El Reglamento Europeo de Protección de Datos y los administradores de fincas

Según se recoge en varios informes de la Agencia Española de Protección de Datos, los administradores de fincas son encargados de tratamiento en relación con los datos de las comunidades de propietarios.

En concreto en el informe Nº0636/2009 se recoge que “la condición de responsable del fichero recaerá sobre la propia Comunidad de Propietarios que es quien, a través de sus Órganos de Gobierno y, en su caso, de la Junta, resolverá sobre las cuestiones relacionadas con la misma, siendo así que, de lo establecido en el artículo 13 de la Ley se desprende que el Presidente cuando actúe en el ejercicio de las funciones relacionadas con una determinada comunidad, no es sino un órgano integrado en la misma”.

Los tratamientos por parte de las comunidades de propietarios tienen características muy similares en la mayor parte de los casos, lo que no excluye que alguno pueda tener una cierta complejidad.

De cara a la nueva normativa en protección de datos, el Reglamento Europeo de Protección de Datos, las comunidades de propietarios, en principio y según características especiales, no tendrán que nombrar un Delegado de Protección de Datos (DPO) o realizar evaluaciones de impacto sobre la protección de datos (DPIA). Estas medidas están reservadas para entidades que lleven a cabo tratamiento de datos con cierto nivel de riesgo para los derechos y libertades de los interesados, circunstancia que a priori, no se da en los tratamientos habituales en las comunidades de propietarios.

A partir del 25 de mayo de 2018, desaparecerá la obligación de notificar la creación de ficheros, pero aparecerá un conjunto de medidas de carácter interno, que el responsable y/o encargado deberán tener, por si la AEPD las solicita, deberán llevar un registro de actividades de tratamiento.

Como hemos comentado, el administrador de fincas es el encargado de tratamiento, recayendo la condición de responsable de tratamiento sobre la comunidad.

Estas son las premisas para que la relación entre comunidad de propietarios y el administrador se ajuste a la normativa de protección de datos:

  1. El acceso a los datos personales por parte del administrador de fincas se efectuará con la finalidad de prestar un servicio al responsable del fichero.
  2. Las obligaciones del encargado de tratamiento deberán encontrarse establecidas mediante contrato por escrito o en alguna forma que permita acreditar su celebración y contenido.
  3. El administrador de fincas únicamente tratará los datos conforme a las instrucciones de la comunidad de propietarios y no los aplicará o utilizará con fin distinto al establecido por el contrato, ni los comunicará o cederá a terceras personas.
  4. Al término de la relación contractual, el administrador deberá devolver a la comunidad de propietarios todos los soportes y/o documentos en los que consten datos personales objeto de tratamiento.
  5. El administrador podrá conservar, debidamente bloqueados, los datos personales objeto de tratamiento, de los que puedan derivarse responsabilidades de su relación con la comunidad de propietarios.
  6. Las medidas de seguridad que tenga que adoptar los administradores de fincas, serán las mimas que le sean exigibles al responsable del tratamiento.
  7. En el caso de incumplimiento de las anteriores premisas, el administrador podrá ser considerado responsable del tratamiento, correspondiéndole las infracciones en que pudiera haber incurrido personalmente.

Registro de actividades de tratamiento

Tal y como hemos comentado, los encargados de tratamiento, en este caso los administradores de fincas, tendrán que hacer su propio registro de actividad. Esto queda recogido en el artículo 30.2 RGPD:

En los supuestos en que resulte aplicable esta exigencia, el administrador de fincas, deberá llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable que contenga como mínimo:

  1. Nombre y datos de contacto del encargado/s y de cada responsable por cuenta del cual actué el encargado y, en su caso, de los representantes y del DPO.
  2. Las categorías de tratamiento efectuados por cuenta de cada responsable, cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad implementadas en relación con los tipos de tratamiento de datos realizados.
  3. Estos registros constaran por escrito y puede ser en formato electrónico.
  4. El encargado de tratamiento, y en su caso su representante, pondrán el registro a disposición de la Agencia Española de Protección de Datos si esta lo solicita.

Obligaciones de los administradores de fincas derivadas de su actividad en el ámbito de las comunidades de propietarios

  1. Deber de información. Se debe informar a los titulares de los datos personales, normalmente en el momento de la recogida de los datos.
  2. Calidad de los datos. En la realización del tratamiento de datos, todos los sujetos implicados deben asegurarse de que los datos personales sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
  3. Supresión los datos personales de los comuneros de oficio, cuando ya no sean necesarios para la finalidad o finalidades para las que se recogieron.
  4. No se deberán utilizar los datos para finalidades distintas a las establecidas por el contrato.
  5. Deberán establecerse mecanismos de actualización de la información y de verificación de dicha actualización.
  6. Deberán definirse los plazos de conservación de los datos personales de los propietarios afectados. Debiendo establecerse procedimientos para determinar que se han cumplidos los plazos máximos de conservación de los datos personales de los comuneros.
  7. Deber de secreto. En el tratamiento de datos de carácter personal, se debe garantizar el cumplimiento del deber de secreto que incumple a los administradores que intervengan en cualquier fase del tratamiento, comportando que no pueden revelar ni dar a conocer su contenido. La obligación de secreto del administrador subsistirá aún después de finalizar sus relaciones con la comunidad de propietarios.
  8. Para la cesión de los datos personales habrá de contar con el consentimiento de los copropietarios afectados, a los que se deberá informar de la finalidad a la que se destinarán los datos o el tipo de actividad del cesionario, y si se han habilitado procedimientos para gestionar la revocación del consentimiento.
  9. Principio de responsabilidad proactiva. Esto es la actitud consciente, diligente y proactiva por parte de la comunidad de propietarios y por los administradores de fincas frente a todos los tratamientos de datos personales que se lleven a cabo. Este principio requiere que se analicen qué datos se tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de esta información, deben determinar explícitamente la forma en que aplicarán las medidas técnicas y organizativas que el RGPD prevé, para demostrar que el tratamiento es conforme al Reglamento.
  10. En cuanto a las medidas técnicas y organizativas de seguridad, el RGPD establece que serán las apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta:
  • El estado de la técnica y costes de la aplicación.
  • La naturaleza, alcance, contexto y fines del tratamiento.
  • Los riesgos para los derechos y libertades de las personas.

Autor: Privacidad Global