Desde el pasado 25 de mayo de 2018 es de aplicación el Reglamento General de Protección de Datos (RGPD), de origen comunitario. A dicha normativa se deben añadir la todavía no derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Actualmente, hay en el Congreso de los Diputados un Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, con la finalidad de adaptar la normativa estatal a la comunitaria.
Sí, el RGPD es de obligado cumplimiento para todos los países de la Unión Europea, incluido España. Además, es directamente aplicable en nuestro ordenamiento sin necesidad de transposición ,que deberá complementarse con la normativa estatal.
La actual normativa no establece ningún límite acerca de qué datos puede tratar la Comunidad de Propietarios, estos suelen ser los nombres de los comuneros, documentos de identificación, números de teléfono, direcciones, correos electrónicos, cuentas bancarias… entre otros, pero nada impide que se dispongan de otros siempre y cuando sean en calidad de propietarios y no resulten excesivos parar la actividad habitual de las Comunidades.
Hasta el 25 de mayo existía la obligación de notificar la creación de cualquier fichero, dicha obligación correspondía a la Comunidad de Propietarios, como responsable del tratamiento, mediante la representación del Presidente. Con la entrada en vigor del RGPD desaparece la indicada inscripción, pero aparece la obligación de llevar internamente un registro de las actividades del tratamiento.
Conforme al art. 30.5 del Reglamento, esta obligación no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el art. 9, apdo. 1, o datos personales relativos a condenas e infracciones penales a que se refiere el art. 1 del citado Reglamento, por lo que la Comunidad de Propietarios solo estaría obligada si cumple alguno de estos requisitos, pero desde Sepín recomendamos tenerlo, dado que es una buena medida de «responsabilidad activa» y facilita el correcto cumplimiento de la normativa, al igual que los Administradores de Fincas.
Viene regulado en el art. 30 RGPD, donde se establece que deberá tener el siguiente contenido:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49, apdo. 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el art. 32, apdo. 1.
También el encargado de tratamiento deberá llevar un registro de todas las categorías de actividades de tratamiento efectuadas por el responsable donde se debe incluir:
a) El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b) Las categorías de tratamientos efectuados por cuenta de cada responsable;
c) En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
d) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el art. 30, apdo. 1.
Dichos registros deberán constar por escrito y en formato electrónico.
En primer lugar, la AEPD realiza una primera fase relativa a la revisión de los tratamientos de datos de carácter personal que se venía realizando y del contenido de los ficheros. Para facilitarla, la Agencia permite obtener una copia digital del contenido completo de la declaración de los ficheros. En el registro se deberán incorporar todas aquellas actividades relacionadas con el tratamiento de los datos. La segunda fase implica incorporar las obligaciones de la nueva normativa, en las que se impone a cada responsable del tratamiento la obligatoriedad de incluir en el Registro de Actividades de Tratamiento:
La AEPD ha puesto a disposición de los responsables del tratamiento la aplicación FACILITA_RGPD cuyo uso recomendamos.
A modo de ejemplo para su elaboración, la propia AEPD ha publicado su registro de actividades.
La figura del DPO es una de las incorporaciones del RGPD, se regula en el art. 37, y en él se indican las entidades que obligatoriamente deben tenerlo, donde en principio no entrarían las Comunidades de Propietarios.
Sí, el RGPD no varía nada en este asunto, la Comunidad de Propietarios es la responsable del tratamiento de los datos personales, mientras que el administrador actúa como encargado, pero la AEPD establece una serie de condiciones para que la relación Comunidad-Administrador-Protección de datos sea correcta.
El Administrador únicamente debe acceder a los datos con la finalidad exclusiva de prestar un servicio a la Comunidad, pues, en caso contrario, podría ser considerado como responsable del tratamiento a efectos de sanciones. Si el uso de los datos se realizara con fines no comprendidos en la Ley de Propiedad Horizontal (LPH), será necesario el consentimiento de todos los propietarios, con la novedad del RGPD que obliga a que el consentimiento sea expreso e inequívoco.
La relación entre la Comunidad de Propietarios y el Administrador de Fincas, conforme al RGPD debe constar por escrito (art. 28).
Los Administradores, como encargados del tratamiento, deben asesorar a las Comunidades para el cumplimiento de la Ley, por lo que deberán facilitar toda la información necesaria relativa a la actividad de esta.
Como ya se ha indicado, la obligación de inscribir los ficheros desaparece con la entrada en vigor del RGPD el 25 de mayo de 2018, remplazándose dicha actividad con el registro de actividades del tratamiento.
Para el cumplimiento del deber de información, tal y como establece la AEPD, se debe informar a todos los comuneros de manera “expresa e inequívoca” de la existencia de un tratamiento, de la identidad y dirección del responsable del tratamiento, de su finalidad, de los destinatarios y de la posibilidad de ejercer los derechos establecidos en el RGPD.
En cuanto al principio de Calidad de datos, se deben recabar únicamente los datos necesarios y/o pertinentes para el funcionamiento de la Comunidad para las finalidades establecidas en la LPH.
Conservación de datos, este principio requiere la cancelación de los datos personales una vez que estos dejen de ser necesarios para la finalidad por la que fueron recabados, dichos plazos deben ser definidos y comunicados a los propietarios, aunque se permite la conservación de los mismos durante el tiempo en el que puedan exigirse responsabilidades (en el caso de los Administradores de Fincas, se podrán conservar datos durante el período de prescripción social, civil y/o fiscal), estos quedarían bloqueados pudiendo únicamente estar a disposición de los Tribunales.
El deber de secreto implica que los responsables de la Comunidad (Presidente, Junta Directiva) y los administradores no puedan revelar cualquier tratamiento que se haga de los datos personales, subsistiendo dicha obligación una vez finalizada la relación con la Comunidad.
La AEPD entiende que, dado el mínimo riesgo que supone el tratamiento de datos realizado, en principio no sería necesario, sin perjuicio de que se adopten medidas de seguridad que garanticen el cumplimiento normativo.
Para realizar cualquier tipo de cesión de datos es necesario el consentimiento expreso de los propietarios, donde se deberá informar sobre cómo se van a usar y acerca del procedimiento de revocación del consentimiento. La falta de consentimiento únicamente se puede suplir en aquellos casos contenidos en la normativa de protección de datos
Este asunto resulta bastante controvertido, pues la LPH legitima al 25 % de los comuneros a convocar la Junta, pero para poder realizar correctamente la notificación, son necesarios los datos de todos los comuneros.
Conforme a la redacción del art 6.1f) del RGPD, entendemos que es válido el tratamiento si éste es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, por lo que en caso de la convocatoria a Junta por el 25% de los comuneros resultaría, en principio, legítima la cesión únicamente para cumplir con la convocatoria a Junta conforme a la LPH.
Facilitar las actas de la Junta a terceros como puede ser un banco, tras la renovación de cargos, por ejemplo, podría vulnerar el principio de proporcionalidad recogido en el RGPD, por lo que la AEPD, en estos casos, recomienda que el Secretario/Administrador certifique tal acuerdo ( como en los casos de reclamación a morosos) con el fin de no mostrar las actas comunitarias a terceros.
Esta situación tan típica en las Comunidades se encuentra fuera de los casos en los que la LPH obliga a la comunicación de datos a los comuneros, pero se entiende que puede existir un interés legítimo, que es la garantía de gestión de la finca.
Al implicar el acceso a determinados datos de carácter personal, dicha actuación deberá realizarse conforme al principio de minimización de datos y proporcionalidad, que obliga a que solo se podrá tener acceso a aquellos que resulten adecuados, pertinentes y limitados para el cumplimiento del interés legítimo, debiendo adoptar en todo caso las medidas de seguridad. Por ejemplo, la AEPD entiende que el acceso a las nóminas de los trabajadores no estaría legitimado al resultar excesiva, al contrario de la consulta a documentos contables en los que se refleja la retribución de los trabajadores.
Sí, las medidas de seguridad son aplicables en todos los tratamientos de datos, no habiendo especialidades respecto a otras situaciones. Dicho documento debe localizarse en el lugar en el que se encuentre el fichero.
Para la adaptación del documento al RGPD, debe tenerse en cuenta el principio de proactividad, cuya finalidad es la adopción de todas las medidas posibles que permitan demostrar que se realizó un tratamiento acorde con la normativa de protección de datos, para ello es necesario realizar una evaluación del riesgo.
No, siguen las mismas previsiones, para que la notificación en el tablón de anuncios esté amparada por la normativa de protección de datos se debe cumplir con la Ley de Propiedad Horizontal, por lo que debe intentarse notificación conforme al art. 9 LPH.
El RGPD no establece mención expresa alguna, por lo que, teniendo en cuenta todas las modificaciones relativas a los ficheros, documentos de seguridad…, hasta la nueva LOPD la regulación no varía, por lo que se debe seguir con las previsiones dadas por la AEPD, que son: necesidad del acuerdo de junta, con la recomendación de que en dicho acuerdo consten las características del sistema a instalar; información de la instalación de cámaras donde debe constar la identidad del responsable del tratamiento y la dirección a la que puede dirigirse para solicitar los derechos, la instalación solo puede ceñirse a zonas comunes.
La AEPD ha publicado ya la nueva placa de información sobre videovigilancia.
La Comunidad deberá designar, y hacerlo constar por escrito, las personas que tengan al acceso de las imágenes. Si el mismo es realizado con conexión a Internet, debe restringirse con una cuenta de usuario y contraseña.