La comunidad de propietarios es responsable del cumplimiento de la Ley de Protección de Datos (LOPD) al tratar datos personales de los propietarios. Debe inscribir sus ficheros en la Agencia Española de Protección de Datos, contar con un Documento de Seguridad, y puede designar a un administrador de fincas como encargado del tratamiento mediante un contrato. La comunidad debe obtener el consentimiento de los propietarios para ceder sus datos a terceros con fines distintos a los administrativos. Los administradores de fincas
1. LOPD EN LAS COMUNIDADES DE PROPIETARIOS
30 diciembre de 2013| Audidat Alcalá
En más de una ocasión te habrá pasado lo siguiente:
Entrar en un edificio y ver en la vitrina de la comunidad un papel donde se incluye el
nombre de algún vecino, acompañado de su DNI, piso, número, puerta y, en su caso, la
deuda que pueda tener contraída con la comunidad.
También te habrás fijado en que, en la mayor parte de estos casos, el vecino se queja
amargamente al presidente o administrador, insistiendo que él tiene todos los pagos al
día.
Pero, ¿a que no has oído nunca a nadie protestar por el hecho de que aparezcan
publicados en la vitrina sus datos personales?
Pues debes saber que los listados de propietarios (con sus nombres, teléfonos,
direcciones, etc.) deben ser considerados como ficheros de datos de carácter personal y,
por tanto, a los que les afectan las disposiciones de la LOPD.
En este informe intentaremos poner de manifiesto la importancia que tiene, para las
comunidades de propietarios, conocer las obligaciones que les afectan en materia de
protección de datos, así como su cumplimiento.
Antes de analizar las obligaciones que afectan a las comunidades de propietarios, hay
que empezar comentando que, en éstas, nos podemos encontrar con dos posibilidades en
relación a su gestión:
- Comunidades que cuentan con un Administrador de fincas para gestionar ésta
- Comunidades que no cuentan con Administrador de finca
Eugenio Rubio AUDIDAT
1
2. Cualquiera que sea el caso en tu comunidad, los requisitos formales son los mismos
(con alguna pequeña diferencia).
Pero lo importante es que, en ambos casos, la
“responsable de los ficheros” será la comunidad
de propietarios y, por tanto, la principal obligada
a cumplir íntegramente la legislación en materia de
Protección de Datos.
También es importante, para no generar
confusiones terminológicas, aclarar dos conceptos:
responsable del tratamiento y encargado del
tratamiento.
El artículo 3 LOPD define al Responsable del Fichero como:
La persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
El citado artículo 3 de la LOPD también al Encargado del Tratamiento como:
La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo
que sólo o conjuntamente con otros, trate datos personales por cuenta del responsable
del fichero.
Comunidades sin Administrador de fincas
En este caso, corre a cargo de la comunidad el cumplimiento de todas las obligaciones y
formalidades relativas al cumplimiento de la LOPD.
Eugenio Rubio AUDIDAT
2
3. Comunidades con Administrador de fincas
En estos casos, el Administrador suele tener el papel de “encargado del tratamiento”
por cuenta del responsable del tratamiento (la comunidad) y así debe constar.
Esta relación debe figurar en un contrato (con independencia del contrato mercantil de
prestación de servicios), conforme al artículo 12 de la LOPD:
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando
dicho acceso sea necesario para la prestación de un servicio al responsable del
tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un
contrato que deberá constar por escrito o en alguna otra forma que permita acreditar
su celebración y contenido, estableciéndose expresamente que el encargado del
tratamiento únicamente tratará los datos conforme a las instrucciones del responsable
del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho
contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el
artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán
ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier
soporte o documentos en que conste algún dato de carácter personal objeto del
tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado
también responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
Eugenio Rubio AUDIDAT
3
4. Se tr
rata de un aspecto f
n
fundamental y priorita
ario de car a obten una cor
ra
ner
rrecta
adecu
uación a l Ley, delimitar resp
la
ponsabilida
ades y evit posibles sanciones por
tar
s
s
actua
aciones de t
terceros.
Tamb
bién es con
nveniente qu los datos del Admi
ue
inistrador fi
iguren com dirección para
mo
n
los “
“derechos d oposición acceso, re
de
n,
ectificación y cancelac
n
ción”.
Ob
bligac
ciones de la comu ad
s
a
unida
La co
omunidad d propietar como re
de
rios
esponsable del fichero tiene que c
o
cumplir una serie
a
de m
medidas orga
anizativas y técnicas en materia de Protección de Datos c
n
e
n
como son:
1. In
nscribir los ficheros en la Agencia Española de Protección de Da
n
a
atos.
Los ficheros má habituale que nos p
ás
es
podemos encontrar en l comunid
las
dades son:
-
Propietarios
P
s
-
Nóminas
N
-
Morosos
M
-
Vídeo vigila
V
ancia
2. Co
ontar con u Docume
un
ento de Seguridad, con las medid técnicas y
n
das
s
orga
anizativas q se aplic
que
can, para ga
arantizar la integrida y buen u de los datos
ad
uso
personales facil
litados.
Más información sobre Doc
cumento de Seguridad aquí.
e
En este punto, u de las p
una
principales c
cuestiones que se plant es si la comunidad debe
q
tea
d
conta con el co
ar
onsentimien expreso de los cop
nto
o
propietarios para el tra
s
atamiento de sus
d
datos conforme a lo dispue en el ar
s,
e
esto
rtículo 6.1 LOPD:
L
El tr
tratamiento de los da
datos de ca
arácter per
rsonal requ
uerirá del consentim
miento
inequ
uívoco del a
afectado, sa que la Ley dispong otra cos
alvo
ga
sa.
Sin e
embargo, esto no sign
nifica que c
cada uno de los copro
opietarios te
enga que dar su
d
consentimiento expreso, pu
uesto que se exime de ello cuand los datos que se rec
e
do
s
caben
“se r
refieran a las partes de una rel
lación nego
ocial, labor o admin
ral
nistrativa y sean
nece
esarios para su manten
a
nimiento o c
cumplimien
nto” (artícu 6.2 LOP
ulo
PD).
Sin embargo, sí es reco
omendable que se incluya en los comu
i
n
unicados de la
d
comu
unidad, un cláusula informativ de acuer con el a
na
va
rdo
artículo 5 L
LOPD.
Euge
enio Rubio AUDIDAT
T
4
5. Cesión de datos
En relación con la utilización de los datos personales para actividades comerciales de
empresas que trabajan con la comunidad, éste es, en principio, un uso de los datos para
una finalidad distinta para la que fueron recogidos.
Este tipo de servicios requieren, por tanto, el consentimiento inequívoco y la previa
información por parte del responsable de la cesión, finalidad a la que los mismos se
destinan, la naturaleza de los datos, y el nombre y dirección del cesionario.
Sería el supuesto en el que, por ejemplo, la comunidad realice arreglos en zonas
comunes y, para ello, contrata a una empresa externa a la que tiene que ceder
determinados datos necesarios.
Esta situación supondría el incumplimiento de una obligación extraída del artículo 11 y
27 LOPD, y en consecuencia una sanción económica que podría llegar a los 601.012€,
por estar tipificada como infracción muy grave.
Obligaciones del Administrador de fincas
Como ya hemos comentado, suele tener el papel de “encargado del tratamiento”.
Sus obligaciones son las que se derivan del ya comentado artículo 12 LOPD:
- Regulación del servicio mediante contrato
- Deber de custodia y conservación
- Adopción de medidas técnicas y organizativas para asegurar el cumplimiento
de la LOPD
- Deber de secreto y confidencialidad
- Devolver o destruir los datos una vez finalizada la prestación del servicio, así
como bloquear aquellos que hayan sido necesarios a efectos fiscales durante un
periodo de cuatro años, transcurridos los cuales, se podrá proceder a la supresión
Eugenio Rubio AUDIDAT
5
6. Datos de morosos
En principio, no supone infracción por parte de la comunidad, crear un fichero de
deudores, puesto que no es necesario el consentimiento del afectado, tanto para la
recogida del dato, como para su tratamiento, siempre y cuando cumplan una serie de
requisitos:
- Los datos recabados o manejados deben ser adecuados, pertinentes y no
excesivos en relación a la finalidad de los mismos (principio de calidad de los
datos, artículo 4 LOPD).
- La deuda ha de ser cierta y veraz
- Todas las personas que se encuentren en un fichero de este tipo tienen
reconocidos los derechos de acceso, rectificación y cancelación. De este modo,
cualquiera de estas personas puede enviar una solicitud al responsable del
tratamiento para solicitar la cancelación o rectificación de ciertos datos por
considerarlos erróneos o porque no se encuentran actualizados. Dicha solicitud
ha de ser contestada en un plazo de cinco días por el responsable del fichero
Eugenio Rubio AUDIDAT
6
7.
Por último, es importante destacar que la AEPD, considera que una comunidad de
propietarios tiene Nivel Básico, así figura en el formulario NOTA, dentro de los tipos
predefinidos. Pero si, por ejemplo, hay datos de una señora de la limpieza, un portero,
jardinero, mentenimiento, etc., o existen ciertos problemas en los pagos de los recibos
de comunidad, se recomienda el Nivel Medio
Eugenio Rubio AUDIDAT
7