Preguntas frecuentes sobre comunidades de propietarios y RGPD
Las principales obligaciones de las comunidades de propietarios según el Reglamento General de Protección de Datos (RGPD)
La protección de datos personales es una materia cada vez más relevante, incluso en ámbitos donde tradicionalmente no se había prestado demasiada atención, como es el caso de las comunidades de propietarios. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), las comunidades deben adoptar medidas concretas para garantizar el tratamiento adecuado de los datos personales de sus propietarios, empleados y otros posibles interesados.
A continuación, se exponen las principales obligaciones que recaen sobre las comunidades de propietarios en esta materia.
1. Las comunidades como responsables del tratamiento
En primer lugar, es importante aclarar que las comunidades de propietarios son responsables del tratamiento de los datos personales que gestionan. Esto incluye datos de carácter identificativo, económicos y, en ocasiones, incluso datos especialmente protegidos.
¿Qué significa ser responsable del tratamiento?
Ser responsable implica que la comunidad decide sobre los fines y medios del tratamiento de los datos personales. Por ejemplo, decide qué datos se recogen, cómo se almacenan, durante cuánto tiempo se conservan y con qué finalidad se utilizan.
2. ¿Quién actúa como encargado del tratamiento?
Cuando una comunidad contrata a un administrador de fincas, este actúa como encargado del tratamiento, no como responsable. Esto significa que el administrador trata los datos por cuenta de la comunidad y siguiendo sus instrucciones.
Contrato de encargo del tratamiento
Es obligatorio firmar un contrato entre la comunidad y el administrador en el que se detallen las obligaciones de este último respecto a la protección de datos. Dicho contrato debe contener cláusulas específicas conforme al artículo 28 del RGPD, incluyendo:
Finalidad del encargo.
Duración del tratamiento.
Tipos de datos tratados.
Medidas de seguridad aplicables.
Obligación de confidencialidad.
3. ¿Hay que tener un registro de actividades de tratamiento?
Aunque ya no es obligatorio inscribir ficheros en la Agencia Española de Protección de Datos (AEPD), sí lo es mantener un registro interno de actividades de tratamiento. En este documento deben figurar, entre otros:
La identificación del responsable (la comunidad).
Las finalidades del tratamiento (gestión de la comunidad, videovigilancia, etc.).
La base jurídica que legitima el tratamiento.
Los destinatarios de los datos.
Las medidas de seguridad técnicas y organizativas aplicadas.
4. ¿Cómo se debe cumplir el derecho de información?
Cada vez que se recogen datos personales, los afectados (normalmente propietarios, empleados, proveedores, etc.) deben ser informados adecuadamente. Esta información debe incluir:
La identidad y datos de contacto del responsable.
Las finalidades del tratamiento.
La base legal para el tratamiento.
Los derechos que pueden ejercer (acceso, rectificación, supresión, etc.).
El plazo de conservación de los datos.
La comunidad debe asegurarse de que esta información sea clara, transparente y accesible.
5. ¿Cómo es la atención de los derechos de los interesados?
Las comunidades deben estar preparadas para atender los derechos de protección de datos que puede ejercer cualquier persona cuyos datos estén siendo tratados. Estos derechos incluyen:
Derecho de acceso.
Derecho de rectificación.
Derecho de supresión.
Derecho de oposición.
Derecho a la portabilidad de los datos.
Derecho a la limitación del tratamiento.
Si, por ejemplo, un propietario solicita conocer qué datos suyos están siendo tratados o solicita la supresión de ciertos datos, la comunidad está obligada a responder en un plazo máximo de un mes.
6. ¿Cuál es la base jurídica del tratamiento?
Cada tratamiento de datos debe estar legitimado por una base jurídica. En el caso de las comunidades, las más habituales son:
El cumplimiento de una obligación legal (por ejemplo, conservación de facturas).
La ejecución de un contrato (por ejemplo, la relación con proveedores).
El interés legítimo (como la exposición de morosos en el tablón de anuncios, conforme a la Ley de Propiedad Horizontal).
El consentimiento (en ciertos casos como envíos de comunicaciones no esenciales).
7. ¿Qué medidas de seguridad y análisis de riesgos en protección de datos hay que tomar?
Aunque la gestión de datos en una comunidad suele implicar un riesgo bajo, deben aplicarse las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos. Estas pueden ser:
Control de acceso a la documentación.
Cifrado o contraseña en archivos electrónicos.
Protocolos de destrucción segura de documentos.
En la mayoría de los casos, no será necesario un análisis de riesgos complejo, pero sí se deben adoptar las medidas proporcionales al tipo de datos tratados.
8. ¿Es obligatorio nombrar un delegado de protección de datos?
El nombramiento de un delegado de protección de datos (DPD) no es obligatorio para las comunidades de propietarios, salvo que traten datos a gran escala o en situaciones excepcionales (lo cual rara vez ocurre). Por tanto, en condiciones normales, esta obligación no aplica.
9. ¿Cómo debe ser el tratamientos de datos en caso de videovigilancia y en el tablón de anuncios?
Videovigilancia
Para instalar cámaras de seguridad en zonas comunes:
Se requiere el acuerdo previo de la Junta de Propietarios.
Las cámaras no deben grabar la vía pública ni zonas privadas ajenas.
Debe colocarse el cartel informativo obligatorio.
Las grabaciones solo podrán ser consultadas por personas autorizadas y durante un plazo limitado.
Relación de vecinos morosos
La Ley de Propiedad Horizontal permite que, en la convocatoria de la Junta, se exponga la relación de vecinos morosos que estén privados del derecho a voto. Esta información puede exponerse:
En el tablón de anuncios.
A través de intranet segura.
Por correo individualizado.
Debe garantizarse que esta práctica se ajuste a los principios de minimización de datos y proporcionalidad.
10. ¿Cómo es el acceso a la información por parte de propietarios?
Un propietario tiene derecho a:
Acceder a la información sobre los gastos de la comunidad, incluyendo facturas, nóminas y contratos.
Conocer el nombre del resto de propietarios, cuando sea necesario para la gestión comunitaria.
Este acceso debe equilibrarse con el derecho a la privacidad de otras personas. Por ejemplo, se deben evitar datos sensibles innecesarios o permitir el acceso solo a la parte estrictamente relevante.
En Forlopd ayudamos a comunidades de propietarios a adaptar sus procesos acorde a la normativa en protección de datos, si necesitas saber si tu comunidad de propietarios cumple con la normativa vigente, puedes solicitarnos un análisis de cumplimiento gratuito.
