Las comunidades de propietarios y sus administradores de fincas a la palestra por el cumplimiento de la Ley de Protección de Datos
8 de septiembre de 2019
Las comunidades de propietarios y sus administradores de fincas a la palestra por el cumplimiento de la Ley de Protección de Datos
“La adecuación al RGPD de las Comunidad de Propietarios es esencial y en esta tarea son agentes esenciales los Administradores de Fincas en tanto a gestores externos de los asuntos propios de la Comunidad, quienes ahora se en encuentran frente a una tesitura.”
Como todos sabemos la Regulación en materia de Protección de Datos de Carácter Personal se ha visto afectada de forma intensa a partir de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), 25 de mayo de 2018, y completada posteriormente por lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que con cierto retraso terminó de adaptar completamente la normativa española al proyecto comunitario.
Pero hoy nos centraremos en un ámbito concreto de gran impacto y novedad como es la adaptación de las COMUNIDADES DE PROPIETARIOS al nuevo Reglamento.
Tal vez lo primero que hay que determinar a este respecto es que, efectivamente, también las Comunidades de Propietarios, conforme a lo dispuesto en el artículo 30.5 del Reglamento General de Protección de Datos, deberán adaptarse a la normativa europea en materia de tratamiento de datos de carácter personal, Reglamento que tras una vacatio legis de 2 años se hizo ya plenamente aplicable sin necesidad de ningún tipo de trasposición el pasado viernes 25 de mayo de 2018, hace más de un año, fecha desde la cual todo aquel que no se haya adaptado a la nueva legislación se considera de facto incumplidor de esta y podrá en consecuencia ser sancionado por la AEPD.
EL TRATAMIENTO DE DATOS PERSONALES POR LA COMUNIDAD DE PROPIETARIOS
En este sentido, hay que señalar que no queda limitado el tipo de datos que puede tratar la Comunidad de Propietarios y que consecuentemente, si bien suelen ser datos básicos como correos electrónicos, cuentas bancarias para domiciliación de cuotas y nombre e identificación de los comuneros los tratados por estas, nada prohíbe que se puedan tratar, almacenar y utilizar otros datos personales como por ejemplo los obtenidos por la utilización de cámaras de seguridad en las zonas comunes (con el consiguiente grabado de propietarios, familiares, menores, servicios de limpieza del edificio, y todo aquel que entre en la propiedad), siempre y cuando se pueda considerar que responden a una justa PROPORCIONALIDAD con la actividad normal de una Comunidad de Propietarios, la FINALIDAD perseguida por cada tratamiento se sustente correctamente en la LEGITIMACIÓN pertinente y se respete el principio de MINIMIZACIÓN DE DATOS en relación con el deber de utilización de los medios menos invasivos posibles para con los datos personales de los interesados.
Para ello, para su correcto tratamiento, recordamos que una de las principales novedades que incorpora el RGPD en cuanto a obligaciones de los Responsables del Tratamiento es que cesa la obligación de notificar a la Agencia Española de Protección de Datos la generación de ficheros, obligación que se transforma en la de llevar un ordenado Registro de las actividad del Tratamiento, material y técnicamente adaptado, amparado bajo el principio de proactividad.
Esto es fundamental para la Comunidad de Propietarios, y para ello son agentes esenciales los ADMINISTRADORES DE FINCAS en tanto a gestores externos de los asuntos propios de la Comunidad de Propietarios, quienes ahora se en encuentran frente a una tesitura.
LA RESPONSABILIDAD DEL CORRECTO TRATAMIENTO DE LOS DATOS: IMPLICACIÓN DEL ADMINISTRADOR DE FINCAS
Se nos plantea de este modo una situación en la que SE EXIGE:
1. Un TRATAMIENTO RESPONSABLE de los datos personales tratados por las Comunidades de Propietarios;
2. Todo bajo un PRINCIPIO DE PROACTIVIDAD que va a depositar el peso de ese tratamiento responsable sobre los hombros de la propia Comunidad, quien a través tanto de su Presidente como de los Administradores de fincas, deberá realizar un ejercicio activo en materia de protección de datos de carácter personal, organizado y sistematizado; y,
3. La necesidad de una FUERTE ESPECIALIZACIÓN JURÍDICA para el conocimiento de las obligaciones en relación al Registro de Actividades de dichos Tratamientos.
Es importante entender en este sentido que conforme al RGPD la Comunidad de Propietarios es la RESPONSABLE DEL TRATAMIENTO de los datos personales, siendo el Presidente de esta el REPRESENTANTE de esta y habitualmente RESPONSABLE DE SEGURIDAD y el Administrador de la finca el ENCARGADO DEL TRATAMIENTO de dichos datos, y que la Agencia Española de Protección de Datos (AEPD) define ciertos requisitos para el correcto tratamiento de datos en la cadena COMUNIDAD-ADMINISTRADOR DE FINCAS- TRATAMIENTO Y PROTECCIÓN DE LOS DATOS.
Por ello, queremos dejar claro en este artículo que solo en el caso de que el Administrador preste un servicio adicional diferente al propio de la finalidad propia de la actividad del Administrador de Fincas podría éste ser considerado Responsable del Tratamiento, a todos los efectos incluidos las sanciones previstas, lo cual, no obstante, no lo exime de las otras responsabilidades y obligaciones inherentes a su título de Encargado del Tratamiento como garante de la seguridad de esos datos personales que como gestor de la comunidad trata por su cuenta, descritas en el artículo 28 y 30.2 RGPD.
OBLIGACIONES DE LOS RESPONSABLES.
Por último haremos una breve exposición de las obligaciones a las que quedan sujetas las Comunidades de Propietarios y los Administradores de Fincas;
• Los Encargados del Tratamiento, y en especial el Encargado del Tratamiento por excelencia de las Comunidades de Propietarios, los Administradores de Fincas, deben dar información suficiente en relación a las medidas de Protección de Datos establecidas en su empresa en tanto a la obligación de la Comunidad de Vecinos en materia de protección de datos personales de cerciorarse de ello.
• Se deberá llevar un Registro de Actividades del Tratamiento en la propia Comunidad, al contrario que sucedía antes de la entrada en vigor del RGPD cuando había que inscribir los ficheros en la AEPD.
• Para dar cumplimiento al deber de información, ésta deberá ser, tal y como se ha dicho en anteriores artículos dedicados a consentimiento expreso, precisa, expresa e inequívoca, deberá informarse a todos los comuneros y se dejará constancia de la necesidad de realizar un Registro de actividades de Tratamiento, en el que se determine la finalidad del tratamiento, así como la posibilidad de ejercer los derechos establecidos en el Reglamento General de Protección de Datos Personales.
• En relación a la conservación de los datos se deberá proceder a la cancelación de los mismos una vez que estos ya no sean necesarios para dar debido cumplimiento a la finalidad por la cual fueron registrados. Los plazos deberán ser comunicados a los interesados. No obstante lo anterior, en cumplimento de la legislación específica que corresponda, los datos podrán ser conservados, aún concluida la finalidad, en prevención de posibles responsabilidades de carácter social, fiscal y/ o civil, pudiendo quedar en su caso a disposición de los Tribunales.
• Finalmente, la obligación de cumplir el deber de reserva de secreto afectará tanto a los Responsables de la Comunidad (Presidente) como a los Administradores de Fincas, que no podrá revelar ningún tratamiento de los datos incluso una vez finalizada la relación con la Comunidad.
En próximos artículos hablaremos del Registro de Actividades del Tratamiento y los pormenores de su elaboración; la figura del Responsable del Tratamiento; la figura de los Encargados del Tratamiento, y; algunos aspectos prácticos como las cámaras de vigilancia, su correcto uso en atención a la legislación vigente de Protección de Datos.