¿Están obligadas las comunidades de propietarios a cumplir con la protección de datos?

Infografía Comunidad de Propietarios

No son poco habituales las dudas que todavía suscita la normativa de protección de datos para las comunidades de propietarios, por ese motivo queremos aclarar algunos puntos que consideramos importantes como son, desde si es obligatoria, pasando por quién es el responsable, hasta la videovigilancia.

Una comunidad de propietarios está constituida por el conjunto de propietarios de los diferentes pisos y locales de un edificio en régimen de Propiedad Horizontal, y por tanto sometida a la regulación contenida en la Ley 49/1960, de 21 de julio, sobre Propiedad Horizontal (LHP), además las comunidades de propietarios están sujetas a la normativa de protección de datos, en la medida que realicen un tratamiento de datos de carácter personal.

La Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales aplica como responsables de tratamiento a las comunidades de propietarios, y como encargado del tratamiento al administrador de la finca, en su caso.

Las comunidades de propietarios deben cumplir con la normativa de protección de datos, tal y como recoge la actual normativa de Protección de Datos, ya que estas tratan datos personales de propietarios, inquilinos, copropietarios, empleados (cuando los tienen) e incluso de algunos de sus proveedores.

Pero ¿cómo debe adaptarse a la normativa de protección de datos una comunidad de vecinos?, ¿Quién es el responsable de tratamiento?, ¿y si tienen contratado un administrador de fincas?, ¿es necesario recabar el consentimiento de los propietarios e inquilinos o empleados para el tratamiento de sus datos? En los siguientes puntos daremos respuesta a estas y otras preguntas.

Normativa de protección de datos aplicable a las comunidades de propietarios

Son dos las normativas de protección de datos aplicables a las comunidades de propietarios, si bien ambas están estrechamente relacionadas y mediante el cumplimiento de una, aseguramos el cumplimiento de la otra:

  • El RGPD es el Reglamento General de Protección de Datos europeo, en vigor desde mayo de 2016 y que se aplica desde el 25 de mayo de 2018.
  • Mientras que a nivel nacional tenemos la  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales, que introduce y adapta el RGPD a nuestro ordenamiento jurídico.

De acuerdo a la normativa vigente en protección de datos, las comunidades de propietarios están legitimadas para tratar los datos personales de propietarios, inquilinos y copropietarios con base al cumplimiento de la Ley de Propiedad Horizontal, de manera que no es necesario que presten su consentimiento previo para ello. Respecto al personal que puedan tener contratado, tampoco será necesario recabar dicho consentimiento, puesto que figurará como cláusula en el contrato de trabajo.

¿Quiénes están implicados en el tratamiento de datos personales en una comunidad de propietarios?

La normativa diferencia entre dos figuras implicadas en el tratamiento de datos personales: la comunidad de vecinos y el administrador de fincas.

  • Comunidad de vecinos

Las comunidades de propietarios son entidades jurídicas, formadas por el conjunto de propietarios de un mismo inmueble y que funcionan bajo sus propios estatutos.

Como ya hemos dicho, tienen acceso y tratan datos personales de los propietarios, copropietarios, inquilinos y empleados de la comunidad, lo que convierte a la comunidad de vecinos en la responsable del tratamiento.

En ese sentido, el presidente de la comunidad podrá hacerse cargo de determinadas obligaciones en materia de protección de datos.

  • Administrador de fincas

En muchas ocasiones, las comunidades de propietarios contratan un servicio de administración de fincas, para que se encargue de diferentes tareas relacionadas con la administración de la comunidad.

Para poder llevar a cabo esas tareas, el administrador de fincas debe tener acceso a los datos personales de los vecinos, lo que, de acuerdo al RGPD y la LOPDGDD para comunidades de propietarios, le convierte en el encargado de tratamiento.

Para cumplir con la normativa, entre la comunidad de propietarios y el administrador de fincas debe haberse firmado un contrato en el que debe aparecer la siguiente información:

  • El encargado de tratamiento solo podrá tratar los datos de acuerdo a las instrucciones dadas por el responsable de tratamiento.
  • Los datos no serán comunicados a terceros sin consulta y consentimiento del responsable
  • Medidas de seguridad del encargado.
  • Destino de los datos personales una vez prestado el servicio.
  • Sanciones en caso de incumplir con las condiciones del contrato o ceder datos personales a terceros.

¿Qué obligaciones deben cumplir las comunidades de propietarios?

El RGPD y la LOPDGDD establecen una serie de obligaciones para las comunidades de propietarios, que vamos a detallar a continuación.

Registro de actividades de tratamiento

Tanto el responsable de tratamiento (comunidad de vecinos) como el encargado de tratamiento (administrador de fincas), deben llevar un Registro de Actividades, que no es más que una lista detallada de los tratamientos de datos que se llevan a cabo en la comunidad, por ejemplo, datos identificativos de propietarios e inquilinos, datos de videovigilancia, datos identificativos de empleados, etc.

El registro de actividades de tratamiento es un documento interno, que recoge información relevante sobre los tratamientos de datos personales, y que, aunque no debe enviarse a la AEPD (Agencia Española de Protección de Datos), sí debe estar a disposición de la misma si esta lo requiere.

En el registro de actividades de tratamiento debe contener, al menos, la siguiente información:

  • Datos identificativos del responsable de tratamiento (si existen, también del corresponsable y representante del responsable).
  • Finalidad del tratamiento.
  • Descripción de las categorías de interesados y de los datos personales recogidos.
  • Destinatarios y categorías a los que se vayan a comunicar los datos personales, incluidos otros países o transferencias internacionales.
  • Plazos previstos para la eliminación de los datos.
  • Descripción de las medidas de seguridad a adoptar.

Si se ha contratado un administrador de fincas, en su registro de actividades deben figurar sus datos identificativos.

Secreto en el tratamiento de los datos

La adaptación de las comunidades de propietarios a la LOPDGDD y el RGPD exige un deber de secreto en el tratamiento de los datos, tanto para el responsable como para el encargado. Es decir, comunidad de vecinos y administrador de finca deben mantener la confidencialidad de los datos personales de propietarios, copropietarios, inquilinos y empleados.

Calidad de los datos

La normativa exige que solo se recaben aquellos datos que sean necesarios para el correcto funcionamiento de la comunidad de vecinos, es decir, que no se recojan datos personales que no sean pertinentes, como, por ejemplo, datos relacionados con la salud de los propietarios.

Garantizar el acceso a la información

La Ley también obliga a informar a los propietarios de manera clara e inequívoca sobre:

  • La existencia de los tratamientos de datos personales.
  • Quién es el responsable del tratamiento.
  • Dónde y cómo pueden ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición), de portabilidad y olvido.

Plazo de conservación de los datos

Como hemos visto, en el registro de actividades de tratamiento hay que establecer un plazo para la eliminación de los datos personales. Este plazo de conservación no se concreta ni el RGPD ni en la LOPD, pero debe ser el responsable de tratamiento quien lo establezca en función de la finalidad para la que se han recogido los datos y teniendo en cuenta la posible aplicación de otras leyes al respecto de la conservación de determinada documentación.

En cualquier caso, cuando la finalidad para la que se recogieron los datos personales se ha cumplido, se debe proceder a la supresión de dichos datos o, por lo menos, a su bloqueo.

Contrato con el administrador de fincas

Ya hemos visto que el administrador de fincas debe firmar un contrato de encargo de tratamiento con la comunidad de vecinos, de manera que podrá recabar datos personales de propietarios, copropietarios, inquilinos y posibles empleados con la única finalidad de asesorar y gestionar la comunidad.

El contrato que comunidad de vecinos y administrador de fincas firman, debe incluir los tratamientos de datos a realizar y la finalidad de dicho tratamiento.

¿Necesita la comunidad de propietarios un DPO?

El RGPD introdujo el Delegado de Protección de Datos (DPO) como una figura obligatoria bajo determinadas circunstancias, en el caso de las comunidades de propietarios, estas no están obligadas a contratar un DPO.

Sistemas de videovigilancia en comunidades de propietarios

Sobre la videovigilancia, la ley nos dice que para la instalación de un sistema de este tipo es necesaria la aprobación de la Junta de Propietarios. Las cámaras solo podrán instalarse en zonas comunes de la propiedad y nunca apuntando a la vía pública, el interior de los inmuebles o terrenos colindantes.

Además, se debe avisar mediante cartelería de la presencia de las cámaras y en dicho cartel debe aparecer toda la información pertinente respecto al tratamiento de las imágenes captadas y dónde y cómo ejercer los derechos.

En cuanto al visionado de las imágenes, solo podrá verlas la persona designada por la comunidad de propietarios, sin que puedan estar a disposición de todos los vecinos.

 

Por último, os dejo algunas cuestiones que de manera reiterada nos preguntan:

  • ¿Se pueden comunicar datos de contacto de propietarios a un servicio externo en situaciones de emergencia, o en caso de siniestros (por ejemplo, inundación o rotura de tuberías), sin el consentimiento de los interesados?

Sí, cuando se comunica a un administrador de fincas, encargado de la gestión de la comunidad, un supuesto de este tipo se puede entender que existe un interés legítimo por parte de la comunidad en resolver el siniestro lo más rápido posible con el objeto de evitar daños.

  • ¿Se puede conservar el dato del correo electrónico utilizado por un propietario para comunicar una avería y usarlo para sus relaciones derivadas de la gestión de la comunidad al margen de la avería concreta?

Si la dirección de correo electrónico ha sido proporcionada por el propietario se puede utilizar por el administrador para la gestión de sus relaciones con la comunidad. Cualquier otro uso, como publicidad o marketing, no estaría legitimado.

  • ¿Se pueden realizar comunicaciones a los propietarios por sistemas de mensajería instantánea (WhatsApp)?

Si lo ha facilitado el propietario se podría utilizar en el marco de la gestión de la comunidad sin necesidad de consentimiento. Ahora bien, no se puede utilizar para incluir al propietario en un grupo sin su consentimiento expreso, informado y explícito.

  • ¿Es necesario recabar un nuevo consentimiento con el RGPD? El tratamiento de los datos de los propietarios por la comunidad está basado en el cumplimiento de relaciones jurídicas y obligaciones legales en el marco de la legislación sobre propiedad horizontal, y por el administrador de fincas en el contrato de encargado de tratamiento. Si se llegase a realizar un tratamiento basado en el consentimiento prestado de manera tácita, habría que obtener un consentimiento expreso o valorar si concurriese algunas causas de legitimación contempladas en el artículo 6.1 del RGPD.
  • ¿Se pueden publicar datos de carácter personal en el tablón de avisos de la comunidad de propietarios? Los supuestos en los que se autoriza la exposición de datos de carácter personal relacionados con asuntos derivados de la gestión de la comunidad se precisan en el artículo 9.h) de la LPH. El tablón de avisos no deberá colocarse en un lugar de tránsito fácilmente accesible por cualquier persona.