,

Comunidades de propietarios, administradores de fincas y RGPD

rgdp-cambio-norma-datos-comunidades-vecinos-administradores

Seguramente ya sepas a estas alturas de julio que desde el pasado 25 de mayo de 2018 es aplicable el Reglamento General de Protección de Datos (RGPD), que ha introducido numerosas novedades sobre el tratamiento de los datos personales y esto afecta de modo directo también al ámbito de las comunidades. En el artículo de hoy trataremos de explicar qué deben saber las Comunidades de propietarios y administradores de fincas ante la llegada del RGPD.

Las comunidades de propietarios deben saber que son responsables de sus tratamientos y, en caso de que exista un administrador de fincas, éste actuará como encargado de los mismos. Es un primer punto de partida que deben tener claro a la hora de moverse por la nueva reglamentación.

Los tratamientos de datos más comunes que suelen darse en las comunidades son:

  • Propietarios: en el que se tratarán todos los datos relativos de los propietarios en relación con la gestión de la propia comunidad, y atendiendo al contenido que recoge la Ley de Propiedad Horizontal.
  • Videovigilancia: cuyo uso debe ser autorizado por la propia comunidad, siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal.
  • Trabajadores: en el caso de que la comunidad tenga contratado personal propio y directo para la realización de trabajos, como puede ser las labores  portería.

Cuando existe una relación entre un responsable y un encargado, el Reglamento General de Protección de Datos marca que el tratamiento que lleve a cabo el encargado se debe regir por un contrato o acto jurídico con un determinado contenido que establece la citada norma, estableciendo normas claras en la relación y gestión, según indica el en su artículo 28.

En los contratos firmados entre las comunidades de propietarios con los administradores de fincas que les prestan sus servicios, en lo relativo a la protección de datos, deben aparecer las cláusulas en relación a estos aspectos: tratamiento de datos de forma segura, demostración de medidas de seguridad, confidencialidad de personas autorizadas, etc…

A pesar de la obligatoriedad de la norma, la adaptación se puede realizar de manera progresiva. De hecho, así lo recoge la nueva Ley Orgánica de Protección de Datos que se está tramitando en las Cortes Generales, que ha introducido una disposición transitoria para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años, eso sí, cuando sean indefinidos, o cuando se realice la primera prórroga.

De la Inscripción ficheros al Reglamento de actividades de tratamiento

Con el RGPD ha desaparecido la obligación de inscribir ficheros en la Agencia de Protección de Datos. No obstante, lo que sí debe configurarse es el denominado Registro de Actividades de Tratamiento, tanto por parte de las comunidades de propietarios como por parte de los administradores de fincas.

En el Registro aparecerán los tratamientos que lleven a cabo las comunidades, como pueden ser los tratamientos de “propietarios” o “videovigilancia”, indicando los fines del tratamiento, las categorías de interesados y categorías de datos personales, o si existen cesiones a terceros, de modo similar a como figuraban en los citados tratamientos a efectos de su inscripción en el registro de la Agencia. Se trata de un documento interno, que no debe ser enviado a la AEPD, pero que estará a disposición de la misma, si se requiriese.

En el caso de los administradores de fincas, estos también deberán contar con su respectivo registro de actividades en relación con las comunidades de propietarios a las que presten sus servicios, con tantos registros como comunidades de las que sean encargados.

Legitimación

La agencia de protección de datos pone de relieve dos aspectos primordiales que, a su juicio y en relación a la nueva legislación, es necesario clarificar. Uno es la legitimicación.

El RGPD establece varios supuestos que legitiman el tratamiento de los datos personales: consentimiento (que debe ser mediante una acción afirmativa); ejecución de un contrato; cumplimiento de una obligación legal; misión de interés público o ejercicio de poderes públicos.

En el caso de las comunidades de propietarios, la legitimación para el tratamiento de los mismos no deriva de la existencia de que hayan prestado el consentimiento previo, sino con base en el cumplimiento de una obligación legal, en este caso el contenido de la Ley de Propiedad Horizontal.

Es decir, con la aplicación del RGPD no hay que solicitar consentimiento de los propietarios para tratar sus datos personales, ya que la legitimación deviene de ese cumplimiento legal que se ha citado anteriormente.

El caso de la videovigilancia es similar. Tampoco se trata de un supuesto en que opere el consentimiento sino el ejercicio de una misión de interés público como es garantizar la seguridad de personas, bienes e instalaciones.

O, en el caso de que existan tratamientos en relación a personal contratado por la comunidad (por ejemplo la portería), el tratamiento de los datos tampoco opera el consentimiento, sino la ejecución de un contrato.

Derecho a la información

El segundo punto de especial interés es que el RGPD, en su artículo 13, ha ampliado el contenido del derecho de información en la recogida de los datos personales, ya que debe facilitarse más información al respecto, como la posibilidad de reclamar ante la Autoridad de Protección de Datos o el plazo de conservación de los datos.

Si en la recogida de datos personales producida con anterioridad al RGPD se hubiese dado cumplimiento al derecho de información de la LOPD, no es necesario que ahora se vuelva a informar con el contenido que al respecto establece el Reglamento. Es decir, este precepto relativo al derecho de información en la recogida de datos personales no se aplica de forma retroactiva.

Sí deberá facilitarse el nuevo contenido del derecho de información acorde al RGPD en la recogida de datos personales, a partir del 25 de mayo de 2018, que habían sido objeto de tratamiento hasta la fecha. También debe actualizarse el cartel de videovigilancia y el resto de información a facilitar.

Otra de las cuestiones que ha modificado el RGPD es la seguridad, ya que se parte de la realización inicial de un análisis de riesgos de los tratamientos, y en función de su resultado, adoptar las medidas de seguridad.

Asimismo, la Agencia también ha puesto a disposición de las pymes que traten datos de bajo riesgo una herramienta llamada Facilita_RGPD que puede facilitar el cumplimiento de las medidas exigidas en la nueva norma.

Su enfoque está pensado para PYMES, pero como incluso la propia agencia indica, puede ser utilizada de forma análoga en comunidades para generar un listado de medidas de seguridad que se pueden adoptar, como son las copias de seguridad, custodiar y mantener actualizados los documentos, medidas técnicas de protección, etc…

Para terminar esta aproximación al RGPD en comunidades, es interesante saber que en las comunidades de propietarios no es obligatoria la designación de un delegado de protección de datos (DPO), para que en el caso de que se decida su contratación, esta se haga de manera libre e informada.

A la espera de que se termine de tramitar la nueva versión de la Ley de Protección de Datos española, que deberá recoger la nueva legislación europea en su adaptación, la RGPD es la nueva norma que ordena este aspecto y que es de obligado cumplimiento y esperamos haber ayudado a aclarar aglún aspecto de especial interés para las comunidades y administradores.

Enlaces de ayuda