1.- ¿Deben las Comunidades de Propietarios adaptarse a la Ley de Protección de datos?
Las comunidades de propietarios tratan datos personales de los mismos propietarios, inquilinos, copropietarios, empleados o proveedores de servicios. Por tanto, también deben cumplir con los estipulado en la normativa de protección de datos, la LOPD comunidades de propietarios .
2.- ¿Qué datos deben ser objeto de tratamiento dentro del ámbito de las Comunidades de Propietarios?
La actual normativa no establece ningún límite acerca de qué datos puede tratar la Comunidad de Propietarios, estos suelen ser los nombres de los comuneros, documentos de identificación, números de teléfono, direcciones, correos electrónicos, cuentas bancarias… entre otros, pero nada impide que se dispongan de otros siempre y cuando sean en calidad de propietarios y no resulten excesivos parar la actividad habitual de las Comunidades.
3.- ¿Qué obligaciones se desprenden de la normativa de protección de datos para las Comunidades de Propietarios y los Administradores de Fincas?
Los Administradores, como encargados del tratamiento, deben asesorar a las Comunidades para el cumplimiento de la Ley, por lo que deberán facilitar toda la información necesaria relativa a la actividad de esta.
Para el cumplimiento del deber de información, tal y como establece la AEPD, se debe informar a todos los comuneros de manera “expresa e inequívoca” de la existencia de un tratamiento, de la identidad y dirección del responsable del tratamiento, de su finalidad, de los destinatarios y de la posibilidad de ejercer los derechos establecidos en el RGPD.
En cuanto al principio de Calidad de datos, se deben recabar únicamente los datos necesarios y/o pertinentes para el funcionamiento de la Comunidad para las finalidades establecidas en la LPH.
Conservación de datos, este principio requiere la cancelación de los datos personales una vez que estos dejen de ser necesarios para la finalidad por la que fueron recabados, dichos plazos deben ser definidos y comunicados a los propietarios, aunque se permite la conservación de los mismos durante el tiempo en el que puedan exigirse responsabilidades (en el caso de los Administradores de Fincas, se podrán conservar datos durante el período de prescripción social, civil y/o fiscal), estos quedarían bloqueados pudiendo únicamente estar a disposición de los Tribunales.
El deber de secreto implica que los responsables de la Comunidad (Presidente, Junta Directiva) y los administradores no puedan revelar cualquier tratamiento que se haga de los datos personales, subsistiendo dicha obligación una vez finalizada la relación con la Comunidad.
4.- ¿Conforme a la normativa, es la Comunidad la responsable del tratamiento y el administrador de fincas el encargado?
Sí, el RGPD no varía nada en este asunto, la Comunidad de Propietarios es la responsable del tratamiento de los datos personales, mientras que el administrador actúa como encargado, pero la AEPD establece una serie de condiciones para que la relación Comunidad-Administrador-Protección de datos sea correcta.
El Administrador únicamente debe acceder a los datos con la finalidad exclusiva de prestar un servicio a la Comunidad, pues, en caso contrario, podría ser considerado como responsable del tratamiento a efectos de sanciones. Si el uso de los datos se realizara con fines no comprendidos en la Ley de Propiedad Horizontal (LPH), será necesario el consentimiento de todos los propietarios, con la novedad del RGPD que obliga a que el consentimiento sea expreso e inequívoco.
La relación entre la Comunidad de Propietarios y el Administrador de Fincas, conforme al RGPD debe constar por escrito (art. 28).
5.- ¿Deben los Administradores de Fincas realizar un documento de seguridad como encargado del tratamiento?
Sí, las medidas de seguridad son aplicables en todos los tratamientos de datos, no habiendo especialidades respecto a otras situaciones. Dicho documento debe localizarse en el lugar en el que se encuentre el fichero.
Para la adaptación del documento al RGPD, debe tenerse en cuenta el principio de proactividad, cuya finalidad es la adopción de todas las medidas posibles que permitan demostrar que se realizó un tratamiento acorde con la normativa de protección de datos, para ello es necesario realizar una evaluación del riesgo.