Protección de datos en Comunidades de Propietarios

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse a partir del 25 de mayo de 2018.

Durante estos dos años nos hemos debido adaptar a la nueva normativa europea que, tal y como viene advirtiendo la Agencia Española de Protección de Datos  (AEPD),  se aplicará sin régimen transitorio, ni plazos, ni prórrogas.

El nuevo Reglamento Europeo en algunos aspectos da continuidad a la actual normativa, pero también introduce novedades que es importante conocer.

¿En qué afecta la Ley de Protección de Datos a las Comunidades de Propietarios?

Las Comunidades de Propietarios pueden servirse de diferentes ficheros con datos de carácter personal. El fichero más usual es el que incorpora la información de las personas físicas integrantes de la propia comunidad.

En estos ficheros son objeto de tratamiento datos personales, tales como nombre de los propietarios, teléfonos, dirección postal, o correo electrónico. De este fichero se sirve la comunidad para su gestión contable, fiscal, y administrativa.

En ocasiones las Comunidades de Propietarios aprueban la instalación de cámaras de videovigilancia que dan lugar a tratamiento de imágenes de personas físicas. En ese caso deberá existir un fichero específico con tal finalidad.

La Comunidad de Propietarios en su calidad de responsable de los ficheros  debe cumplir con la normativa en materia de Protección de Datos, si no quiere incurrir en sanción.

Nuevos derechos del interesado

Se eliminan los derechos A.R.C.O., aunque más que eliminar, se amplían, con los siguientes derechos:

- Acceso

- Rectificación

- Supresión (derecho al olvido)

- Derecho a la limitación del tratamiento

- Derecho a la portabilidad de los datos

- Oposición

Desaparece la notificación de ficheros en la A.E.P.D.

Hasta la entrada en vigor del nuevo Reglamento Europeo las Comunidades de Propietarios tienen la obligación de inscribir el fichero ante la Agencia Española de Protección de Datos  (AEPD).

A partir del 25 de mayo de 2018 desaparecerá la obligación de notificar la creación de ficheros, aunque  aparecen nuevas medidas de carácter interno que se deberán tener documentadas y a disposición de la AEPD

En su lugar nace la obligación de documentación de actividades de tratamiento de datos personales, un conjunto de medidas de carácter INTERNO que el responsable y/o el encargado de los tratamientos deberán impulsar y tener documentadas “a disposición” de la A.E.P.D.

El Reglamento no hace mención en su artículo 30 (Registro de Actividades de Tratamiento) a la obligatoriedad de documentar estas medidas en las Comunidades de Propietarios, pero la A.E.P.D. sí que habla al respecto en su Guía para Administradores de Fincas, indicando que: “Estas medidas son obligatorias también para los administradores, como encargados del tratamiento”. Por lo tanto, las obligaciones indicadas en los apartados 1 y 2 del artículo 30 del nuevo Reglamento Europeo de Protección de Datos, se aplicarán también a las Comunidades de Propietarios.

Con este cambio, el responsable del fichero pasará a llamarse “Responsable del Tratamiento de Datos”, pero no cambian sus obligaciones ni responsabilidades.

Documento de Seguridad: Deberá localizarse en las dependencias en las que se encuentre custodiado el fichero, generalmente en las oficinas del administrador de fincas.

Las Comunidades de Propietarios como responsables de los ficheros deben aplicar las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar ante los interesados, y ante las autoridades de supervisión,  que el tratamiento de los datos  personales se lleva a cabo de conformidad con el Reglamento.

Este principio exige una actitud consciente, diligente y proactiva por parte de las Comunidades de Propietarios frente a todos los tratamientos de datos que se lleven a cabo.

Debiendo garantizar el cumplimiento del deber de secreto y seguridad de los datos, la veracidad de los mismos, debiendo ser tratados para la finalidad para la que fueron recogidos, asegurando el cumplimiento del Reglamento Europeo en sus relaciones con terceros.

Desaparecen los niveles de seguridad a adoptar según el tipo de datos

La L.O.P.D. establecía tres niveles de seguridad a adoptar según la tipología de los datos personales:

- Nivel básico: datos identificativos

- Nivel medio: infracciones penales, saldo de la cuenta corriente, nómina…

- Nivel alto: ideología, religión, vida sexual…

Con la puesta en marcha del nuevo Reglamento, desaparecen los niveles de seguridad y se sustituyen por los niveles de riesgo: Bajo Riesgo Alto Riesgo

Se deberá hacer un análisis de riesgo en función de los tipos de tratamientos, la naturaleza de los datos, número de afectados y la cantidad y variedad de tratamientos. En los tratamientos habituales de las Comunidades de Propietarios, el riesgo será BAJO. En las Comunidades de Propietarios, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

El administrador de fincas como responsable del tratamiento actúa por cuenta de la Comunidad de Propietarios estando legitimado para tratar y disponer de los datos que resulten necesarios para llevar a cabo la gestión ordinaria de los asuntos de la comunidad en virtud de la relación contractual establecida con la misma, y en el marco de la Ley de Propiedad Horizontal.

El encargo del tratamiento a favor del administrador de fincas debe encontrarse documentado en un contrato, en el que se especifiquen las obligaciones de las partes en relación con la normativa de protección de datos.

Como encargado del tratamiento el administrador de fincas debe impulsar y tener documentadas una serie de medidas de carácter interno a disposición de la AEPD. Siendo la mayor parte de esas medidas las relativas al “Registro de las actividades del tratamiento”.

Por todo ello, tanto la Comunidad de Propietarios, como responsable de los ficheros, como el Administrador de Fincas, como responsable del tratamiento, deberán cumplir con lo establecido en el Reglamento Europeo en materia de Protección de Datos, debiendo documentar su cumplimento ante la AEPD cuando sean requeridos para ello. Pudiendo incurrir en una infracción grave en el caso de incumplimiento.

Comunicación de incidencias a la autoridad competente

Se deberá comunicar a la autoridad competente (A.E.P.D.) en un plazo máximo de 72 horas, todo incidente que ocasione: la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Como puede ser la pérdida de un USB con datos personales, el borrado accidental de datos o el acceso no autorizado (hackeo).

Sanciones

El nuevo Reglamento General de Protección de Datos clasifica las sanciones en su artículos 83.4 y 83.5 en:

- Menos graves: multa administrativa de un máximo de 10 millones de euros o un 2% del volumen de negocio anual del ejercicio financiero anterior en el caso de las empresas.

- Más graves: multa administrativa de un máximo de 20 millones de euros o un 4% del volumen de negocio anual del ejercicio financiero anterior en el caso de las empresas.