NEWS

 

All’amministratore di condominio può bastare un semplice click sull’indirizzo sbagliato per causare un data breach

Può bastare un semplice clic sull’indirizzo sbagliato per causare una violazione dei dati personali. L’invio di una email contenente dati riservati a un destinatario errato rappresenta, a tutti gli effetti, un data breach, ossia un incidente di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali. In ambito condominiale, questi episodi sono tutt’altro che rari, soprattutto considerando che l’amministratore di condominio gestisce e comunica quotidianamente informazioni relative a debiti, controversie, dati anagrafici, documenti contabili e rapporti con fornitori.

Le Linee guida 2025 del Garante, nel richiamare l’articolo 33 del Gdpr, chiariscono che ogni violazione di dati personali va valutata tempestivamente per stabilire se sussiste un rischio per i diritti e le libertà degli interessati. Qualora il rischio sia anche solo potenziale, il titolare del trattamento (nel caso specifico, l’amministratore di condominio) ha l’obbligo di segnalare l’accaduto all’Autorità garante entro 72 ore e, nei casi più gravi, informare anche gli interessati coinvolti.

Cosa fare - Nel caso dell’invio di una email a un destinatario errato, è quindi necessario:

1) valutare la tipologia e il contenuto dei dati trasmessi;
2) verificare se il destinatario è interno alla compagine condominiale o completamente estraneo;
3) richiedere formalmente la cancellazione del messaggio e allegati e acquisire (ove possibile) conferma scritta;
4) annotare puntualmente l’accaduto nel Registro delle violazioni, anche se si conclude che non vi è obbligo di notifica al Garante. Questo registro, distinto e ulteriore rispetto a quello delle attività di trattamento, è obbligatorio e deve contenere la descrizione dei fatti, le categorie di dati coinvolti, le misure adottate e le valutazioni di rischio effettuate.

La casistica indicata dal Garante nelle Linee guida - Le Linee guida offrono una casistica di possibili data breach tipici del contesto condominiale. Tra i più frequenti si segnalano l’invio di documentazione contenente dati personali a indirizzi errati (email o cartacei), la pubblicazione in bacheca condominiale di informazioni eccedenti, come dettagli sulla morosità o dati sensibili, gli accessi non autorizzati ai sistemi di videosorveglianza e i furti di dispositivi elettronici contenenti dati (notebook dell’amministratore).

Secondo l’Autorità, però, devono annoverarsi tra i possibili data breach anche la mancata cancellazione delle immagini di videosorveglianza oltre i tempi previsti, lo smarrimento o sottrazione di documentazione cartacea (registri, anagrafe condominiale) e la conservazione dei dati in modalità insicura o utilizzo di account email personali senza protezione adeguata.

La formazione dell’amministratore - Il Garante, nelle Linee guida 2025, sottolinea l’importanza della formazione degli amministratori e dei loro collaboratori per prevenire i data breach, ricordando che l’adozione di misure tecniche e organizzative adeguate è parte integrante del principio di accountability (responsabilizzazione) previsto dall’articolo 5, paragrafo 2 del Gdpr.

Particolare rilievo è dato alla necessità di dotarsi di:

- un Registro aggiornato delle attività di trattamento;
- un Registro delle violazioni, anche in formato elettronico;
- procedure documentate di gestione del data breach, da attivare in caso di incidente.

Il documento chiarisce inoltre che non tutte le violazioni devono essere comunicate al Garante.

Quando la violazione può ritenersi grave - Occorre infatti operare una valutazione caso per caso, come espressamente indicato nelle Linee guida 2025 del Garante, considerando molteplici fattori che incidono sulla gravità del data breach e sull’obbligo o meno di notifica all’Autorità e agli interessati. In primo luogo, è fondamentale analizzare la natura dei dati coinvolti: una violazione che riguardi semplici dati anagrafici (nome, cognome, indirizzo) avrà, in linea di principio, un impatto meno significativo rispetto a una che coinvolga dati particolari ai sensi dell’articolo 9 Gdpr, come quelli relativi alla salute (documentazione medica allegata a una richiesta di esenzione per lavori in assemblea) o a situazioni di morosità con dettagli bancari.

Va valutato il coinvolgimento degli interessati - Altro elemento centrale è la numerosità degli interessati: l’invio errato di una Pec contenente dati di un solo condomino, per quanto rilevante, può avere un impatto limitato rispetto all’esposizione accidentale dell’intero registro anagrafico condominiale. A ciò si aggiunge la necessità di stimare la probabilità che l’informazione sia stata effettivamente consultata da terzi non autorizzati: un’email indirizzata erroneamente a un soggetto estraneo rappresenta un rischio maggiore rispetto a un’email ricevuta da un condomino interno ma non autorizzato a conoscere quel contenuto.

Le conseguenze prevedibili devono poi essere valutate in relazione alla natura dell’errore e al contesto: la diffusione di una situazione debitoria potrebbe esporre il soggetto a discriminazioni o danni reputazionali, mentre la rivelazione dell’indirizzo privato potrebbe costituire un rischio per la sicurezza personale. In tutti i casi, l’amministratore – o il professionista esterno che ha causato la violazione – è tenuto a documentare l’evento nel registro delle violazioni, indicando con chiarezza la data, la tipologia di violazione, le categorie di dati coinvolti, le misure adottate per porvi rimedio, l’eventuale obbligo di notifica e, in caso negativo, le motivazioni dell’esclusione.

I modelli di valutazione del rischio - Infine, come sottolineato dal Garante, è opportuno che l’amministratore si doti di modelli standardizzati di valutazione del rischio, che gli consentano di operare con rapidità e consapevolezza, e che predisponga un protocollo di gestione dei data breach accessibile anche ai propri collaboratori o fornitori nominati responsabili del trattamento, al fine di evitare sottovalutazioni o omissioni nella gestione degli incidenti.

In conclusione, ignorare o sottovalutare le implicazioni di un errore informatico, di una svista o di un comportamento superficiale può tradursi non solo in sanzioni pecuniarie, ma anche in una perdita di fiducia da parte dei condòmini.

di Carlo Pikler (Il Sole 24 Ore)

Note sull'Autore

Carlo Pikler Carlo Pikler

Avvocato, Centro Studi Privacy and Legal Advice. Coordinatore del Gruppo di Lavoro Federprivacy sulla protezione dei dati personali nelle amministrazioni condominiali.

Articoli correlati

Prev Via libera all’uso rafforzato delle telecamere comunali per pizzicare anche chi getta a terra fazzoletti e mozziconi di sigarette
Next Migliaia di documenti d’identità di clienti di hotel in vendita nel Dark Web: come tutelare la propria privacy ed esercitare i diritti previsti dal GDPR

Galleria Video

Privacy Day Forum 2025: il servizio dell'Ansa

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza