2002 n. 1067292 non è soggetto alla normativa protezionistica. Dello stesso avviso è la Corte di Cassazione che con la sentenza Sezioni Unite pen. 24/09/2003 nr. 36747 afferma che poiché la registrazione non dà luogo alla “compromissione del diritto alla segretezza della comunicazione, il cui contenuto viene legittimamente appreso solo da chi palesemente vi partecipa o assiste”.
Ma il compito del titolare non si esaurisce qui perché dovrà adempiere ad una serie di obblighi.
Abbiamo visto che l’amministratore di condominio dovrà fornire un’informativa chiara e comprensibile ai sensi degli artt. 13 e 14 del Regolamento UE che informerà, tra l’altro, i partecipanti dell’eventualità che l’assemblea possa essere registrata e delle possibilità a loro disposizione. Dovrà poi inserire nel registro dei trattamenti l’informazione che si avvale della piattaforma per la tenuta delle assemblee da remoto. Dovrà ancora verificare se vi è o meno la necessità di nominare il fornitore del servizio quale responsabile esterno. Dovrà ancora appurare se vi può essere un trasferimento dei dati in un Paese terzo che non adotti il Regolamento UE. Infine, dovrà attuare una serie di misure tecniche ed organizzative finalizzate ad assicurare in primis che non vi sia l’accesso di persone non autorizzate, quindi è buona regola inserire nella convocazione dell’assemblea l’avviso di non diffondere il numero dell’evento. Proprio la diffusione di questo numero ha originato uno dei tanti problemi di privacy ad un noto programma di videoconferenze perché ha permesso l’accesso di estranei che hanno disturbato le assemblee diffondendo alcuni videoclip. I problemi di privacy di questa nota piattaforma riguardavano anche la condivisione di dati con un famoso social senza che la cosa fosse riportata nell’informativa. Vi erano poi dei problemi di conservazione dei dati sui sistemi OS anche dopo la sua disinstallazione. Tutti questi problemi sono stati risolti con una serie di aggiornamenti, che tra le varie novità hanno introdotto la crittografia end to end, pertanto è fondamentale verificare che i nostri programmi siano sempre aggiornati all’ultima versione. Questo vale per tutti i programmi presenti sui nostri dispositivi.
Infine, poiché con tutta probabilità l’amministratore di condominio svolgerà un’assemblea da remoto con l’ausilio di qualche collaboratore, sarà opportuno attuare una separazione dei ruoli ed informare i propri collaboratori sui rischi privacy.