¿Cómo afecta el Reglamento General de Protección de Datos a las comunidades de propietarios? 19 preguntas y respuestas

Sandra Gamella Carballo

Directora de Sepín Nuevas Tecnologías

1. ¿Qué normas regulan la protección de datos en España?

Desde el pasado 25 de mayo de 2018 es de aplicación el Reglamento General de Protección de Datos (RGPD), de origen comunitario. A dicha normativa se deben añadir la todavía no derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Actualmente, hay en el Congreso de los Diputados un Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, con la finalidad de adaptar la normativa estatal a la comunitaria.

2. ¿Deben las Comunidades de Propietarios adaptarse al nuevo Reglamento General de Protección de datos?

 Sí, el RGPD es de obligado cumplimiento para todos los países de la Unión Europea, incluido España. Además, es directamente aplicable en nuestro ordenamiento sin necesidad de transposición ,que deberá complementarse con la normativa estatal.

3. ¿Qué datos deben ser objeto de tratamiento dentro del ámbito de las Comunidades de Propietarios?

La actual normativa no establece ningún límite acerca de qué datos puede tratar la Comunidad de Propietarios, estos suelen ser los nombres de los comuneros, documentos de identificación, números de teléfono, direcciones, correos electrónicos, cuentas bancarias… entre otros, pero nada impide que se dispongan de otros siempre y cuando sean en calidad de propietarios y no resulten excesivos parar la actividad habitual de las Comunidades.

4. ¿Se deben notificar los ficheros a la Agencia Española de Protección de Datos?

Hasta el 25 de mayo existía la obligación de notificar la creación de cualquier fichero, dicha obligación correspondía a la Comunidad de Propietarios, como responsable del tratamiento, mediante la representación del Presidente. Con la entrada en vigor del RGPD desaparece la indicada inscripción, pero aparece la obligación de llevar internamente un registro de las actividades del tratamiento.

5. ¿Está obligada la Comunidad de Propietarios a tenerlo? ¿Y los administradores de fincas?

Conforme al art. 30.5 del Reglamento, esta obligación no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el art. 9, apdo. 1, o datos personales relativos a condenas e infracciones penales a que se refiere el art. 1 del citado Reglamento, por lo que la Comunidad de Propietarios solo estaría obligada si cumple alguno de estos requisitos, pero desde Sepín recomendamos tenerlo, dado que es una buena medida de “responsabilidad activa” y facilita el correcto cumplimiento de la normativa, al igual que los Administradores de Fincas.

6. ¿En qué consiste el registro de las actividades del tratamiento?

Viene regulado en el art. 30 RGPD, donde se establece que deberá tener el siguiente contenido:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49, apdo. 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el art. 32, apdo. 1.

También el encargado de tratamiento deberá llevar un registro de todas las categorías de actividades de tratamiento efectuadas por el responsable donde se debe incluir:

a) El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) Las categorías de tratamientos efectuados por cuenta de cada responsable;

c) En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el art. 30, apdo. 1.

Dichos registros deberán constar por escrito y en formato electrónico.

7. ¿Cómo se elabora el registro de las actividades del tratamiento?

En primer lugar, la AEPD realiza una primera fase relativa a la revisión de los tratamientos de datos de carácter personal que se venía realizando y del contenido de los ficheros. Para facilitarla, la Agencia permite obtener una copia digital del contenido completo de la declaración de los ficheros. En el registro se deberán incorporar todas aquellas actividades relacionadas con el tratamiento de los datos. La segunda fase implica incorporar las obligaciones de la nueva normativa, en las que se impone a cada responsable del tratamiento la obligatoriedad de incluir en el Registro de Actividades de Tratamiento:

  • Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero, ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el art. 5 RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.
  • Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: esta será una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los arts. 33 y 34 RGPD.

La AEPD  ha puesto a disposición de los responsables del tratamiento la aplicación FACILITA_RGPD cuyo uso recomendamos.

A modo de ejemplo para su elaboración, la propia AEPD ha publicado su registro de actividades.

8. ¿Deben contar las Comunidades de Propietarios con la figura del Delegado de Protección de Datos (DPO)?

La figura del DPO es una de las incorporaciones del RGPD, se regula en el art. 37, y en él se indican las entidades que obligatoriamente deben tenerlo, donde en principio no entrarían las Comunidades de Propietarios.

9. ¿Conforme a la nueva normativa, es la Comunidad la responsable del tratamiento y el administrador de fincas el encargado?

Sí, el RGPD no varía nada en este asunto, la Comunidad de Propietarios es la responsable del tratamiento de los datos personales, mientras que el administrador actúa como encargado, pero la AEPD establece una serie de condiciones para que la relación Comunidad-Administrador-Protección de datos sea correcta.

El Administrador únicamente debe acceder a los datos con la finalidad exclusiva de prestar un servicio a la Comunidad, pues, en caso contrario, podría ser considerado como responsable del tratamiento a efectos de sanciones. Si el uso de los datos se realizara con fines no comprendidos en la Ley de Propiedad Horizontal (LPH), será necesario el consentimiento de todos los propietarios, con la novedad del RGPD que obliga a que el consentimiento sea expreso e inequívoco.

La relación entre la Comunidad de Propietarios y el Administrador de Fincas, conforme al RGPD debe constar por escrito (art. 28).

10. ¿Qué obligaciones se desprenden de la normativa de protección de datos para las Comunidades de Propietarios y los Administradores de Fincas?

Los Administradores, como encargados del tratamiento, deben asesorar a las Comunidades para el cumplimiento de la Ley, por lo que deberán facilitar toda la información necesaria relativa a la actividad de esta.

Como ya se ha indicado, la obligación de inscribir los ficheros desaparece con la entrada en vigor del RGPD el 25 de mayo de 2018, remplazándose dicha actividad con el registro de actividades del tratamiento.

Para el cumplimiento del deber de información, tal y como establece la AEPD, se debe informar a todos los comuneros de manera “expresa e inequívoca” de la existencia de un tratamiento, de la identidad y dirección del responsable del tratamiento, de su finalidad, de los destinatarios y de la posibilidad de ejercer los derechos establecidos en el RGPD.

En cuanto al principio de Calidad de datos, se deben recabar únicamente los datos necesarios y/o pertinentes para el funcionamiento de la Comunidad para las finalidades establecidas en la LPH.

Conservación de datos, este principio requiere la cancelación de los datos personales una vez que estos dejen de ser necesarios para la finalidad por la que fueron recabados, dichos plazos deben ser definidos y comunicados a los propietarios, aunque se permite la conservación de los mismos durante el tiempo en el que puedan exigirse responsabilidades (en el caso de los Administradores de Fincas, se podrán conservar datos durante el período de prescripción social, civil y/o fiscal), estos quedarían bloqueados pudiendo únicamente estar a disposición de los Tribunales.

El deber de secreto implica que los responsables de la Comunidad (Presidente, Junta Directiva) y los administradores no puedan revelar cualquier tratamiento que se haga de los datos personales, subsistiendo dicha obligación una vez finalizada la relación con la Comunidad.

11. ¿Debe la Comunidad realizar análisis de riesgos a los tratamientos de datos personales?

La AEPD entiende que, dado el mínimo riesgo que supone el tratamiento de datos realizado, en principio no sería necesario, sin perjuicio de que se adopten medidas de seguridad que garanticen el cumplimiento normativo.

12. ¿Puede el administrador ceder datos de los propietarios a terceros?

Para realizar cualquier tipo de cesión de datos es necesario el consentimiento expreso de los propietarios, donde se deberá informar sobre cómo se van a usar y acerca del procedimiento de revocación del consentimiento. La falta de consentimiento únicamente se puede suplir en aquellos casos contenidos en la normativa de protección de datos

13. ¿Es conforme a la normativa la cesión de los datos de carácter personal para la convocatoria a Junta por el 25 % de los propietarios?

Este asunto resulta bastante controvertido, pues la LPH legitima al 25 % de los comuneros a convocar la Junta, pero para poder realizar correctamente la notificación, son necesarios los datos de todos los comuneros.

Conforme a la redacción del art 6.1f) del RGPD, entendemos que es válido el tratamiento si éste es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, por lo que en caso de la convocatoria a Junta por el 25% de los comuneros resultaría, en principio, legítima la cesión únicamente para cumplir con la convocatoria a Junta conforme a la LPH.

14. ¿Vulnera la normativa de protección de datos la entrega del acta a entidades financieras?

Facilitar las actas de la Junta a terceros como puede ser un banco, tras la renovación de cargos, por ejemplo, podría vulnerar el principio de proporcionalidad recogido en el RGPD, por lo que la AEPD, en estos casos, recomienda que el Secretario/Administrador certifique tal acuerdo ( como en los casos de reclamación a morosos) con el fin de no mostrar las actas comunitarias a terceros.

15. Cuando un propietario solicita el acceso a la documentación de la Comunidad, ¿qué debe hacer el Administrador de Fincas?

Esta situación tan típica en las Comunidades se encuentra fuera de los casos en los que la LPH obliga a la comunicación de datos a los comuneros, pero se entiende que puede existir un interés legítimo, que es la garantía de gestión de la finca.

Al implicar el acceso a determinados datos de carácter personal, dicha actuación deberá realizarse conforme al principio de minimización de datos y proporcionalidad, que obliga a que solo se podrá tener acceso a aquellos que resulten adecuados, pertinentes y limitados para el cumplimiento del interés legítimo, debiendo adoptar en todo caso las medidas de seguridad.  Por ejemplo, la AEPD entiende que el acceso a las nóminas de los trabajadores no estaría legitimado al resultar excesiva, al contrario de la consulta a documentos contables en los que se refleja la retribución de los trabajadores.

16. ¿Deben los Administradores de Fincas realizar un documento de seguridad como encargado del tratamiento?

 Sí, las medidas de seguridad son aplicables en todos los tratamientos de datos, no habiendo especialidades respecto a otras situaciones. Dicho documento debe localizarse en el lugar en el que se encuentre el fichero.

Para la adaptación del documento al RGPD, debe tenerse en cuenta el principio de proactividad, cuya finalidad es la adopción de todas las medidas posibles que permitan demostrar que se realizó un tratamiento acorde con la normativa de protección de datos, para ello es necesario realizar una evaluación del riesgo.

17. ¿Con el RGPD cambia la notificación en el tablón de anuncios?

No, siguen las mismas previsiones, para que la notificación en el tablón de anuncios esté amparada por la normativa de protección de datos se debe cumplir con la Ley de Propiedad Horizontal, por lo que debe intentarse notificación conforme al art. 9 LPH.

18. ¿Qué ocurre con las cámaras de vigilancia?

El RGPD no establece mención expresa alguna, por lo que, teniendo en cuenta todas las modificaciones relativas a los ficheros, documentos de seguridad…, hasta la nueva LOPD la regulación no varía, por lo que se debe seguir con las previsiones dadas por la AEPD, que son: necesidad del acuerdo de junta, con la recomendación de que en dicho acuerdo consten las características del sistema a instalar; información de la instalación de cámaras donde debe constar la identidad del responsable del tratamiento y la dirección a la que puede dirigirse para solicitar los derechos, la instalación solo puede ceñirse a zonas comunes.

La AEPD ha publicado ya la nueva placa de información sobre videovigilancia.

19. ¿Quién tiene acceso a las grabaciones?

La Comunidad deberá designar, y hacerlo constar por escrito, las personas que tengan al acceso de las imágenes. Si el mismo es realizado con conexión a Internet, debe restringirse con una cuenta de usuario y contraseña.

Para un estudio pormenorizado de la nueva regulación sobre protección de datos, os recomendamos nuestra Guía práctica publicada en diciembre de 2018, con Comentarios doctrinales, Textos legislativos, Formularios y Esquemas:

12 comentarios en “¿Cómo afecta el Reglamento General de Protección de Datos a las comunidades de propietarios? 19 preguntas y respuestas

  1. Buenas tardes mi pregunta es, si en un grupo de whatshapp creado por los Comuneros, ¿ puede estar incluido una persona NO propietaria (alquilada)? y en caso afirmativo ¿tendríamos problemas legales dado que la misma contaría con acceso a información tanto personal de los Comuneros asi como a lo que en dicha red social se hablase, deudas etc?

  2. Buenos días,
    Nosotros no tenemos administrador de finca, pero si un documento firmado en acta en donde se especifica la ley de protección de datos, y que esta recae en los que actualmente ocupan la Junta Directiva. Esto sería válido????

    • Hola Vanessa:
      ¿A qué te refieres con un documento firmado en acta?
      Todo debe estar adaptado al Reglamento Europeo de Protección de Datos, con su análisis de riesgos, registro de actividades, políticas de seguridad, etc, etc, etc, etc

  3. Hola Vanessa, grosso modo, ¿en qué se diferencia el Documento de Seguridad que había que mantener actualizado con la LOPD y el nuevo Registro de Actividades de Tratamiento?

  4. Estimados:

    Me pongo en contacto con vosotros para realizar una consulta sobre nuestro papel como Comunidad de propietarios en relación al RGPD.

    Como les será familiar, el administrador y la finca vamos a firmar en los próximos días un contrato en el que nos adherimos al sistema de gestión de privacidad de nuestro administrador. De este modo éste pasa a ser Responsable de Privacidad así como Encargado de Tratamiento y nosotros permanecemos o nos erigimos como Responsables del tratamiento.

    Mi duda como presidente actual reside en el texto del reglamento 2016/679 , concretamente en:

    Artículo 24, punto 1: “(…) el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento.”

    Y en:

    Artículo 30, punto 1: “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”.

    La Comunidad es la “fuente” de los datos, pero actualmente no cuenta con un registro propio unificado y completo. Lo único parecido a esto hasta el momento lo ha tenido y lo tiene el administrador. La pregunta concreta es si, aparte del sistema de tratamiento del encargado, en este caso el administrador, la comunidad está obligada a tener un registro propio. En el punto 5 de dicho artículo 30, se exonera de esta necesidad, pero no estoy seguro de que cumplamos los requisitos.

    Quedo atento a sus comentarios.

    Un saludo.

  5. Buenas tardes
    En mi comunidad desde febrero de este año parece haber dos Juntas de gobierno y dos administraciones, con distintas cuentas bancarias, todo el tema esta en los juzgados y aun no ha habído resolución que determine si la nueva es legal.
    Hay tres grupos de propietarios, los que abonan en la cuenta de la Junta A), los que abonan en la Junta B) y los que no abonan en ningún lado hasta que haya sentencia judicial. El complejo es residencial y se está viniendo abajo, la nueva junta ha despdido personal de forma improcedente entre otras cosas, los juicios puestos por los trabajadores estan resultando improcedentes y todos los gastos de indemnizaciones ( que no fueron decididos en junta alguna) así como los costes de abogados por amabas partes recaerean sobre los comuneros, es decir decisiones unilaterales estan recayendo en todos los comuneros y ninguno , en realidad tenemos ahora derecho a voto pues todos somos morosos en la lista de una u otra administración + los que no pagan en ninguna a la espera, además han publicado en el tablón de anuncios una lista de mororos y creo que no es legal…mucho lío y va para largo, mientras, todo un lío, sin saber que hacer.
    Gracias por algún comentario constructivo.

  6. Hola, buenos días.
    ¿Puede la presidencia de la comunidad colgar un papel en el portal del edificio, con los datos personales y e importe de la deuda acumulada por un vecino, con la justificación de una convocatoria?…
    En el papel que está a la vista de todos los que entran, sean vecinos, propietarios, carteros, gente que transita el edificio, etc…
    En el figuran, nombre completo, piso y puerta, e importe total de la deuda acumulada.
    Gracias

  7. Buenas tardes,
    En nuestra comunidad no se manejan datos de vecinos. Ningún vecino, ni tan siquiera el Presidente tiene estos datos. Toda la información está en poder del Administrador de fincas: extractos bancarios, contabilidad, datos de contacto de los vecinos…
    Ahora nos expone que ellos están adpatados a la Ley, pero que nosotros tenemos que adaptarnos igualmente y contratar un servicio anual en este sentido.
    Si no manejamos datos ni tenemos ficheros de informacion ¿como podemos hacerlo? Según vuestro articulo, no cuplimos las condiciones que nos obligan a ello, pero si lo recomandáis. Es por ello que me surgen las dudas.
    Tampoco el administrador nos ha pedido que autoricemos expresamente el uso de nuestros datos, que entiendo que deberia ser a nivel individual.

    ¿Qué nos recomienda en esta situación? Muchas gracias por su respuesta.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.