Administración de fincas y el tratamiento de datos
A raíz de poder revisar el acta de la junta de vecinos (propietarios e inquilinos) de fecha 16 de febrero de 2017; pude observar que entre los gastos ocasionados en ese período constaba un cargo de 84,70 € a una empresa llamada AUDIDAT, dicha empresa es una consultora de protección de datos que da servicio a comunidades de propietarios y administradores de fincas entre otros, sobre temas relacionados con la Ley de Protección de Datos : Inscripción de Ficheros ante la Agencia de Protección de Datos, Identificación de Ficheros, Redacción del Documento de Seguridad etc.
Desconozco quien autorizó ese contrato, y si el actual administrador de la comunidad tiene consentimiento para contratar por cuenta propia sin aprobación de la junta de propietarios ni firma del presidente; ese es otro tema a tratar; lo que si he constatado es la ignorancia de la mayoría de los vecinos a cerca del tratamiento legal que debe darse a sus datos personales en manos de terceras personas.
Es por ello que adjunto el tema sobre la administración de fincas y el tratamiento de los datos personales.
Cuando los administradores de fincas intervienen en la
gestión de los asuntos de las comunidades de propietarios asumen unas funciones
de asesoramiento y consultoría que se extienden también al ámbito de la
protección de los datos que las comunidades manejan. Al mismo tiempo, se da la
circunstancia de que los administradores de fincas que actúan por cuenta de las
comunidades de propietarios desempeñan generalmente el papel de encargados de
tratamiento en relación con los datos de las comunidades.
En mayo de 2016 se publicó el Reglamento General de
Protección de Datos (RGPD) de la Unión Europea, que tendrá efectos a partir de
mayo de 2018 y que introduce cambios sustanciales en la normativa aplicable en
España.
En algunos aspectos, el nuevo Reglamento Europeo
simplemente da continuidad a la legislación actual. Por ejemplo, los
principios, conceptos y derechos de los interesados siguen siendo, en lo
esencial, los mismos.
Pero en otros casos, como es el de las obligaciones de
los responsables y encargados de tratamiento, el Reglamento tiene
importantes novedades.
Algunas de ellas afectarán a los tratamientos
realizados en el ámbito de las comunidades de propietarios como, por ejemplo,
la supresión de la obligación de notificar los ficheros a los registros
públicos de protección de datos. Otras, sin embargo, y dadas las
características de esos tratamientos, no parece que vayan a tener impacto con
carácter general. Eso ocurrirá, por ejemplo, en obligaciones como la de
designar un delegado de protección de datos o realizar evaluaciones de impacto
sobre la protección de datos. Estas medidas las reserva el Reglamento para
entidades que lleven a cabo tratamientos que impliquen un cierto nivel de
riesgo para los derechos y libertades de los titulares de los datos,
circunstancia que no parece darse en los tratamientos habituales en las
comunidades de propietarios.
1. Legitimación para
el tratamiento de datos
Los administradores de fincas realizan múltiples
tratamientos de datos de carácter personal cuando actúan por cuenta de las
comunidades de propietarios. Desde la perspectiva de la normativa de protección
de datos de carácter personal, y como principio de carácter general, están
legitimados para tratar y disponer de los datos de los copropietarios que
resulten necesarios para la gestión ordinaria de los asuntos de la comunidad en
virtud de la relación contractual que les vincula con la comunidad, en los
términos acordados en la misma, y en el marco de la Ley de Propiedad
Horizontal.
2. Identificación de
tratamientos de datos
En su gestión ordinaria, una comunidad de propietarios
puede servirse de diferentes ficheros con
datos de carácter personal con los que realizar diversos tratamientos. El
fichero más usual es el que incorpora información personal de las personas
físicas integrantes de la propia comunidad.
Generalmente, en estos ficheros son objeto de
tratamiento los siguientes datos personales: nombre de los propietarios,
teléfonos de contacto, direcciones postales, números de DNI y direcciones de
correo electrónico. Suele denominarse fichero de “gestión de la comunidad de
propietarios” o “fichero de propietarios”, y la comunidad se sirve de él para
su gestión contable, fiscal y administrativa, asegurando el cumplimiento por
los propietarios de las obligaciones impuestas por la Ley de Propiedad Horizontal (LPH) y el
ejercicio de los derechos que corresponden a los copropietarios en la
comunidad.
Los tratamientos de datos más comunes de las
comunidades de propietarios se realizan con la finalidad de“gestión” de la
comunidad. Ésta se sirve de ellos para diversas funciones legales y contractualmente asumidas,
así como para facilitar el ejercicio de sus derechos a los propios comuneros.
La normativa de protección de datos no impide que la
comunidad de propietarios disponga también de otros datos personales de los
copropietarios, siempre que se refieran a los afectados en su calidad de
copropietarios y que no resulten excesivos para los fines propios de dicha
comunidad.
3. Registro de
actividades de tratamiento
Hasta mayo de 2018, se mantendrá vigente el sistema de
declaración e inscripción de ficheros con datos de carácter personal en el
Registro General de Protección de Datos de la Agencia Española de Protección de
Datos (AEPD). Para realizar la inscripción del fichero y, en su caso, la
posterior modificación o supresión de dicha inscripción, se encuentra
disponible en la sede electrónica de la AEPD el servicio electrónico NOTA. Este
formulario permite la presentación de notificaciones a través de internet de
forma gratuita.
La obligación de notificar corresponde a la propia
comunidad, a través de su presidente que, según dispone el artículo 13.3 de la
LPH, ostenta legalmente su representación en todos los asuntos que la afecten.
No obstante, la notificación puede ser efectuada por el
administrador, actuando en representación del responsable del fichero, esto es,
en nombre de la obligada, que será siempre la propia comunidad.
A partir del 25 de mayo de 2018, con la aplicación
efectiva del Reglamento europeo de protección de datos, desaparecerá la
obligación de notificar la creación de ficheros al Registro General de
Protección de Datos de la AEPD, si bien aparecen un conjunto de medidas de
carácter interno que el responsable y/o el encargado de los tratamientos
deberán impulsar y tener documentadas “a disposición” de la AEPD. Estas medidas
se concretan en el denominado Registro de las actividades de tratamiento.
4. El administrador
de fincas como encargado del tratamiento.
4.1 Responsabilidad
La finalidad de los tratamientos de datos realizados
por las comunidades de propietarios es asegurar el cumplimiento por parte de
éstos de las obligaciones impuestas por la LPH, así como garantizar el adecuado
ejercicio de los derechos que corresponden a los comuneros y a los terceros en
la comunidad.
La condición de responsable del tratamiento recae sobre
la comunidad de propietarios.
Las actividades que el administrador de fincas de una
determinada comunidad de propietarios desarrolla son únicamente las que le
atribuye la LPH. Muchas de estas funciones conllevan el trata miento de datos
de carácter personal de personas físicas identificadas o identificables, que
pueden ser los copropietarios sometidos al régimen de propiedad horizontal,
pero también otros vecinos, no propietarios de la finca administrada, o
terceras personas que pueden verse afectadas por la actuación de la comunidad o
de alguno de los propietarios.
Respecto a si las Comunidades de vecinos se preocupan
más ahora por el tema de la Protección de Datos, el desconocimiento de los
copropietarios de comunidades sobre el asunto de protección de datos sigue
siendo bastante grande.
Evidentemente, los administradores ya incluyen como
partida de gastos los originados por la LOPD, por la cual suelen tener un
acuerdo con empresas que se dedican a la inscripción de ficheros de datos en la
AEPD. Sería un error descomunal que una comunidad que tenga un administrador,
no advierta a los copropietarios que es obligatorio contemplar esta partida,
pudiendo ser sancionada“.
4.2 Encargado del
tratamiento
En el régimen de propiedad horizontal, el administrador
de fincas, que ejerce la administración de una o de varias comunidades por
encargo del responsable, actúa como encargado del tratamiento.
Para que la relación entre la comunidad de propietarios
-responsable- y el administrador -encarga- do del tratamiento- se ajuste a la
normativa de protección de datos es preciso que se cumplan las siguientes condiciones:
- Que el acceso a los datos por el administrador de
fincas se efectúe con la exclusiva finalidad
de prestar un servicio al responsable del fichero, y que dicha relación
de servicios se encuentre contractualmente establecida.
- La relación contractual deberá constar por escrito o
en alguna otra forma que permita acreditar su celebración y contenido.
- Se establecerá expresamente que el administrador de
fincas únicamente tratará los datos conforme a las instrucciones de la
comunidad de propietarios, y que no los aplicará o utilizará con fin distinto
al que figure en dicho contrato, ni los comunicará, ni siquiera para su
conservación, a otras personas.
- El administrador de fincas debe limitarse a emplear
los datos en el ámbito de las funciones de la comunidad de propietarios que le
haya designado.
- Se entiende que el administrador de fincas actúa
conforme a las instrucciones del responsable del tratamiento cuando, en el
ejercicio de sus funciones, trata los datos de los propietarios contenidos en
los ficheros que custodia.
- Al término de su relación, el administrador de fincas
deberá devolver a la comunidad de propietarios todos los soportes y/o
documentos en los que consten datos de carácter personal objeto de tratamientos
de datos.
- No obstante, el administrador podrá conservar,
debidamente bloqueados, los datos personales objeto de tratamiento en tanto
pudieran derivarse responsabilidades de su relación con la comunidad de
propietarios.
Las medidas de seguridad que hayan de ser adoptadas por
los administradores que realicen tratamientos de datos por cuenta de
comunidades serán las mismas que las que sean exigibles al responsable.
- En el supuesto de que el administrador incumpliera
estas obligaciones, destinando los datos a otra finalidad, comunicándolos a
terceras personas o utilizándolos en contra de lo previsto en el contrato,
podrá ser considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
- Para tratar datos de carácter personal de los
copropietarios de una finca en virtud de un encargo de servicios y/o gestiones
diferentes de las comprendidas en la LPH, el administrador de fincas deberá
contar con el consentimiento específico e informado de todos los afectados.
Con la aplicación del Reglamento General de Protección
de Datos (RGPD) el 25 de mayo de 2018:
- Surgen un conjunto de medidas de carácter interno que
el encargado del tratamiento debe impulsar y tener documentadas "a
disposición” de la AEPD. La mayor parte de estas medidas se contienen en el
artículo 30 del RGPD, relativo al denominado “Registro de las actividades de
tratamiento”.
- Estas medidas son obligatorias también para los
administradores, como encargados del tratamiento.
En los supuestos en los que resulte aplicable esta
exigencia, el administrador de fincas, como encargado del tratamiento de datos
personales de una comunidad de propietarios, llevará un registro de todas las
categorías de actividades de tratamiento efectuadas por cuenta de un
responsable que contenga:
a.- El nombre y los datos de contacto del encargado o
encargados y de cada responsable por cuenta del cual actúe el encargado y, en
su caso, de los representantes y del delegado de protección de datos.
b.- Las categorías de tratamientos efectuados por
cuenta de cada responsable; cuando sea posible, una descripción general de las
medidas técnicas y organizativas de seguridad implementadas en relación con los
tipos de tratamientos de datos realizados.
c.- Estos registros constarán por escrito, inclusive en
formato electrónico.
d.- El encargado del tratamiento y, en su caso, su
representante pondrán el registro a disposición de la Agencia Española de
Protección de Datos si ésta lo solicita.
5.- Obligaciones de
los administradores de fincas derivadas de su actividad específica en el ámbito
de las comunidades de propietarios.
Las principales obligaciones establecidas por la
normativa de protección de datos recaen sobre el responsable del fichero, si
bien los administradores de fincas, tanto en el ámbito de su función de
asesoramiento y como encargado del tratamiento, deberán facilitar su
cumplimiento y participar del mismo.
Inscripción de ficheros. La obligación vigente hasta mayo
de 2018 de realizar la inscripción de ficheros y/o de los registros de
tratamientos corresponde a las comunidades de propietarios, si bien el
administrador de fincas debe asesorar a éstas en relación con dicha obligación,
pudiendo actuar -además- como encargado del tratamiento.
Deber de información. Se debe informar a los titulares
de los datos personales. Con carácter general, esta información deberá
ofrecerse en el momento de la recogida de los
datos.
Calidad de los datos. En la realización del
tratamiento de datos, todos los sujetos implicados deben asegurarse de que los
datos personales sean adecuados y veraces, obtenidos lícita y legítimamente, y
tratados de modo proporcional a la finalidad para la que fueron recabados.
Conservación de datos. Como principio general, los
datos personales deberán ser cancela dos cuando hayan dejado de ser necesarios
o pertinentes para la finalidad para la que fueron recabados o registrados.
No obstante, la normativa de protección de datos permite
conservar los datos personales durante el tiempo en que pueda exigirse algún
tipo de responsabilidad derivada de una relación u obligación jurídica; o de la
ejecución de un contrato; o de la aplicación de medidas precontractuales
solicitadas por el interesado. Para ese supuesto deberán bloquearse los da-
tos, que sólo estarán a disposición de las Administraciones públicas, Jueces y
Tribunales, para la atención de las citadas responsabilidades.
El administrador
de fincas sólo podrá conservar los datos personales que sean estrictamente
imprescindibles durante el período de prescripción que marca la normativa
fiscal, contable, social o civil.
Finalizado dicho plazo los datos deberán destruirse.
Sólo podrán conservarse si se disocian previamente o si, con carácter
excepcional, atendidos los valores históricos, estadísticos o científicos de
acuerdo con la legislación específica, se decide el mantenimiento íntegro de
determinados datos.
Deber de secreto. En el tratamiento de datos de carácter personal, se debe
garantizar el cumplimiento del deber de secreto. Este deber, que incumbe a los
responsables de las comunidades y a los administradores que intervengan en
cualquier fase del tratamiento, comporta que no puedan revelar ni dar a conocer
su contenido teniendo el deber de
guardarlos.
La obligación de secreto del administrador subsistirá
aún después de finalizar sus relaciones con la comunidad de propietarios
Cesiones de datos de carácter personal. Se entiende por cesión de datos
de carácter personal toda revelación de datos realizada a favor de una persona
distinta del interesado.
El administrador sólo podrá ceder y/o comunicar los
datos personales de los comuneros a terceras personas si cuenta con el
consentimiento de los afectados, a menos que dicha cesión o comunicación de
datos encuentre amparo legal en los supuestos que, por vía de excepción, se
contienen en la normativa de protección de datos.
En el supuesto de que el administrador ceda los datos
personales de los copropietarios, sin su consentimiento y sin habilitación
normativa, vulneraría los derechos de los afectados, y su actuación podría dar
lugar a un expediente sancionador incoado por la AEPD por infracción grave e,
incluso, muy grave.
En su caso, la sanción a imponer recaería sobre el
responsable -la comunidad de propietarios-, o sobre el encargado del
tratamiento -el administrador de fincas-, o sobre ambos, de- pendiendo de cómo
mantengan regulada su relación y de si disponen de contrato de acceso de datos
por cuenta de terceros o no.
En el tratamiento de los datos de carácter personal se
debe garantizar el cumplimiento de las obligaciones en materia de seguridad.
Todos los agentes implicados en el tratamiento de datos
deberán cumplir con los mandatos derivados de la normativa de protección de
datos y de la legislación sectorial aplicable a la administración de fincas,
con especial atención a las especialidades derivadas del tratamiento de
información personal en este ámbito.
6. Obligaciones en
materia de seguridad en los tratamientos de datos personales de las comunidades
de propietarios
En cuanto a las medidas de seguridad exigibles para la
realización de tratamientos de datos por las comunidades de propietarios y/o
por los administradores que actúen por encargo de éstas, no existen especialidades,
directrices ni normas específicas.
Uno de los problemas que plantea la prestación de
servicios entre el administrador y la comunidad de propietarios es la ubicación
del fichero. La solución más habitual es que el propio administrador de fincas
se encargue de la custodia de esos datos, en su oficina y con sus propios
medios.
En este supuesto, será el administrador quien deberá
implementar las medidas de seguridad adecuadas para el nivel de seguridad que
requiera el fichero.
Las medidas de seguridad a adoptar por el administrador
deben documentarse en el contrato de encargo del tratamiento.
La custodia de los ficheros con datos de carácter
personal pasa así a conformar una de las obligaciones básicas del administrador
de fincas.
Sin embargo, no debe olvidarse que, en caso de que los
ficheros se encuentren ubicados en la oficina profesional del administrador de
fincas, éste no será más que un mero encargado del tratamiento, que limitará su
actividad a la custodia de los datos y al cumplimiento del resto de las
obligaciones que, como tal encargado, le correspondan.
7. Análisis de
supuestos específicos
7.1. Impago de los
recibos de la comunidad por parte de los propietarios
Con carácter general, la publicación en el tablón de
avisos de la finca de la identidad de los propietarios deudores y/o de las cuotas
vencidas e impagadas por éstos a la comunidad no está amparada por la normativa
de protección de datos.
Ahora bien, la Ley de Propiedad Horizontal, en su
objetivo de lograr que las comunidades puedan legítimamente cobrar lo que les
adeudan los copropietarios integrantes de las mismas, brinda la posibilidad de
dar publicidad a través de la convocatoria de la Junta de propietarios de la
identidad de aquellas personas que no se encuentren al corriente en el pago de
todas las deudas vencidas con la comunidad. Esta publicidad conlleva el
conocimiento por todos los copropietarios de
la identidad de los deudores, así como del importe de su deuda, sin que
sea necesario recabar el consentimiento de los
mismos.
A su vez, la LPH establece que, entre las obligaciones
de cada propietario se encuentra la consistente en comunicar a quien ejerza las
funciones de secretario de la comunidad, por cualquier me- dio que permita
tener constancia de su recepción, el domicilio en España a efectos de
citaciones y notificaciones relacionadas con la comunidad. En defecto de esta
comunicación se tendrá por domicilio para citaciones y notificaciones el piso o
local perteneciente a la comunidad, surtiendo plenos efectos jurídicos las
entregadas al ocupante del mismo.
Si intentada una citación o notificación al propietario
fuese imposible practicarla en el lugar pre- venido en el párrafo anterior, se
entenderá realizada mediante la colocación de la comunicación correspondiente
en el tablón de anuncios de la comunidad, o en lugar visible de uso general
habilitado al efecto, con diligencia en la que conste la fecha y motivos por
los que se procede a esta forma de notificación, firmada por quien ejerza las
funciones de secretario de la comunidad, con el visto bueno del presidente. La
notificación practicada de esta forma producirá plenos efectos jurídicos en el
plazo de tres días naturales.
La publicación de la relación de propietarios con
cuotas vencidas y pendientes de pago, mediante comunicación singularizada y
periódica remitida a cada uno de ellos, tampoco encuentra cobertura en la
normativa de protección de datos.
Incluso en el supuesto en el que no se haga mención
expresa a la identificación personal del vecino o vecinos deudores,
significando únicamente el dato relativo a la vivienda, dicha cesión tampoco
resulta conforme con la normativa de protección de datos, ya que dicho dato o
referencia va siempre asociado a la del titular de la vivienda, con lo que no
cabe duda de que se tratará de datos de carácter personal, al referirse a
personas físicas identificables.
No obstante, si la mencionada publicación se realizara
en cumplimiento de un acuerdo expreso adoptado por la Junta de propietarios,
nos encontraremos ante una cesión de datos con consentimiento previo de los
interesados, que en principio no vulneraría la normativa sobre protección de
datos personales.
7.2. Acceso y
obtención de copias de la documentación de la comunidad por parte de los
propietarios de viviendas en régimen de
propiedad horizontal.-
Este tipo de acceso y obtención de copias por parte de
los copropietarios responde a la finalidad de conocer y comprobar la correcta
gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy
variada, tal como ocurre con la relativa a salarios, honorarios profesionales,
facturas y contratos.
En la documentación de la comunidad de propietarios
pueden encontrarse numerosas informaciones que incorporan datos personales,
tales como datos identificativos y de contacto de los propietarios, números de
sus cuentas corrientes, coeficientes de participación, consumos individuales,
ingresos efectuados por los propietarios o deudas que estos mantengan con la
comunidad, sentido del voto en la adopción de acuerdos, etcétera. Igualmente
tendrá dicha consideración cualquier dato personal referido a los empleados que
pudiera tener la comunidad de propietarios, como también la tendrán los datos
relativos a honorarios de profesionales que abone la comunidad.
Por su parte, el artículo 19 de la LPH prevé la
remisión de las actas a los propietarios, señalando en su número segundo las
menciones que deben contener, entre las que figuran diversos tipos de datos de
carácter personal.
Desde la óptica de la protección de los datos
personales, debe señalarse que el hecho de que una norma con rango de ley
formal habilite el tratamiento o cesión de los datos no resulta por sí solo
suficiente para considerar dicho tratamiento o cesión, sin más, como amparados
por la LOPD, siendo además preciso que los mismos resulten conformes a lo
dispuesto en la mencionada Ley Orgánica, y, en particular, a los principios de
proporcionalidad y finalidad.
En consecuencia, la comunicación de datos deberá
limitarse a aquéllos que -en cada caso- resulten “adecuados, pertinentes y no
excesivos” para el cumplimiento de la finalidad que legitima el acceso a los
mismos, que en estos supuestos viene referido al control del buen gobierno de
la comunidad.
Así, a título de ejemplo, no cumple el requisito de
idoneidad la comunicación de los directorios con los datos de domicilio de los
propietarios o sus números de cuenta corriente, ya que en nada contribuyen a la
finalidad de control de la buena administración de la comunidad de
propietarios.
Igualmente, y en lo que se refiere a nóminas de los
empleados de la comunidad, debe tenerse en cuenta que junto con la información
referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal,
la cuenta corriente en que se produzca los pagos e incluso datos especialmente
protegidos referentes a salud o ideología, así como el descuento, en su caso,
de la cuota sindical de los afiliados a un sindicato. Estos datos no resultan
relevantes para la finalidad de control de la gestión de la comunidad de
propietarios, por lo que la exhibición de dichos directorios o de las nóminas
de personal resultará contraria al principio de proporcionalidad y, en
consecuencia, darán lugar a una vulneración de la normativa de protección de
datos, sin perjuicio de que se deba informar a los propietarios de las
retribuciones satisfechas a los empleados, con el adecuado desglose de
conceptos retributivos.
Por otra parte, la finalidad del tratamiento no podrá
ser otra que la que resulte de las previsiones de la LPH, no pudiendo
utilizarse los datos para finalidades distintas de aquellas para las que los
datos hubieran sido recogidos.
En cuanto a la obtención de copias, la LPH ordena en
ocasiones la remisión de determinados documentos, mientras que en su artículo
20 se refiere a custodiar a disposición de los titulares la documentación de la
comunidad.
7.3 Exhibición del
libro de actas de la comunidad de propietarios a entidades financieras
El libro de actas de la Junta de propietarios de una
comunidad en régimen de propiedad horizontal recoge los acuerdos de dicha
Junta, debiendo expresar el acta de cada reunión el contenido a que se refiere
la LPH, dentro del cual figuran los datos de identificación de los correspondientes
propietarios, y el piso en el que viven, correspondiendo la custodia de dichos
libros de actas al administrador.
Se plantea, entonces, si es conforme con la normativa
de protección de datos que la representación legal de la comunidad deba exhibir
el libro de actas ante una entidad bancaria para formalizar la apertura de una
cuenta corriente o para el cambio anual de firmas de los cargos de la
comunidad.
Lógicamente, la apertura y desenvolvimiento de una
cuenta corriente con la entidad financiera provoca la necesidad de que ésta
tenga conocimiento de los datos de identificación de quien asume esa
representación legal y de los cambios que se produzcan anualmente (o cuando
fueren removidos de su cargo antes de este período), así como de los datos
personales de aquellos cargos de la comunidad a los que el presidente otorgue
la facultad de firma, independiente o conjunta, para las operaciones referidas
a dicha cuenta.
Ahora bien, tales datos le pueden ser comunicados
mediante la correspondiente certificación expedida por el administrador de la
comunidad de propietarios u otro documento de apoderamiento legal, de cuya
exactitud y veracidad responderán dichos órganos de gobierno ante la entidad
financiera.
Comentarios
Publicar un comentario