Registro de actividades de tratamiento (protección de datos en comunidades de propietarios)

Llevanza de un registro de actividades de tratamiento (RAT)

Ha de partirse de la regulación ofrecida en los artículos 30 del RGPD y 31 de la LOPDGDD.

CUESTIONES

1. ¿Cuándo se presume que no es obligatorio llevar un registro de actividades de tratamiento?

El artículo 30, apartado 5, del RGPD indica que las obligaciones relativas a la llevanza del registro de actividades por el responsable no se aplicarán a empresas u organizaciones que empleen a menos de 250 personas, a menos que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales indicados en el artículo 9.1 del RGPD (que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física) o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. 

2. En aplicación de lo anterior, ¿el responsable del tratamiento de datos de una comunidad de propietarios debe seguir un registro de actividades de tratamiento?

La norma indica de manera clara que:

- El tratamiento no puede entrañar un riesgo para los derechos y libertades de los interesados.

- El tratamiento no debe ser ocasional. 

- El tratamiento no puede revelar datos de categorías especiales.

En base a lo anterior, podemos concluir que la comunidad de propietarios ha de llevar un registro de actividades puesto que, de su actividad normal en el desempeño de las funciones y obligaciones que exige la LPH, se deriva un tratamiento de datos habitual, desmarcándose así de los requisitos excluyentes del artículo 30.5 del RGPD. 

La AEPD en su Guía sectorial sobre Protección de Datos y Administración de Fincas dispone en ese sentido de manera inequívoca que: «(...) al menos todas las comunidades de propietarios deberán tener el registro de actividades referente al tratamiento derivado de la "gestión de la comunidad de propietarios" o "propietarios", por cuanto que las actividades de tratamiento no son ocasionales. Otro registro que podría existir sería el relativo a la "videovigilancia" o "cámaras de seguridad"».

En una comunidad de propietarios, se llevan a cabo los siguientes tipos de tratamiento de datos:

• Datos de los propietarios.
• Datos de videovigilancia en zonas comunes.
• Datos de los proveedores de servicios que puedan contratase por la comunidad de propietarios.
• Datos de personal laboral al servicio de la comunidad (por ejemplo: limpieza, portero...).

Conforme a lo estipulado en los artículos 30 del RGPD y 31 de la LOPDGDD, cuando sea obligatorio llevar el registro de actividades, deben tenerse en cuenta las siguientes indicaciones:

• El registro lo llevará el responsable del tratamiento y, en su caso, su representante. 
• El registro puede organizarse en torno a conjuntos estructurados de datos y debe especificar sus finalidades, actividades de tratamiento que lleva a cabo y:
  • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • Los fines del tratamiento.
  • La descripción de las categorías de interesados y de las categorías de datos personales.
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, del RGPD (que se efectúen desde un registro público y que no abarquen la totalidad de los datos personales ni categorías enteras contenidos en el registro), la documentación de garantías adecuadas.
  • Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1, del RGPD: entre otras, la seudonimizacion y el cifrado de datos, la capacidad de garantizar la confidencialidad, integridad y disponibilidad, capacidad de restaurar la disponibilidad y el acceso a datos personales de forma rápida, proceso de verificación...
• Debe estar a disposición de la autoridad de control que lo solicite.
• Debe constar por escrito, inclusive en formato electrónico. 
• Si hubiese DPD, el responsable o encargado debe comunicarle cualquier adición, modificación o exclusión en el contenido del registro. 

Análisis de riesgos en materia de protección de datos en una comunidad de propietarios

Respecto a la gestión de riesgos en el tratamiento de datos por una comunidad de propietarios han de destacarse una serie de conceptos que se extraen del propio RGPD.

Así, el considerando (74) del RGPD (y el artículo 24 del RGPD en ese mismo sentido) indica que:

«Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas».

Y continúa el considerando (83) del RGPD:

«A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse (...)».

El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:

• El estado de la técnica.
• Los costes de aplicación.
• La naturaleza.
• El alcance.
• El contexto.
• Los fines del tratamiento.
• Los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Y en ese mismo precepto del reglamento indica que tales medidas deben incluir, entre otros:

• La seudonimización y el cifrado de datos personales. La seudonimización consiste en el tratamiento de datos personales cuya atribución a un interesado requiera de información adicional que figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona identificada o identificable.
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Añadiendo el apartado 2, del artículo 32, del RGPD que:

«2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Hablamos en el caso anterior de «violación de la seguridad de los datos personales» que define el artículo 4, apartado 12, del RGPD como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

CUESTIÓN

En base a lo dispuesto en el artículo 32 del RGPD, ¿quién debe adoptar las medidas de seguridad en una comunidad de propietarios?

Por norma general, en el tratamiento de datos de una comunidad de propietarios será el administrador de fincas quien custodie los ficheros con los datos personales, en su oficina y con sus propios medios, ante las funciones que le son propias frente a la comunidad.

Por tanto, será él quien deba adoptar las medidas de seguridad adecuadas, en calidad de encargado del tratamiento y estas deberán documentarse en el contrato de encargo del tratamiento (art. 28.3 del RGPD), conformando así una de las obligaciones básicas del administrador de fincas, como encargado del tratamiento, cuya actividad se limita a la custodia de los datos y demás funciones que le sean propias (art. 28 del RGPD y art. 33 de la LOPDGDD).

A TENER EN CUENTA. El artículo 32, en sus apartados 3 y 4, del RGPD establece que la adhesión a un código de conducta aprobado a tenor del artículo 40 del RGPD o a un mecanismo de certificación aprobado a tenor del artículo 42 del RGPD puede servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1, del artículo 32, del RGPD.

Así mismo, ordena al responsable y el encargado del tratamiento que deben tomar medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales, solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la UE o de los EE. MM.

Siguiendo la Guía sectorial de la AEPD sobre Protección de Datos y Administración de Fincas, en ella se plantean medidas de seguridad como:

• Creación de varios usuarios o perfiles en dispositivos informáticos para el caso de que se utilice el mismo ordenador o dispositivo para el tratamiento de datos personales y fines de uso personal.
• Disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales para evitar que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo. 
• Existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos.
• Un usuario y contraseña por cada persona que acceda a los datos personales (identificación inequívoca).
• Confidencialidad de las contraseñas, evitando que queden expuestas a terceros. Para la determinación de las contraseñas ha de conseguirse que sean fuertes o robustas, y no utilizar la misma en varios servicios, utilizando patrones que permitan recordar las claves o incluso utilizar un gestor de contraseñas para el caso de que pueda olvidarse (Guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad).

En la mencionada guía también se recogen otras medidas de salvaguarda en los sistemas y dispositivos de almacenamiento y tratamiento de datos personales. Véase:

• Mantenimiento y actualización de ordenadores y dispositivos.
• Sistema antivirus frente a malwares.
• Cortafuegos o Firewall para evitar accesos remotos indebidos.
• Cifrado de datos para cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos (encriptación).
• Copia de seguridad de forma periódica en un segundo soporte distinto del que se utiliza para el trabajo diario, que debe almacenarse en un lugar seguro con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.