Redazione Adempia

Un uomo guarda il proprio telefono mentre cammina

Quando in un condominio si presenta un caso di morosità, l'amministratore si trova prima o poi davanti a una domanda molto pratica: quali dati del condomino moroso può passare al legale incaricato del recupero crediti e a quali condizioni questa comunicazione resta conforme al GDPR?

È un passaggio diverso, ma non meno importante rispetto alla comunicazione della morosità agli altri condomini. Qui l'interlocutore non è la compagine condominiale, ma lo studio legale che agirà per conto del condominio nel recupero delle somme dovute.

Ed è proprio su questo passaggio che assumono rilievo i principi del GDPR, i criteri elaborati dalle Linee guida EDPB sul rapporto tra titolare e responsabile del trattamento e gli orientamenti del Garante e della giurisprudenza in materia condominiale.

Il fondamento giuridico del recupero crediti condominiali: basi giuridiche e bilanciamento

La comunicazione al legale dei dati del condomino moroso non richiede, di regola, il consenso dell'interessato, purché il trattamento trovi un’idonea base giuridica ai sensi dell'art. 6 del GDPR.            In ambito condominiale, tale base può individuarsi, a seconda del caso concreto, nell'adempimento di un obbligo legale applicabile al titolare del trattamento oppure nel legittimo interesse del titolare o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato.

Quando la base giuridica del trattamento è il legittimo interesse, non basta che l’interesse del condominio al recupero del credito esista in astratto: occorre verificare in concreto che non prevalgano i diritti e le libertà fondamentali dell’interessato e che la comunicazione sia proporzionata alla finalità perseguita.

Resta in ogni caso fermo il rispetto dei principi di liceità, correttezza e trasparenza, minimizzazione dei dati, limitazione della finalità e integrità e riservatezza, ai sensi dell’art. 5 del GDPR, dei quali il titolare del trattamento è responsabile e deve essere in grado di dimostrare il rispetto (principio di responsabilizzazione).

Chi decide di rivolgersi al legale: il ruolo del titolare nell'amministrazione condominiale

Prima di comunicare i dati al legale, occorre individuare in concreto chi determina finalità e mezzi del trattamento, poiché è questo il criterio che identifica il titolare del trattamento, mentre è responsabile il soggetto che tratta i dati per conto del titolare. L'assetto dei ruoli va verificato caso per caso, in base alle attività concretamente svolte e al potere decisionale effettivamente esercitato sul trattamento.

In ogni caso, è opportuno che il verbale assembleare o l'atto di conferimento dell'incarico documenti in modo coerente l’assetto dei ruoli privacy.

La sola qualificazione formale, tuttavia non può modificare il ruolo che deriva dalla legge e dalle attività concretamente svolte.

Va tenuto distinto il caso specifico disciplinato dall'art. 63, comma 1, disp. att. c.c., in forza del quale l'amministratore è tenuto a comunicare i dati dei condomini morosi ai creditori non ancora soddisfatti che ne facciano richiesta: tale previsione riguarda i creditori del condominio e pone uno specifico obbligo legale di comunicazione in capo all'amministratore, distinto dall'ipotesi in cui il condominio affidi a un proprio legale l'attività di recupero del credito.

Diverso è il caso del professionista incaricato dal condominio per il recupero del credito condominiale: qui la comunicazione dei dati al legale va ricondotta alle basi di liceità dell'art. 6 del GDPR e ai principi di necessità e proporzionalità sopra indicati.

L'avvocato nel recupero dei crediti condominiali: titolare o responsabile del trattamento?

Il ruolo privacy del legale va qualificato in concreto sulla base delle attività effettivamente svolte.             Il criterio generale resta quello funzionale: è titolare chi determina autonomamente finalità e mezzi del trattamento; è responsabile chi tratta i dati per conto del titolare, sulla base di istruzioni documentate.

La distinzione tra attività giudiziali e stragiudiziali può avere rilievo pratico, ma non vale come criterio automatico di qualificazione. Fatta questa premessa si possono delineare le seguenti ipotesi:

  • Nelle attività giudiziali, il legale può operare con un elevato grado di autonomia professionale; occorre quindi verificare in concreto se, per le specifiche operazioni di trattamento svolte, determini autonomamente finalità e mezzi, assumendo in tal caso il ruolo di titolare per quel trattamento.

  • Nelle attività stragiudiziali, come solleciti o trattative, il legale può operare con margini di autonomia più circoscritti e sulla base di istruzioni più specifiche del cliente. Anche in questi casi, però, la qualificazione va verificata in concreto: solo se il professionista tratta effettivamente i dati per conto del titolare e nei limiti delle istruzioni ricevute può essere qualificato come responsabile del trattamento.

Cosa comunicare al legale sul condomino moroso e cosa no

Una volta stabilita la base giuridica, resta il vincolo della minimizzazione: al legale vanno trasmessi solo i dati dei condomini morosi indispensabili per svolgere l'incarico come le generalità del debitore, gli importi dovuti per oneri o spese condominiali e i riferimenti alla delibera che ha reso il credito esigibile, ma non l’intero fascicolo amministrativo del condomino.

Nel recupero crediti, il dato comunicato deve essere strettamente funzionale all’attività affidata: la comunicazione deve quindi limitarsi alle informazioni necessarie per individuare il debitore, il titolo del credito, l’importo dovuto e gli elementi utili all’azione di recupero, senza estendere la trasmissione a dati ulteriori o eccedenti.

Le informazioni relative alla morosità non possono inoltre essere diffuse indiscriminatamente né comunicate a soggetti estranei al procedimento di recupero, né rese note con modalità tali da esporle alla conoscenza di terzi non legittimati.

In pratica, prima di ogni invio, vale la pena chiedersi: questo dato serve davvero al legale per agire nel recupero delle somme dovute, o è un'informazione accessoria che può restare fuori dalla comunicazione?

Tempistica di conservazione dei dati: un limite anche per il legale

I dati trasmessi per il recupero del credito devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, ai sensi del principio di limitazione della conservazione di cui all'art. 5, par. 1, lett. e), del GDPR.

Una volta esaurita la finalità del recupero, i dati devono essere gestiti secondo quanto previsto dall'atto di incarico. Se il legale opera come responsabile, i dati devono essere, a scelta del titolare, cancellati o a lui restituiti, con cancellazione delle copie esistenti, salvo i casi in cui la conservazione ulteriore sia giustificata da un obbligo normativo applicabile.

I criteri di conservazione della documentazione dovrebbero essere coordinati nella lettera di incarico. Se il legale è qualificato come responsabile del trattamento, il contratto o altro atto giuridico scritto previsto dall'art. 28 GDPR deve disciplinare anche la cancellazione o la restituzione dei dati al termine della prestazione, con cancellazione delle copie esistenti salvo obblighi di legge.

Recuperare le somme dovute nel rispetto della privacy: perché è importante

Coinvolgere un legale nel recupero delle quote condominiali non è in conflitto con la tutela della privacy del condomino moroso: può diventarlo se la comunicazione avviene senza una base giuridica chiara, senza criteri di minimizzazione o senza adeguate misure di sicurezza.

 Definire chi è titolare, cosa trasmettere allo studio legale, quale ruolo assume l'avvocato e per quanto tempo i dati restano in circolazione sono i passaggi che permettono all'amministratore condominiale di gestire il recupero crediti in modo efficace e, allo stesso tempo, difendibile.

A questi profili si aggiungono: la corretta individuazione della base giuridica del trattamento, la documentazione dell'assetto dei ruoli (titolare, responsabile, eventuali sub-responsabili), l'adozione di misure di sicurezza adeguate e la definizione dei criteri di conservazione.

Il titolare del trattamento non si libera dei propri obblighi per il solo fatto di affidare l'attività a un professionista esterno, ma deve selezionare soggetti che offrano garanzie sufficienti, impartire istruzioni adeguate e poter dimostrare di avere organizzato e verificato il rapporto in modo conforme al GDPR; la trasmissione dei dati e la gestione della pratica devono inoltre avvenire mediante misure tecniche e organizzative adeguate al rischio.

Tutti questi elementi sono espressione del principio di responsabilizzazione (accountability) sancito dall'art. 5, par. 2, del GDPR, in forza del quale il titolare del trattamento non solo deve rispettare i principi in materia di protezione dei dati, ma deve essere in grado di comprovarne il rispetto in qualsiasi momento.

Tenere sotto controllo questi passaggi, delibera dopo delibera e incarico dopo incarico, richiede un metodo. In questa prospettiva, Adempia Completa consente di organizzare la documentazione privacy del condominio, comprese le basi giuridiche dei trattamenti e gli incarichi ai professionisti esterni, così da poter documentare le valutazioni svolte e le misure adottate.