El impacto del Reglamento General de Protección de Datos en las comunidades de propietarios: 19 preguntas y respuestas

 

1. ¿Qué normas regulan la protección de datos en España?

Desde el pasado 25 de mayo de 2018 es de aplicación el Reglamento General de Protección de Datos (RGPD), de origen comunitario. A dicha normativa se deben añadir la todavía no derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Actualmente, hay en el Congreso de los Diputados un Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, con la finalidad de adaptar la normativa estatal a la comunitaria.

2. ¿Deben las Comunidades de Propietarios adaptarse al nuevo Reglamento General de Protección de datos?

 Sí, el RGPD es de obligado cumplimiento para todos los países de la Unión Europea, incluido España. Además, es directamente aplicable en nuestro ordenamiento sin necesidad de transposición ,que deberá complementarse con la normativa estatal.

3. ¿Qué datos deben ser objeto de tratamiento dentro del ámbito de las Comunidades de Propietarios?

La actual normativa no establece ningún límite acerca de qué datos puede tratar la Comunidad de Propietarios, estos suelen ser los nombres de los comuneros, documentos de identificación, números de teléfono, direcciones, correos electrónicos, cuentas bancarias… entre otros, pero nada impide que se dispongan de otros siempre y cuando sean en calidad de propietarios y no resulten excesivos parar la actividad habitual de las Comunidades.

4. ¿Se deben notificar los ficheros a la Agencia Española de Protección de Datos?

Hasta el 25 de mayo existía la obligación de notificar la creación de cualquier fichero, dicha obligación correspondía a la Comunidad de Propietarios, como responsable del tratamiento, mediante la representación del Presidente. Con la entrada en vigor del RGPD desaparece la indicada inscripción, pero aparece la obligación de llevar internamente un registro de las actividades del tratamiento.

5. ¿Está obligada la Comunidad de Propietarios a tenerlo? ¿Y los administradores de fincas?

Conforme al art. 30.5 del Reglamento, esta obligación no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el art. 9, apdo. 1, o datos personales relativos a condenas e infracciones penales a que se refiere el art. 1 del citado Reglamento, por lo que la Comunidad de Propietarios solo estaría obligada si cumple alguno de estos requisitos, pero desde Sepín recomendamos tenerlo, dado que es una buena medida de «responsabilidad activa» y facilita el correcto cumplimiento de la normativa, al igual que los Administradores de Fincas.

6. ¿En qué consiste el registro de las actividades del tratamiento?

Viene regulado en el art. 30 RGPD, donde se establece que deberá tener el siguiente contenido:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49, apdo. 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el art. 32, apdo. 1.

También el encargado de tratamiento deberá llevar un registro de todas las categorías de actividades de tratamiento efectuadas por el responsable donde se debe incluir:

a) El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) Las categorías de tratamientos efectuados por cuenta de cada responsable;

c) En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el art. 30, apdo. 1.

Dichos registros deberán constar por escrito y en formato electrónico.

7. ¿Cómo se elabora el registro de las actividades del tratamiento?

En primer lugar, la AEPD realiza una primera fase relativa a la revisión de los tratamientos de datos de carácter personal que se venía realizando y del contenido de los ficheros. Para facilitarla, la Agencia permite obtener una copia digital del contenido completo de la declaración de los ficheros. En el registro se deberán incorporar todas aquellas actividades relacionadas con el tratamiento de los datos. La segunda fase implica incorporar las obligaciones de la nueva normativa, en las que se impone a cada responsable del tratamiento la obligatoriedad de incluir en el Registro de Actividades de Tratamiento:

  • Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero, ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el art. 5 RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.
  • Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: esta será una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los arts. 33 y 34 RGPD.

La AEPD  ha puesto a disposición de los responsables del tratamiento la aplicación FACILITA_RGPD cuyo uso recomendamos.

A modo de ejemplo para su elaboración, la propia AEPD ha publicado su registro de actividades.

8. ¿Deben contar las Comunidades de Propietarios con la figura del Delegado de Protección de Datos (DPO)?

La figura del DPO es una de las incorporaciones del RGPD, se regula en el art. 37, y en él se indican las entidades que obligatoriamente deben tenerlo, donde en principio no entrarían las Comunidades de Propietarios.

9. ¿Conforme a la nueva normativa, es la Comunidad la responsable del tratamiento y el administrador de fincas el encargado?

Sí, el RGPD no varía nada en este asunto, la Comunidad de Propietarios es la responsable del tratamiento de los datos personales, mientras que el administrador actúa como encargado, pero la AEPD establece una serie de condiciones para que la relación Comunidad-Administrador-Protección de datos sea correcta.

El Administrador únicamente debe acceder a los datos con la finalidad exclusiva de prestar un servicio a la Comunidad, pues, en caso contrario, podría ser considerado como responsable del tratamiento a efectos de sanciones. Si el uso de los datos se realizara con fines no comprendidos en la Ley de Propiedad Horizontal (LPH), será necesario el consentimiento de todos los propietarios, con la novedad del RGPD que obliga a que el consentimiento sea expreso e inequívoco.

La relación entre la Comunidad de Propietarios y el Administrador de Fincas, conforme al RGPD debe constar por escrito (art. 28).

10. ¿Qué obligaciones se desprenden de la normativa de protección de datos para las Comunidades de Propietarios y los Administradores de Fincas?

Los Administradores, como encargados del tratamiento, deben asesorar a las Comunidades para el cumplimiento de la Ley, por lo que deberán facilitar toda la información necesaria relativa a la actividad de esta.

Como ya se ha indicado, la obligación de inscribir los ficheros desaparece con la entrada en vigor del RGPD el 25 de mayo de 2018, remplazándose dicha actividad con el registro de actividades del tratamiento.

Para el cumplimiento del deber de información, tal y como establece la AEPD, se debe informar a todos los comuneros de manera “expresa e inequívoca” de la existencia de un tratamiento, de la identidad y dirección del responsable del tratamiento, de su finalidad, de los destinatarios y de la posibilidad de ejercer los derechos establecidos en el RGPD.

En cuanto al principio de Calidad de datos, se deben recabar únicamente los datos necesarios y/o pertinentes para el funcionamiento de la Comunidad para las finalidades establecidas en la LPH.

Conservación de datos, este principio requiere la cancelación de los datos personales una vez que estos dejen de ser necesarios para la finalidad por la que fueron recabados, dichos plazos deben ser definidos y comunicados a los propietarios, aunque se permite la conservación de los mismos durante el tiempo en el que puedan exigirse responsabilidades (en el caso de los Administradores de Fincas, se podrán conservar datos durante el período de prescripción social, civil y/o fiscal), estos quedarían bloqueados pudiendo únicamente estar a disposición de los Tribunales.

El deber de secreto implica que los responsables de la Comunidad (Presidente, Junta Directiva) y los administradores no puedan revelar cualquier tratamiento que se haga de los datos personales, subsistiendo dicha obligación una vez finalizada la relación con la Comunidad.

11. ¿Debe la Comunidad realizar análisis de riesgos a los tratamientos de datos personales?

La AEPD entiende que, dado el mínimo riesgo que supone el tratamiento de datos realizado, en principio no sería necesario, sin perjuicio de que se adopten medidas de seguridad que garanticen el cumplimiento normativo.

12. ¿Puede el administrador ceder datos de los propietarios a terceros?

Para realizar cualquier tipo de cesión de datos es necesario el consentimiento expreso de los propietarios, donde se deberá informar sobre cómo se van a usar y acerca del procedimiento de revocación del consentimiento. La falta de consentimiento únicamente se puede suplir en aquellos casos contenidos en la normativa de protección de datos

13. ¿Es conforme a la normativa la cesión de los datos de carácter personal para la convocatoria a Junta por el 25 % de los propietarios?

Este asunto resulta bastante controvertido, pues la LPH legitima al 25 % de los comuneros a convocar la Junta, pero para poder realizar correctamente la notificación, son necesarios los datos de todos los comuneros.

Conforme a la redacción del art 6.1f) del RGPD, entendemos que es válido el tratamiento si éste es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, por lo que en caso de la convocatoria a Junta por el 25% de los comuneros resultaría, en principio, legítima la cesión únicamente para cumplir con la convocatoria a Junta conforme a la LPH.

14. ¿Vulnera la normativa de protección de datos la entrega del acta a entidades financieras?

Facilitar las actas de la Junta a terceros como puede ser un banco, tras la renovación de cargos, por ejemplo, podría vulnerar el principio de proporcionalidad recogido en el RGPD, por lo que la AEPD, en estos casos, recomienda que el Secretario/Administrador certifique tal acuerdo ( como en los casos de reclamación a morosos) con el fin de no mostrar las actas comunitarias a terceros.

15. Cuando un propietario solicita el acceso a la documentación de la Comunidad, ¿qué debe hacer el Administrador de Fincas?

Esta situación tan típica en las Comunidades se encuentra fuera de los casos en los que la LPH obliga a la comunicación de datos a los comuneros, pero se entiende que puede existir un interés legítimo, que es la garantía de gestión de la finca.

Al implicar el acceso a determinados datos de carácter personal, dicha actuación deberá realizarse conforme al principio de minimización de datos y proporcionalidad, que obliga a que solo se podrá tener acceso a aquellos que resulten adecuados, pertinentes y limitados para el cumplimiento del interés legítimo, debiendo adoptar en todo caso las medidas de seguridad.  Por ejemplo, la AEPD entiende que el acceso a las nóminas de los trabajadores no estaría legitimado al resultar excesiva, al contrario de la consulta a documentos contables en los que se refleja la retribución de los trabajadores.

16. ¿Deben los Administradores de Fincas realizar un documento de seguridad como encargado del tratamiento?

 Sí, las medidas de seguridad son aplicables en todos los tratamientos de datos, no habiendo especialidades respecto a otras situaciones. Dicho documento debe localizarse en el lugar en el que se encuentre el fichero.

Para la adaptación del documento al RGPD, debe tenerse en cuenta el principio de proactividad, cuya finalidad es la adopción de todas las medidas posibles que permitan demostrar que se realizó un tratamiento acorde con la normativa de protección de datos, para ello es necesario realizar una evaluación del riesgo.

17. ¿Con el RGPD cambia la notificación en el tablón de anuncios?

No, siguen las mismas previsiones, para que la notificación en el tablón de anuncios esté amparada por la normativa de protección de datos se debe cumplir con la Ley de Propiedad Horizontal, por lo que debe intentarse notificación conforme al art. 9 LPH.

18. ¿Qué ocurre con las cámaras de vigilancia?

El RGPD no establece mención expresa alguna, por lo que, teniendo en cuenta todas las modificaciones relativas a los ficheros, documentos de seguridad…, hasta la nueva LOPD la regulación no varía, por lo que se debe seguir con las previsiones dadas por la AEPD, que son: necesidad del acuerdo de junta, con la recomendación de que en dicho acuerdo consten las características del sistema a instalar; información de la instalación de cámaras donde debe constar la identidad del responsable del tratamiento y la dirección a la que puede dirigirse para solicitar los derechos, la instalación solo puede ceñirse a zonas comunes.

La AEPD ha publicado ya la nueva placa de información sobre videovigilancia.

19. ¿Quién tiene acceso a las grabaciones?

La Comunidad deberá designar, y hacerlo constar por escrito, las personas que tengan al acceso de las imágenes. Si el mismo es realizado con conexión a Internet, debe restringirse con una cuenta de usuario y contraseña.

Para un estudio pormenorizado de la nueva regulación sobre protección de datos, os recomendamos nuestra Guía práctica publicada en diciembre de 2018, con Comentarios doctrinales, Textos legislativos, Formularios y Esquemas: