Portale condominiale violato: chi risponde del furto dei dati?

Portale del condominio violato: chi risponde se i dati dei condomini finiscono online?

Cosa succede quando il portale viene violato da un hacker, oppure quando i dati dei condomini finiscono all’esterno per un errore tecnico o umano? Chi risponde: l’amministratore, il condominio, la società che fornisce il software?

I dati del condominio sono dati personali

Nell’attività quotidiana dell’amministratore circolano più dati di quanto si immagini: nomi e cognomi dei proprietari, recapiti, codici fiscali, quote millesimali, IBAN, posizioni debitorie, documenti di pagamento e, in alcuni casi, informazioni più delicate legate a disabilità o situazioni familiari.

Il Regolamento europeo 2016/679 (GDPR) impone che queste informazioni siano trattate nel rispetto di principi precisi: liceità, correttezza, sicurezza, proporzionalità e minimizzazione. L’amministratore, nella gestione ordinaria dell’edificio, è il soggetto che raccoglie, conserva e utilizza quei dati.

Non basta acquisire le informazioni necessarie per amministrare il palazzo: occorre anche custodirle con modalità adeguate, evitando accessi non autorizzati e diffusioni indebite.

Il problema emerge quando l’amministratore utilizza piattaforme poco sicure, password deboli, sistemi non aggiornati o software affidati a fornitori privi di garanzie concrete.

Quando i dati dei condomini vengono violati

Per “data breach” si intende una violazione di sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata oppure accesso abusivo ai dati personali.

Nel lavoro dell’amministratore può accadere, per esempio, che:

  • un hacker acceda all’area riservata del portale;
  • vengano sottratti verbali, rendiconti o documenti contabili;
  • siano pubblicati online dati personali o posizioni debitorie dei condomini;
  • lo studio invii documenti riservati al destinatario sbagliato;
  • le credenziali dell’amministratore o dei collaboratori vengano rubate;
  • un software vulnerabile consenta intrusioni esterne nella piattaforma.

In questi casi il GDPR impone una reazione tempestiva. Se la violazione può comportare rischi per le persone coinvolte, l’amministratore deve valutare la notifica al Garante Privacy entro 72 ore dal momento in cui ne viene a conoscenza. Nei casi più gravi, i condomini interessati devono essere informati direttamente.

Ritardare o minimizzare l’episodio può aggravare la posizione dell’amministratore, perché alla violazione iniziale si aggiunge la gestione tardiva dell’emergenza.

Quando risponde l’amministratore

Quando si verifica una violazione, il primo profilo da verificare riguarda quasi sempre la condotta dell’amministratore. È lui, di regola, a scegliere gli strumenti di gestione documentale, a stabilire chi può accedere ai dati e a decidere quali documenti caricare sulle piattaforme.

La sua responsabilità, però, non è automatica. Occorre accertare se abbia adottato misure organizzative e tecniche ragionevoli, proporzionate al tipo di dati trattati e al rischio prevedibile.

Se il portale era privo di protezioni di base, le password erano semplici o condivise, gli accessi non erano tracciati e gli aggiornamenti venivano trascurati, è difficile sostenere di aver agito con la dovuta diligenza professionale.

Anche la gestione impropria dei dati integra una violazione della privacy. I giudici lo hanno chiarito in più occasioni, soprattutto quando la trasparenza condominiale viene confusa con una diffusione indiscriminata delle informazioni.

La Corte di cassazione, con la sentenza n. 186 del 4 gennaio 2011, ha affermato che affiggere in bacheca i nomi dei condomini morosi costituisce diffusione indebita di dati personali, perché quelle informazioni possono essere lette anche da soggetti estranei al condominio.

Il diritto dei condomini a conoscere l’andamento contabile non autorizza l’amministratore a esporre dati oltre il necessario. Le informazioni devono circolare con modalità selettive, proporzionate e coerenti con la finalità amministrativa.

Nel contesto digitale il principio vale ancora di più. Se la pubblicazione cartacea in un luogo comune può essere illecita, la messa online degli stessi dati senza protezioni espone l’amministratore a un rischio maggiore.

Quando risponde il condominio

La responsabilità può coinvolgere anche il condominio, soprattutto quando la scelta degli strumenti informatici deriva da una decisione assembleare o quando l’assemblea approva sistemi digitali senza verificare garanzie e condizioni di sicurezza.

Il condominio può rispondere anche quando, pur conoscendo criticità evidenti, non mette l’amministratore nelle condizioni di adottare soluzioni adeguate oppure rifiuta interventi necessari alla protezione dei dati.

Chi ha subito un danno può agire contro l’amministratore, il condominio o entrambi. Sarà il giudice a ricostruire il ruolo concreto di ciascuno e a stabilire se la violazione dipenda da una scelta gestionale, da un’omissione professionale o da una carenza organizzativa.

Il danno non è soltanto economico. Può essere riconosciuto anche un danno non patrimoniale da lesione della riservatezza, purché venga dimostrato un pregiudizio effettivo e non una semplice esposizione astratta al rischio.

Quando risponde la società che gestisce il portale

Nella gestione moderna l’amministratore si affida spesso a software house o società specializzate nella creazione di portali condominiali. In questi casi il fornitore informatico diventa un anello essenziale della catena di responsabilità.

Se la violazione dipende da falle del software, sistemi di protezione insufficienti, mancati aggiornamenti o errori tecnici imputabili al provider, l’amministratore o il condominio possono rivalersi sulla società che gestisce la piattaforma.

Per questo il contratto con il fornitore non dovrebbe essere trattato come un semplice acquisto di servizio. Servono clausole chiare su sicurezza, backup, conservazione dei dati, tempi di intervento, accessi e responsabilità in caso di incidente.

Il GDPR richiede inoltre che i soggetti esterni che trattano dati per conto del titolare siano formalmente designati come responsabili del trattamento: per l’amministratore è una misura di tutela preventiva.

Come evitare problemi nella gestione dati

Gestire un condominio online non è più un’attività che l’amministratore può improvvisare. La digitalizzazione richiede procedure interne, istruzioni ai collaboratori e verifiche periodiche sugli strumenti utilizzati.

Tra le principali misure di sicurezza rientrano:

  • autenticazione a due fattori;
  • password robuste e periodicamente aggiornate;
  • accessi limitati ai soli soggetti autorizzati;
  • sistemi di backup;
  • software aggiornati;
  • crittografia dei dati;
  • verifica periodica delle vulnerabilità informatiche.

Vuoi saperne di più?
Contattaci per una consulenza personalizzata

Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy:
Torna in alto