En más de una ocasión te habrá pasado lo siguiente:
Entrar en un edificio y ver en la vitrina de la comunidad un papel donde se incluye el nombre de algún vecino, acompañado de su DNI, piso, número, puerta y, en su caso, la deuda que pueda tener contraída con la comunidad.
También te habrás fijado en que, en la mayor parte de estos casos, el vecino se queja amargamente al presidente o administrador, insistiendo que él tiene todos los pagos al día.
Pero, ¿a que no has oído nunca a nadie protestar por el hecho de que aparezcan publicados en la vitrina sus datos personales?
Pues debes saber que los listados de propietarios (con sus nombres, teléfonos, direcciones, etc.) deben ser considerados como ficheros de datos de carácter personal y, por tanto, a los que les afectan las disposiciones de la LOPD.
En este post intentaremos poner de manifiesto la importancia que tiene, para las comunidades de propietarios, conocer las obligaciones que les afectan en materia de protección de datos, así como su cumplimiento.
Antes de analizar las obligaciones que afectan a las comunidades de propietarios, hay que empezar comentando que, en éstas, nos podemos encontrar con dos posibilidades en relación a su gestión:
- – Comunidades que cuentan con un Administrador de fincas para gestionar ésta
- – Comunidades que no cuentan con Administrador de fincas
Cualquiera que sea el caso en tu comunidad, los requisitos formales son los mismos (con alguna pequeña diferencia).
Pero lo importante es que, en ambos casos, la “responsable de los ficheros” será la comunidad de propietarios y, por tanto, la principal obligada a cumplir íntegramente la legislación en materia de Protección de Datos.
También es importante, para no generar confusiones terminológicas, aclarar dos conceptos: responsable del tratamiento y encargado del tratamiento.
El artículo 3 LOPD define al Responsable del Fichero como:
La persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
El citado artículo 3 de la LOPD también al Encargado del Tratamiento como:
La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero.
Comunidades sin Administrador de fincas
En este caso, corre a cargo de la comunidad el cumplimiento de todas las obligaciones y formalidades relativas al cumplimiento de la LOPD.
Comunidades con Administrador de fincas
En estos casos, el Administrador suele tener el papel de “encargado del tratamiento” por cuenta del responsable del tratamiento (la comunidad) y así debe constar.
Esta relación debe figurar en un contrato (con independencia del contrato mercantil de prestación de servicios), conforme al artículo 12 de la LOPD:
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Se trata de un aspecto fundamental y prioritario de cara a obtener una correcta adecuación a la Ley, delimitar responsabilidades y evitar posibles sanciones por actuaciones de terceros.
También es conveniente que los datos del Administrador figuren como dirección para los “derechos de oposición, acceso, rectificación y cancelación”.
Obligaciones de la comunidad
La comunidad de propietarios como responsable del fichero tiene que cumplir una serie de medidas organizativas y técnicas en materia de Protección de Datos como son:
1. Inscribir los ficheros en la Agencia Española de Protección de Datos.
Los ficheros más habituales que nos podemos encontrar en las comunidades son:
– Propietarios
– Nóminas
– Morosos
– Vídeo vigilancia
2. Contar con un Documento de Seguridad, con las medidas técnicas y organizativas que se aplican, para garantizar la integridad y buen uso de los datos personales facilitados.
Más información sobre Documento de Seguridad aquí.
Guía modelo obtenido de la Web de la AEPD aquí.
En este punto, una de las principales cuestiones que se plantea es si la comunidad debe contar con el consentimiento expreso de los copropietarios para el tratamiento de sus datos, conforme a lo dispuesto en el artículo 6.1 LOPD:
El tratamiento de los datos de carácter personal requerirá del consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
Sin embargo, esto no significa que cada uno de los copropietarios tenga que dar su consentimiento expreso, puesto que se exime de ello cuando los datos que se recaben “se refieran a las partes de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento” (artículo 6.2 LOPD).
Sin embargo, sí es recomendable que se incluya en los comunicados de la comunidad, una cláusula informativa de acuerdo con el artículo 5 LOPD.
Cesión de datos
En relación con la utilización de los datos personales para actividades comerciales de empresas que trabajan con la comunidad, éste es, en principio, un uso de los datos para una finalidad distinta para la que fueron recogidos.
Este tipo de servicios requieren, por tanto, el consentimiento inequívoco y la previa información por parte del responsable de la cesión, finalidad a la que los mismos se destinan, la naturaleza de los datos, y el nombre y dirección del cesionario.
Sería el supuesto en el que, por ejemplo, la comunidad realice arreglos en zonas comunes y, para ello, contrata a una empresa externa a la que tiene que ceder determinados datos necesarios.
Esta situación supondría el incumplimiento de una obligación extraída del artículo 11 y 27 LOPD, y en consecuencia una sanción económica que podría llegar a los 601.012€, por estar tipificada como infracción muy grave.
Obligaciones del Administrador de fincas
Como ya hemos comentado, suele tener el papel de “encargado del tratamiento”.
Sus obligaciones son las que se derivan del ya comentado artículo 12 LOPD:
- – Regulación del servicio mediante contrato
- – Deber de custodia y conservación
- – Adopción de medidas técnicas y organizativas para asegurar el cumplimiento de la LOPD
- – Deber de secreto y confidencialidad
- – Devolver o destruir los datos una vez finalizada la prestación del servicio, así como bloquear aquellos que hayan sido necesarios a efectos fiscales durante un periodo de cuatro años, transcurridos los cuales, se podrá proceder a la supresión
Datos de morosos
En principio, no supone infracción por parte de la comunidad, crear un fichero de deudores, puesto que no es necesario el consentimiento del afectado, tanto para la recogida del dato, como para su tratamiento, siempre y cuando cumplan una serie de requisitos:
- – Los datos recabados o manejados deben ser adecuados, pertinentes y no excesivos en relación a la finalidad de los mismos (principio de calidad de los datos, artículo 4 LOPD).
- – La deuda ha de ser cierta y veraz
- – Todas las personas que se encuentren en un fichero de este tipo tienen reconocidos los derechos de acceso, rectificación y cancelación. De este modo, cualquiera de estas personas puede enviar una solicitud al responsable del tratamiento para solicitar la cancelación o rectificación de ciertos datos por considerarlos erróneos o porque no se encuentran actualizados. Dicha solicitud ha de ser contestada en un plazo de cinco días por el responsable del fichero.
Por último, es importante destacar que la AEPD, considera que una comunidad de propietarios tiene Nivel Básico, así figura en el formulario NOTA, dentro de los tipos predefinidos. Pero si, por ejemplo, hay datos de una señora de la limpieza, un portero, jardinero, mentenimiento, etc., o existen ciertos problemas en los pagos de los recibos de comunidad, se recomienda el Nivel Medio.
Excelente artículo, muy profesional.
Gracias por tu opinión Cristian.
Te animo a completarlo. Cualquier aportación será bienvenida.
Un saludo.
Quisiera hacer aquí una pregunta muy concreta: ¿tienen los propietarios derecho a conocer el número de teléfono y/o la dirección de correo electrónico del presidente de la comunidad, para poder comunicarse directamente con él cuando algún asunto de la misma lo requiera, o la LOPD obliga a que se haga a través del administrador?