A raíz de la publicación por parte de la Agencia de Protección de Datos de la guía sectorial para administradores de fincas, hemos creído oportuno hacer un resumen de las obligaciones que establece la normativa a las comunidades de propietarios y que implicaciones tiene para los administradores de fincas.
Una de las normativas que resulta más difícil de aplicar a las empresas es la que hace referencia a la Protección de Datos por su complejidad y por las diferentes implicaciones legales y técnico-organizativas que se deben tener en cuenta a la hora de implementarla.
Esta normativa, que establece altas sanciones a las empresas que la incumplan, también afecta a las comunidades de propietarios debido a la gestión de datos de carácter personal que pueden tratar en la gestión de la comunidad.
Además, cuando los administradores de fincas intervienen en la gestión de los asuntos de las comunidades de propietarios asumen unas funciones de asesoramiento y consultoría que se extienden al ámbito de la protección de datos de las comunidades que manejan. Este doble papel de los administradores de fincas implica para ellos una serie de obligaciones en su papel de encargados de tratamiento respecto a los datos de las comunidades que gestionan.
INSPECCIONES / SANCIONES
La Agencia Española de Protección de Datos es la encargada de velar por el cumplimiento de la normativa teniendo potestad para inspeccionar y sancionar ya sea por denuncia de un ciudadano o de oficio. Las sanciones van desde los 900€ a les 600.000€ según el nivel de gravedad de la infracción.
Con el nuevo reglamento europeo (RGPD) se prevén sanciones que podrán llegar hasta los 20 millones de euros o un 4% de la facturación de la empresa.
EL NUEVO REGLAMENTO EUROPEO
Con la aprobación en mayo del 2016 del Reglamento General de Protección de Datos (RGPD) de aplicación a todos los estados miembros en 2018, se establecen nuevos requisitos en dicha materia para ofrecer más garantías a los ciudadanos en el tratamiento de sus datos personales por parte de las empresas.
Las medidas mencionadas en este documento se remiten a la normativa de protección de datos vigente en nuestro país (LOPD), sin embargo, a partir de mayo de 2018 se introducirán cambios sustanciales en la normativa española. En algunos aspectos como los principios, conceptos y derechos de los interesados, el RGPD dará continuidad a la legislación actual, pero en otros aspectos como las obligaciones de los responsables y encargados de tratamiento habrá importantes novedades.
Algunas de ellas afectaran a los tratamientos realizados en el ámbito de las comunidades de propietarios como, por ejemplo, la supresión de la obligación de notificar los ficheros a los registros públicos de protección de datos. Otras, sin embargo, como la designación de un delegado de protección de datos o la realización de evaluaciones de impacto sobre la protección de datos, no tendrán repercusión en las comunidades de propietarios.
Por el momento, será preciso esperar a las reformas legales que serán necesarias para facilitar la aplicación del Reglamento en España para poder ofrecer indicaciones concretas sobre el cumplimiento.
OBLIGACIONES DE LA COMUNIDAD DE PROPIETARIOS
Estas son las obligaciones que deberán cumplir las comunidades de propietarios respecto la normativa de protección de datos.
– Notificación de un fichero denominado ‘gestión de la comunidad de propietarios’ a la Agencia de Protección de Datos. Si, además, la comunidad tuviera algún trabajador a su cargo (limpieza, jardín, mantenimiento, etc.) también sería necesario notificar un fichero de ‘trabajadores’ y si hay cámaras instaladas grabando imágenes, otro llamado ‘video vigilancia de la comunidad’.
NOTA: Esta inscripción se realiza siempre a nivel de CIF, por lo que si la comunidad y el parking tienen diferentes razones sociales cada una tendrá que notificar el correspondiente fichero.
– Regular mediante contrato los posibles encargados de tratamiento de la comunidad de propietarios. El caso más claro, es el del administrador de fincas, que en el régimen de propiedad horizontal ejerce la administración de una o varias comunidades por encargo del responsable, actuando como encargado de tratamiento. Este contrato entre la comunidad y el administrador de fincas deberá tener un contenido mínimo según el artículo 12 de la LOPD.
– Disponer de un documento de seguridad actualizado con el contenido mínimo que exige la normativa (usuarios de la comunidad, sistema de gestión, protocolos, etc.) a disposición de la Agencia en caso de que lo pidiera. Lo podrá custodiar el presidente de la comunidad o el administrador de fincas.
– En caso de que la comunidad tuviera página web, sería necesario también, incluir los avisos legales correspondientes respecto la LOPD y LSSICE.
– Disponer de los correspondientes compromisos de confidencialidad firmados por parte de los cargos de la comunidad (presidente, vicepresidente, etc) y de los trabajadores (si existen).
– Inclusión de cláusulas de información y consentimiento a incluir en documentos corporativos (esto no será habitual en comunidades de propietarios).
– Si disponen de un sistema de videocámaras se deberá colgar el cartel informativo homologado por la AEPD informando a los afectados sobre la grabación de imágenes.
– Aplicación de las medidas de seguridad que establece el reglamento (RD1720/2007).
Debido a la rotación de cargos en la comunidad, es importante hacer una revisión anual de la documentación correspondiente para tenerla al día y actualizar posibles cambios en los ficheros notificados (nuevos ficheros, cambio de administrador, etc.).
OBLIGACIONES DEL ADMINISTRADOR DE FINCAS
Si la comunidad de propietarios tiene delegada la gestión de la protección de datos en el administrador de fincas, será este quien deberá gestionar el cumplimiento de los requisitos en su papel de encargado de tratamiento respecto la comunidad.
Así, el administrador realizará por ejemplo la notificación del fichero actuando en representación del responsable de fichero, esto es, en nombre de la obligada, que será siempre la propia comunidad.
Además, el administrador de fincas deberá cumplir con principios como el deber de información, calidad de los datos, conservación de los datos, deber de secreto, regulación de cesiones de datos.
En cuanto a las medidas de seguridad exigibles y el documento de seguridad, la solución más habitual es que el propio administrador se encargue de la custodia de esos datos, en su oficina y con sus propios medios poniendo a disposición de la comunidad la documentación correspondiente siempre que lo requiera.
SUPUESTOS ESPECIFICOS PUBLICADOS EN LA ULTIMA GUIA DE LA AEPD
a) Impago de recibos de la comunidad por parte de los propietarios.
Con carácter general, la publicación en el tablón de avisos de la comunidad de una relación de propietarios que no se encuentran al corriente de pago de sus cuotas, no está amparada por la normativa de protección de datos.
Ahora bien, la LPH permite publicitar la identidad de los deudores y de sus deudas con la comunidad, incorporando dichos datos a la convocatoria de junta.
Excepcionalmente, cuando no exista constancia del domicilio de algún propietario, se podrá publicar en el tablón de anuncios de la comunidad – u otro lugar visible – la convocatoria de junta con una mención a los motivos de dicha publicación.
b) Acceso y obtención de copias de la documentación de la comunidad por parte de los propietarios de viviendas en régimen de PH.
El articulo 20 e) de la LPH establece que corresponde al administrador actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad. Este artículo debe ser interpretado de conformidad con la LOPD, de modo que no permite un acceso generalizado a toda la documentación obrante en los archivos de la comunidad que pueda contener datos personales, sino solamente aquellos datos que sean estrictamente pertinentes, adecuados y no excesivos para la finalidad perseguida.
En el caso que se considerase oportuno facilitar copia de la documentación, con las limitaciones derivadas de la aplicación de la normativa de protección de datos, deberán adoptarse las debidas medidas de seguridad y, especialmente, las relativas a la gestión y salida de soportes y documentos, y traslado de documentación.
c) Exhibición del libro de actas de la comunidad de propietarios a entidades financieras.
La certificación expedida por el administrador será documento suficiente para formalizar ante la entidad financiera la apertura de una cuenta corriente o para el cambio anual de firmas de los cargos de la comunidad.
d) Video vigilancia en comunidades de propietarios.
Legitimación: Para la instalación de cámaras en zonas comunes será necesario el acuerdo de la Junta de propietarios que quedará reflejado en las actas de dicha Junta. Se recomienda que en el acuerdo se reflejen algunas de las características del sistema de video vigilancia, así como el número de cámaras o el espacio captado por las mismas.
Fichero: Siempre que vayan a grabarse imágenes de personas se procederá a la inscripción del fichero en el Registro General de Protección de Datos de la AEPD (obligatorio hasta mayo 2018).
Deber de información: Se instalarán en los distintos accesos a la zona video vigilada y en un lugar visible uno o varios carteles de información indicando el responsable de la instalación y ante quién y dónde dirigirse en caso de querer ejercer los derechos que prevé la LOPD.
Instalación: Las cámaras solo podrán captar imágenes de las zonas comunes de la comunidad. No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble. La contratación de un servicio de video vigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.
Monitores y visualización: El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios. En ningún caso resultaran accesibles a los vecinos mediante canal de televisión comunitaria.
Sistema de grabación: A las imágenes grabadas accederá solo el personal autorizado. Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.
Esperamos que este resumen os haya sido de utilidad y recordad que en PymeLegal ofrecemos el servicio de adaptación a la LOPD para comunidades de propietarios y disponemos de la plataforma en modalidad partner para administradores de fincas. Si queréis ampliar información contactad con nosotros.
El equipo de PymeLegal.