Protección de datos en las Comunidades de Propietarios - guía para administradores de fincas

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 12/02/2019

La AEPD ha publicado una guía dirigida a los administradores de fincas orientada a la protección de datos de las comunidades de propietarios.

La guía aborda, en primer lugar, cuestiones generales de la normativa de protección de datos que se aplican también a los tratamientos de datos realizados por las comunidades de propietarios (en adelante tambien CCPP). En este sentido, se incluyen secciones dedicadas a las definiciones de conceptos básicos como el de dato personal, o a la forma de organizar las relaciones entre la comunidad de propietarios, como responsable de tratamiento, y el administrador de fincas, como encargado.
Por otro lado, la guía contempla tratamientos específicos que, como se ha dicho anteriormente, son con frecuencia comunes a todas las comunidades de propietarios: información sobre propietarios con pagos pendientes, videovigilancia o tratamientos de datos de empleados.
 
 
Responsable del tratamiento:
La condición de responsables del tratamiento corresponde a la propia comunidad de propietarios, con la finalidad de realiza la adecuada gestión y funcionamiento de la CCPP en régimen de propiedad horizontal. La Comunidad de Propietarios respecto del tratamiento de los datos de los comuneros (generalmente para la gestión fiscal, contable y administrativa), se encuentra legitimada en el cumplimiento de una obligación legal de acuerdo al articulado de la LPH.
 
Encargado del tratamiento:
La condición de encargado del tratamiento corresponde al administrador de fincas que está legitimado para tratar y disponer de los datos de los copropietarios que resulten necesarios para la gestión ordinaria de los asuntos de la comunidad y que ejerce la administración de una o varias comunidades por encargo de estas. Para ello se deberán cumplir con los requisitos contemplados en el artículo 28 del RGPD (relación contractual, por escrito o en forma que permita acreditar su celebración, deber de confidencialidad, limitación del tratamiento, etc). En caso de que incumpliera sus obligaciones con respecto al tratamiento de los datos, destinando los datos a otra finalidad, comunicándolos a terceros o utilizándolos en contra de los previsto en el contrato, podrá ser considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
 
* Téngase en cuenta que para tratar datos de carácter personal de los copropietarios de una comunidad de propietarios en virtud de un encargo de servicios y/o gestiones diferentes de las comprendidas en la LPH, se deberá contar con el consentimiento específico, informado e inequívoco de todos los afectados
 
Registros de actividades:
No debemos perder de vista que con la aplicación del RGPD se ha eliminado la obligación de notificar ficheros ante la AEPD, si bien se deberá mantener un Registro de Actividades de Tratamiento por escrito, en donde se incluya la descripción de los tratamiento de datos que realicen, por lo que las CCPP deberán disponer, al menos, de un registro de actividades derivado de la "gestión de la comunidad" o "propietarios", aunque podría existir también uno relativo a la "videovigilancia" si en la CCPP estuviesen instaladas cámaras de videovigilancia.
Por su parte los administradores de fincas, como encargados de tratamiento, llevarán un registro de todas las categorías de actividades de tratamiento que efectúen por cuenta de las comunidades.
 
Conservación de los datos:
El administrador de fincas deberá definir los plazos de conservación de los datos y sólo podrá conservar los datos personales que sean estrictamente imprescindibles durante el período de prescripción que marca la normativa fiscal, contable, social o civil, puesto que la normativa de protección de datos permite conservar los datos personales durante el tiempo en que pueda exigirse algún tipo de responsabiliad derivada de la relación u obligación jurídica o de la ejecución del contrato o aplicación de medidas precontractuales solicitadas por el interesado. Finalidados los plazos, deberán destruirse y sólo se podrán conservar si se disocian previamente o si, con carácter excepcional, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decide el mantenimiento íntegro de determinados datos.
Deberán establecerse procedimientos para determinar que se han cumplidos los plazos máximos de conservación de los datos.
 
Confidencialidad:
Se deberá informar adecuadamente y dejando constancia de ello, a todas las personas que tratan los datos, de la obligación de guardar secreto sobre los datos que conozcan en el ejercicio de sus funciones, así como sus obligaciones y las consencuencias de incumplirlas.
Este deber incumbe tanto a los responsables de las comunidades como a los administradores de fincas y sus empleados. La obligación del administrador subsistirá aún despues de finalizar sus relaciones con la CCPP.
 
Comunicaciones de datos:
Sólo se podran ceder y/o comunicar los datos de los comuneros a terceras personas si concurre alguno de los supuestos de legitiman el tratamiento (art. 6 del RGPD).
En su caso, la sanción a imponer recaería sobre el responsable -la comunidad de propietarios-, o sobre el encargado del tratamiento -el administrador de fincas-, o sobre ambos, dependiendo de cómo mantengan regulada su relación y de si disponen de contrato de acceso de datos por cuenta de terceros o no.
Los encargados del tratamiento no pueden comunicar los datos a terceros, ni siquiera para su conservación, salvo que tenga servicios subcontratados, por ejemplo, de “cloud computing” y cuente con la autorización de la comunidad
Medidas de seguridad:
Generalmente es el propio administrador de fincas el que se encarga de la custodia de los datos en su oficina y con sus propios medios, por lo que en este caso, pasará a conformar una de las obligaciones básicas del administrador que será el que deba implementar las medidas de seguridad adecuadas al nivel de seguridad requerido (generalmente son tratamiento de escaso riesgo). Entre las medidas de seguridad a adoptar se encuentran, por ejemplo, las contraseñas de acceso a los datos, usuario y contraseñas diferenciados en caso de que accedan varias personas a los datos, cifrado de datos si han de ser extraídos fuera del recinto, copias de seguridad en soporte distinto del usado para el trabajo diario que esté almacenada en lugar seguro, instalación de cortafuegos o firewall, etc.
 
Supuestos específicos:
 
1. Impago de recibos de la CCPP -> Con carácter general, la publicación en el tablón de avisos de la comunidad de una relación de propietarios que no se encuentran al corriente en pago de sus cuotas no está amparada por la normativa de protección de datos. Ahora bien, la LPH permite la publicidad de la identidad de los deudores y de sus deudas con la comunidad, incorporando dichos datos a la convocatoria de la Junta. Excepcionalmente, cuando no exista constancia del domicilio de algún propietario, al no haber facilitado este dato a la comunidad, se podrá publicar en el tablón de anuncios de la comunidad -o en otro lugar visible de uso general habilitado al efecto- la convocatoria de la Junta de propietarios. Para este supuesto, deberán hacerse constar, junto con el documento publicado, los motivos de dicha publicación, extendiéndose diligencia por la persona que ejerza las funciones de secretario.
No obstante, si la mencionada publicación se realizara en cumplimiento de un acuerdo expreso adoptado por la Junta de propietarios, nos encontraremos ante una cesión de datos con consentimiento previo de los interesados, que en principio no vulneraría la normativa sobre protección de datos personales.
 
2. Acceso y obtención de copias de la documentación por parte de los propietarios -> la comunicación de datos deberá limitarse a aquellos que -en cada caso- resulten “adecuados, pertinentes y limitados” para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al buen gobierno de la comunidad y a su control, por tanto no se permite un acceso generalizado a los datos de los comuneros o de los empleados de la CCPP. Así, a título de ejemplo, no cumple el requisito de idoneidad la comunicación de los datos de domicilio de los propietarios o sus números de cuenta corriente, ya que en nada contribuyen a la finalidad de control de la buena administración de la comunidad de propietarios. Fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá examinarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo a los documentos.
 
3. Exhibición del libro de actas a entidades financieras -> La certificación expedida por el administrador será documento suficiente para formalizar ante la entidad financiera la apertura de una cuenta corriente o para el cambio anual de firmas de los cargos de la comunidad.
 
4. Videovigilancia -> Se deberá recoger este tratamiento en el registro de actividades de tratamiento. Además para la instalación de cámaras en zonas comunes será necesario el acuerdo de la Junta de propietarios que quedará reflejado en las actas de dicha Junta (se recomienda que en el acuerdo se reflejen algunas de las características del sistema de videovigilancia, así como el número de cámaras o el espacio captado por las mismas). La legitimación para el tratamiento de datos de carácter personal se ampararía en el interés público recogido en el artículo 6.1 e) del RGPD. Se deberán instalar carteles informativos de zona videovigilada así como la restante información que podrá estar disponible en conserjería, recepción, tablón de anuncios o a través de internet.
La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.
 
 
A grandes rasgos estos son los puntos a tener en cuenta en cuanto a los administradores de fincas y las comunidades de propietarios, si bien, para ampliar dicha información y acudir a una serie de consultas y respuestas más habituales en la materia puede consultarse la guía de la AEPD aquí.

No hay versiones para este comentario

Comunidad de propietarios
Administrador de fincas
Tratamiento de datos personales
Protección de datos
Responsable del tratamiento
Encargado del tratamiento
Datos personales
Conservación de datos personales
Comuneros
Copropietario
Protección de datos en las comunidades de propietarios
Propiedad horizontal
Registro de las actividades de tratamiento
Limitación del tratamiento de datos
Relación contractual
Medidas de seguridad
Cuenta corriente
Acceso a datos personales
Junta de propietarios
Convocatorias junta de propietarios
Entidades financieras
Transferencia de datos personales
Comunicación de datos
Libro de actas
Interés publico
Zonas comunes
Acuerdos Junta de propietarios

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados