Administración de fincas y el tratamiento de datos

A raíz de poder revisar el acta de la junta de vecinos (propietarios e inquilinos) de fecha 16 de febrero de 2017; pude observar que entre los gastos ocasionados en ese período constaba un cargo de 84,70 € a una empresa llamada AUDIDAT, dicha empresa es una consultora de protección de datos que da servicio a comunidades de propietarios y administradores de fincas entre otros, sobre temas relacionados con la Ley de Protección de Datos : Inscripción de Ficheros ante la Agencia de Protección de Datos, Identificación de Ficheros, Redacción del Documento de Seguridad etc.

Desconozco quien autorizó ese contrato, y si el actual administrador de la comunidad tiene consentimiento para contratar por cuenta propia sin aprobación de la junta de propietarios ni firma del  presidente; ese es otro tema a tratar; lo que si he constatado es la ignorancia de la mayoría de los vecinos a cerca del tratamiento legal que debe darse a sus datos personales en manos de terceras personas.

Es por ello que adjunto el tema sobre la administración de fincas y el tratamiento de los datos personales.

Cuando los administradores de fincas intervienen en la gestión de los asuntos de las comunidades de propietarios asumen unas funciones de asesoramiento y consultoría que se extienden también al ámbito de la protección de los datos que las comunidades manejan. Al mismo tiempo, se da la circunstancia de que los administradores de fincas que actúan por cuenta de las comunidades de propietarios desempeñan generalmente el papel de encargados de tratamiento en relación con los datos de las comunidades.

En mayo de 2016 se publicó el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que tendrá efectos a partir de mayo de 2018 y que introduce cambios sustanciales en la normativa aplicable en España.
En algunos aspectos, el nuevo Reglamento Europeo simplemente da continuidad a la legislación actual. Por ejemplo, los principios, conceptos y derechos de los interesados siguen siendo, en lo esencial, los mismos.
Pero en otros casos, como es el de las obligaciones de los responsables y encargados de tratamiento, el Reglamento tiene importantes  novedades.

Algunas de ellas afectarán a los tratamientos realizados en el ámbito de las comunidades de propietarios como, por ejemplo, la supresión de la obligación de notificar los ficheros a los registros públicos de protección de datos. Otras, sin embargo, y dadas las características de esos tratamientos, no parece que vayan a tener impacto con carácter general. Eso ocurrirá, por ejemplo, en obligaciones como la de designar un delegado de protección de datos o realizar evaluaciones de impacto sobre la protección de datos. Estas medidas las reserva el Reglamento para entidades que lleven a cabo tratamientos que impliquen un cierto nivel de riesgo para los derechos y libertades de los titulares de los datos, circunstancia que no parece darse en los tratamientos habituales en las comunidades de propietarios.

1. Legitimación para el tratamiento de datos
Los administradores de fincas realizan múltiples tratamientos de datos de carácter personal cuando actúan por cuenta de las comunidades de propietarios. Desde la perspectiva de la normativa de protección de datos de carácter personal, y como principio de carácter general, están legitimados para tratar y disponer de los datos de los copropietarios que resulten necesarios para la gestión ordinaria de los asuntos de la comunidad en virtud de la relación contractual que les vincula con la comunidad, en los términos acordados en la misma, y en el marco de la Ley de Propiedad Horizontal.

2. Identificación de tratamientos de datos
En su gestión ordinaria, una comunidad de propietarios puede servirse de diferentes  ficheros con datos de carácter personal con los que realizar diversos tratamientos. El fichero más usual es el que incorpora información personal de las personas físicas integrantes de la propia comunidad.

Generalmente, en estos ficheros son objeto de tratamiento los siguientes datos personales: nombre de los propietarios, teléfonos de contacto, direcciones postales, números de DNI y direcciones de correo electrónico. Suele denominarse fichero de “gestión de la comunidad de propietarios” o “fichero de propietarios”, y la comunidad se sirve de él para su gestión contable, fiscal y administrativa, asegurando el cumplimiento por los propietarios de las obligaciones impuestas por la   Ley de Propiedad Horizontal (LPH) y el ejercicio de los derechos que corresponden a los copropietarios en la comunidad.
Los tratamientos de datos más comunes de las comunidades de propietarios se realizan con la finalidad de“gestión” de la comunidad. Ésta se sirve de ellos para diversas funciones legales y contractualmente asumidas, así como para facilitar el ejercicio de sus derechos a los propios comuneros.
La normativa de protección de datos no impide que la comunidad de propietarios disponga también de otros datos personales de los copropietarios, siempre que se refieran a los afectados en su calidad de copropietarios y que no resulten excesivos para los fines propios de dicha comunidad.

3. Registro de actividades de tratamiento
Hasta mayo de 2018, se mantendrá vigente el sistema de declaración e inscripción de ficheros con datos de carácter personal en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD). Para realizar la inscripción del fichero y, en su caso, la posterior modificación o supresión de dicha inscripción, se encuentra disponible en la sede electrónica de la AEPD el servicio electrónico NOTA. Este formulario permite la presentación de notificaciones a través de internet de forma gratuita.

La obligación de notificar corresponde a la propia comunidad, a través de su presidente que, según dispone el artículo 13.3 de la LPH, ostenta legalmente su representación en todos los asuntos que la afecten.
No obstante, la notificación puede ser efectuada por el administrador, actuando en representación del responsable del fichero, esto es, en nombre de la obligada, que será siempre la propia comunidad.
A partir del 25 de mayo de 2018, con la aplicación efectiva del Reglamento europeo de protección de datos, desaparecerá la obligación de notificar la creación de ficheros al Registro General de Protección de Datos de la AEPD, si bien aparecen un conjunto de medidas de carácter interno que el responsable y/o el encargado de los tratamientos deberán impulsar y tener documentadas “a disposición” de la AEPD. Estas medidas se concretan en el denominado Registro de las actividades de tratamiento.

4. El administrador de fincas como encargado del tratamiento.
4.1 Responsabilidad
La finalidad de los tratamientos de datos realizados por las comunidades de propietarios es asegurar el cumplimiento por parte de éstos de las obligaciones impuestas por la LPH, así como garantizar el adecuado ejercicio de los derechos que corresponden a los comuneros y a los terceros en la comunidad.
La condición de responsable del tratamiento recae sobre la comunidad de propietarios.
Las actividades que el administrador de fincas de una determinada comunidad de propietarios desarrolla son únicamente las que le atribuye la LPH. Muchas de estas funciones conllevan el trata miento de datos de carácter personal de personas físicas identificadas o identificables, que pueden ser los copropietarios sometidos al régimen de propiedad horizontal, pero también otros vecinos, no propietarios de la finca administrada, o terceras personas que pueden verse afectadas por la actuación de la comunidad o de alguno de los propietarios.
Respecto a si las Comunidades de vecinos se preocupan más ahora por el tema de la Protección de Datos, el desconocimiento de los copropietarios de comunidades sobre el asunto de protección de datos sigue siendo bastante grande.

Evidentemente, los administradores ya incluyen como partida de gastos los originados por la LOPD, por la cual suelen tener un acuerdo con empresas que se dedican a la inscripción de ficheros de datos en la AEPD. Sería un error descomunal que una comunidad que tenga un administrador, no advierta a los copropietarios que es obligatorio contemplar esta partida, pudiendo ser sancionada“.

4.2 Encargado del tratamiento
En el régimen de propiedad horizontal, el administrador de fincas, que ejerce la administración de una o de varias comunidades por encargo del responsable, actúa como encargado del tratamiento.
Para que la relación entre la comunidad de propietarios -responsable- y el administrador -encarga- do del tratamiento- se ajuste a la normativa de protección de datos es preciso que se cumplan las siguientes  condiciones:

- Que el acceso a los datos por el administrador de fincas se efectúe con la exclusiva finalidad   de prestar un servicio al responsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida.

- La relación contractual deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

- Se establecerá expresamente que el administrador de fincas únicamente tratará los datos conforme a las instrucciones de la comunidad de propietarios, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

- El administrador de fincas debe limitarse a emplear los datos en el ámbito de las funciones de la comunidad de propietarios que le haya designado.

- Se entiende que el administrador de fincas actúa conforme a las instrucciones del responsable del tratamiento cuando, en el ejercicio de sus funciones, trata los datos de los propietarios contenidos en los ficheros que  custodia.

- Al término de su relación, el administrador de fincas deberá devolver a la comunidad de propietarios todos los soportes y/o documentos en los que consten datos de carácter personal objeto de tratamientos de datos.

- No obstante, el administrador podrá conservar, debidamente bloqueados, los datos personales objeto de tratamiento en tanto pudieran derivarse responsabilidades de su relación con la comunidad de propietarios.
Las medidas de seguridad que hayan de ser adoptadas por los administradores que realicen tratamientos de datos por cuenta de comunidades serán las mismas que las que sean exigibles al responsable.

- En el supuesto de que el administrador incumpliera estas obligaciones, destinando los datos a otra finalidad, comunicándolos a terceras personas o utilizándolos en contra de lo previsto en el contrato, podrá ser considerado responsable del tratamiento, respondiendo  de las infracciones en que hubiera incurrido  personalmente.

- Para tratar datos de carácter personal de los copropietarios de una finca en virtud de un encargo de servicios y/o gestiones diferentes de las comprendidas en la LPH, el administrador de fincas deberá contar con el consentimiento específico e informado de todos los afectados.
Con la aplicación del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018:

- Surgen un conjunto de medidas de carácter interno que el encargado del tratamiento debe impulsar y tener documentadas "a disposición” de la AEPD. La mayor parte de estas medidas se contienen en el artículo 30 del RGPD, relativo al denominado “Registro de las actividades de tratamiento”.

- Estas medidas son obligatorias también para los administradores, como encargados del tratamiento.

En los supuestos en los que resulte aplicable esta exigencia, el administrador de fincas, como encargado del tratamiento de datos personales de una comunidad de propietarios, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a.- El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, de los representantes y del delegado de protección de  datos.

b.- Las categorías de tratamientos efectuados por cuenta de cada responsable; cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad implementadas en relación con los tipos de tratamientos de datos realizados.

c.- Estos registros constarán por escrito, inclusive en formato electrónico.

d.- El encargado del tratamiento y, en su caso, su representante pondrán el registro a disposición de la Agencia Española de Protección de Datos si ésta lo solicita.

5.- Obligaciones de los administradores de fincas derivadas de su actividad específica en el ámbito de las comunidades de propietarios.
Las principales obligaciones establecidas por la normativa de protección de datos recaen sobre el responsable del fichero, si bien los administradores de fincas, tanto en el ámbito de su función de asesoramiento y como encargado del tratamiento, deberán facilitar su cumplimiento y participar del mismo.

Inscripción de ficheros. La obligación vigente hasta mayo de 2018 de realizar la inscripción de ficheros y/o de los registros de tratamientos corresponde a las comunidades de propietarios, si bien el administrador de fincas debe asesorar a éstas en relación con dicha obligación, pudiendo actuar -además- como encargado del tratamiento.

Deber de información. Se debe informar a los titulares de los datos personales. Con carácter general, esta información deberá ofrecerse en el momento de la recogida de los  datos.

Calidad de los datos. En la realización del tratamiento de datos, todos los sujetos implicados deben asegurarse de que los datos personales sean adecuados y veraces, obtenidos lícita y legítimamente, y tratados de modo proporcional a la finalidad para la que fueron  recabados.

Conservación de datos. Como principio general, los datos personales deberán ser cancela dos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados o registrados.
No obstante, la normativa de protección de datos permite conservar los datos personales durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica; o de la ejecución de un contrato; o de la aplicación de medidas precontractuales solicitadas por el interesado. Para ese supuesto deberán bloquearse los da- tos, que sólo estarán a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las citadas responsabilidades. 

El administrador de fincas sólo podrá conservar los datos personales que sean estrictamente imprescindibles durante el período de prescripción que marca la normativa fiscal, contable, social o  civil.
Finalizado dicho plazo los datos deberán destruirse. Sólo podrán conservarse si se disocian previamente o si, con carácter excepcional, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decide el mantenimiento íntegro de determinados datos.

Deber de secreto. En el tratamiento de datos de carácter personal, se debe garantizar el cumplimiento del deber de secreto. Este deber, que incumbe a los responsables de las comunidades y a los administradores que intervengan en cualquier fase del tratamiento, comporta que no puedan revelar ni dar a conocer su contenido teniendo el deber de   guardarlos.

La obligación de secreto del administrador subsistirá aún después de finalizar sus relaciones con la comunidad de propietarios

Cesiones de datos de carácter personal. Se entiende por cesión de datos de carácter personal toda revelación de datos realizada a favor de una persona distinta del  interesado.

El administrador sólo podrá ceder y/o comunicar los datos personales de los comuneros a terceras personas si cuenta con el consentimiento de los afectados, a menos que dicha cesión o comunicación de datos encuentre amparo legal en los supuestos que, por vía de excepción, se contienen en la normativa de protección de datos.

En el supuesto de que el administrador ceda los datos personales de los copropietarios, sin su consentimiento y sin habilitación normativa, vulneraría los derechos de los afectados, y su actuación podría dar lugar a un expediente sancionador incoado por la AEPD por infracción grave e, incluso, muy grave.

En su caso, la sanción a imponer recaería sobre el responsable -la comunidad de propietarios-, o sobre el encargado del tratamiento -el administrador de fincas-, o sobre ambos, de- pendiendo de cómo mantengan regulada su relación y de si disponen de contrato de acceso de datos por cuenta de terceros o no.

En el tratamiento de los datos de carácter personal se debe garantizar el cumplimiento de las obligaciones en materia de seguridad.
Todos los agentes implicados en el tratamiento de datos deberán cumplir con los mandatos derivados de la normativa de protección de datos y de la legislación sectorial aplicable a la administración de fincas, con especial atención a las especialidades derivadas del tratamiento de información personal en este ámbito.

6. Obligaciones en materia de seguridad en los tratamientos de datos personales de las comunidades de propietarios
En cuanto a las medidas de seguridad exigibles para la realización de tratamientos de datos por las comunidades de propietarios y/o por los administradores que actúen por encargo de éstas, no existen especialidades, directrices ni normas específicas.
Uno de los problemas que plantea la prestación de servicios entre el administrador y la comunidad de propietarios es la ubicación del fichero. La solución más habitual es que el propio administrador de fincas se encargue de la custodia de esos datos, en su oficina y con sus propios medios.

En este supuesto, será el administrador quien deberá implementar las medidas de seguridad adecuadas para el nivel de seguridad que requiera el  fichero.
Las medidas de seguridad a adoptar por el administrador deben documentarse en el contrato de encargo del tratamiento.
La custodia de los ficheros con datos de carácter personal pasa así a conformar una de las obligaciones básicas del administrador de fincas.

Sin embargo, no debe olvidarse que, en caso de que los ficheros se encuentren ubicados en la oficina profesional del administrador de fincas, éste no será más que un mero encargado del tratamiento, que limitará su actividad a la custodia de los datos y al cumplimiento del resto de las obligaciones que, como tal encargado, le correspondan.

7. Análisis de supuestos específicos
7.1. Impago de los recibos de la comunidad por parte de los propietarios
Con carácter general, la publicación en el tablón de avisos de la finca de la identidad de los propietarios deudores y/o de las cuotas vencidas e impagadas por éstos a la comunidad no está amparada por la normativa de protección de datos.

Ahora bien, la Ley de Propiedad Horizontal, en su objetivo de lograr que las comunidades puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, brinda la posibilidad de dar publicidad a través de la convocatoria de la Junta de propietarios de la identidad de aquellas personas que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad. Esta publicidad conlleva el conocimiento por todos los copropietarios de    la identidad de los deudores, así como del importe de su deuda, sin que sea necesario recabar el consentimiento de los  mismos.

A su vez, la LPH establece que, entre las obligaciones de cada propietario se encuentra la consistente en comunicar a quien ejerza las funciones de secretario de la comunidad, por cualquier me- dio que permita tener constancia de su recepción, el domicilio en España a efectos de citaciones y notificaciones relacionadas con la comunidad. En defecto de esta comunicación se tendrá por domicilio para citaciones y notificaciones el piso o local perteneciente a la comunidad, surtiendo plenos efectos jurídicos las entregadas al ocupante del   mismo.

Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar pre- venido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto, con diligencia en la que conste la fecha y motivos por los que se procede a esta forma de notificación, firmada por quien ejerza las funciones de secretario de la comunidad, con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales.

La publicación de la relación de propietarios con cuotas vencidas y pendientes de pago, mediante comunicación singularizada y periódica remitida a cada uno de ellos, tampoco encuentra cobertura en la normativa de protección de datos.

Incluso en el supuesto en el que no se haga mención expresa a la identificación personal del vecino o vecinos deudores, significando únicamente el dato relativo a la vivienda, dicha cesión tampoco resulta conforme con la normativa de protección de datos, ya que dicho dato o referencia va siempre asociado a la del titular de la vivienda, con lo que no cabe duda de que se tratará de datos de carácter personal, al referirse a personas físicas identificables.
No obstante, si la mencionada publicación se realizara en cumplimiento de un acuerdo expreso adoptado por la Junta de propietarios, nos encontraremos ante una cesión de datos con consentimiento previo de los interesados, que en principio no vulneraría la normativa sobre protección de datos personales.

7.2. Acceso y obtención de copias de la documentación de la comunidad por parte de los propietarios de viviendas en régimen de propiedad horizontal.-
Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.

En la documentación de la comunidad de propietarios pueden encontrarse numerosas informaciones que incorporan datos personales, tales como datos identificativos y de contacto de los propietarios, números de sus cuentas corrientes, coeficientes de participación, consumos individuales, ingresos efectuados por los propietarios o deudas que estos mantengan con la comunidad, sentido del voto en la adopción de acuerdos, etcétera. Igualmente tendrá dicha consideración cualquier dato personal referido a los empleados que pudiera tener la comunidad de propietarios, como también la tendrán los datos relativos a honorarios de profesionales que abone la comunidad.

Por su parte, el artículo 19 de la LPH prevé la remisión de las actas a los propietarios, señalando en su número segundo las menciones que deben contener, entre las que figuran diversos tipos de datos de carácter personal.

Desde la óptica de la protección de los datos personales, debe señalarse que el hecho de que una norma con rango de ley formal habilite el tratamiento o cesión de los datos no resulta por sí solo suficiente para considerar dicho tratamiento o cesión, sin más, como amparados por la LOPD, siendo además preciso que los mismos resulten conformes a lo dispuesto en la mencionada Ley Orgánica, y, en particular, a los principios de proporcionalidad y finalidad.

En consecuencia, la comunicación de datos deberá limitarse a aquéllos que -en cada caso- resulten “adecuados, pertinentes y no excesivos” para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al control del buen gobierno de la comunidad.
Así, a título de ejemplo, no cumple el requisito de idoneidad la comunicación de los directorios con los datos de domicilio de los propietarios o sus números de cuenta corriente, ya que en nada contribuyen a la finalidad de control de la buena administración de la comunidad de propietarios.

Igualmente, y en lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato. Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de dichos directorios o de las nóminas de personal resultará contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.

Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido  recogidos.
En cuanto a la obtención de copias, la LPH ordena en ocasiones la remisión de determinados documentos, mientras que en su artículo 20 se refiere a custodiar a disposición de los titulares la documentación de la comunidad.

7.3 Exhibición del libro de actas de la comunidad de propietarios a entidades financieras
El libro de actas de la Junta de propietarios de una comunidad en régimen de propiedad horizontal recoge los acuerdos de dicha Junta, debiendo expresar el acta de cada reunión el contenido a que se refiere la LPH, dentro del cual figuran los datos de identificación de los correspondientes propietarios, y el piso en el que viven, correspondiendo la custodia de dichos libros de actas al administrador.

Se plantea, entonces, si es conforme con la normativa de protección de datos que la representación legal de la comunidad deba exhibir el libro de actas ante una entidad bancaria para formalizar la apertura de una cuenta corriente o para el cambio anual de firmas de los cargos de la comunidad.
Lógicamente, la apertura y desenvolvimiento de una cuenta corriente con la entidad financiera provoca la necesidad de que ésta tenga conocimiento de los datos de identificación de quien asume esa representación legal y de los cambios que se produzcan anualmente (o cuando fueren removidos de su cargo antes de este período), así como de los datos personales de aquellos cargos de la comunidad a los que el presidente otorgue la facultad de firma, independiente o conjunta, para las operaciones referidas a dicha cuenta.

Ahora bien, tales datos le pueden ser comunicados mediante la correspondiente certificación expedida por el administrador de la comunidad de propietarios u otro documento de apoderamiento legal, de cuya exactitud y veracidad responderán dichos órganos de gobierno ante la entidad financiera.


Comentarios