Administradores de fincas

Guía 2021

¿Te dedicas a la administración de fincas o comunidades de propietarios? Entonces este artículo te interesa. ¿Qué datos puedes manejar en la gestión de un propiedad? ¿Cómo debes tratar la información personal de los inquilinos de una comunidad de vecinos? Te damos todas las respuestas.

Normativa aplicable

Las normas que regulan la Protección de Datos son el RGPD o Reglamento General de Protección de Datos y la LOPDGDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. Aparte de estas normativas, los encargados de la administración de fincas también tienen que respetar lo dispuesto en la Ley 49/1960 sobre propiedad horizontal y la Ley 8/1999 que la modifica.

Legitimación de los administradores de fincas para tratar datos personales de los propietarios

La ley de administradores de fincas señala que son figuras legitimadas para tratar los datos personales de los propietarios, siempre y cuando resulten necesarios para una gestión eficiente de la comunidad. En en este caso, el administrador de fincas ejercería como un encargado del tratamiento de dichos datos.

¿Qué datos personales manejan los administradores de fincas?

Una base de datos de administradores de fincas contiene información de carácter personal sobre los integrantes de la comunidad de vecinos. Entre estos datos figuran el nombre, dirección, teléfono o email de contacto o DNI.

La aplicación del RGPD en comunidades de propietarios prevé que los administradores puedan disponer de otra información necesaria para la gestión contable, fiscal y administrativa de la comunidad, siempre que estos datos sean adecuados, pertinentes y limitados a los objetivos de gestión de la comunidad.

¿Cómo deben cumplir los administradores de fincas el RGPD?

Cada vez que la Comunidad de vecinos contrata tus servicios como administrador de fincas estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos y la Ley de propiedad horizontal.

La responsabilidad del tratamiento de datos realizado en comunidades de vecinos es asegurar que los propietarios cumplen con las obligaciones que impone la Ley de Propiedad Horizontal y garantizar los derechos de comuneros o terceros que participan en la comunidad.

Registro de actividades de tratamiento

Lo responsables y encargados del tratamiento tienen la obligación de llevar un registro de actividades del tratamiento, que incluya una descripción de los tratamientos realizados. En este punto, hay que tener en cuenta que el responsable del tratamiento sería la comunidad de propietarios, mientras que el encargado del tratamiento sería el administrador de fincas.

En este sentido, las responsabilidades del administrador de fincas serían las siguientes:

  • Identificar al encargado del tratamiento o sus representantes.
  • Indicar las categorías de datos objeto de tratamiento por cada responsable.
  • Describir las medidas técnicas y organizativas llevadas a cabo para garantizar la seguridad de los datos.
  • Garantizar la seguridad en las transferencias internacionales de datos.

El registro puede realizarse por escrito, incluyendo la posibilidad de tenerlo en soporte electrónico. El encargado del tratamiento, en este caso el administrador de fincas, ha de poner este registro a disposición de la AEPD si así lo solicita.

Análisis de riesgos en comunidades de propietarios

Como administrador de fincas debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios …
  • el número de interesados afectados;..

Y luego, ¿qué?

Una vez realizado este análisis, debes implementar medidas de seguridad adecuadas para garantizar la integridad y privacidad de los datos.

Cesión de datos a terceros

Los administradores de fincas solo están legitimados para ceder los datos de propietarios o comuneros a terceros en los siguientes casos:

  • Consentimiento del interesado
  • Para cumplir con alguna obligación legal
  • Para la ejecución de un contrato
  • En relación para alguna misión de interés público
  • Si los datos representan intereses vitales para el interesado o el resto de propietarios
  • En cumplimiento del interés legítimo solicitado por el responsable o por terceros con los que existe algún tipo de relación.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Consentimiento de los propietarios

Como administrador de fincas debes tener el consentimiento de los propietarios para poder tratar sus datos.

Este consentimiento puede solicitarse de varias formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • (La más habitual) En caso de que el cliente facilite sus datos personalmente, debe firmar un documento en el que se le informe sobre:

En caso de que el consentimiento se hubiera prestado antes de la entrada en vigor del RGPD y no se hubiera obtenido de forma expresa, voluntaria e inequívoca, no será válido y será necesario volver a solicitarlo. Recordemos que con la entrada en vigor de la nueva normativa ya no sirve con el consentimiento tácito.

Derechos de los propietarios de la comunidad y comuneros

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos.

Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Por ejemplo, si una Comunidad de propietarios trabaja con un administrador de fincas, pero decide cambiar a otro, puede llevarse consigo cualquier dato en posesión de aquel. Así pues, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

Acuerdo de confidencialidad con propietarios

Los propietarios tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un contrato de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

Por su parte, en una administración de fincas los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

La protección frente a las ciberamenazas (virus, daños informáticos, ataques a páginas web, fraude y robo de identidad online, destrucción de información, …) y el fomento de las medidas de prevención y reacción, así como la formación y concienciación de los empleados, son factores esenciales para evitar o minimizar las filtraciones de información y la consecuente pérdida de imagen de nuestra empresa.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que seas víctima de un ciberataque o infracción, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Videovigilancia en las comunidades de propietarios

Para la instalación de cámaras de videovigilancia es necesario contar con el respaldo de los propietarios tras celebración de un Junta. El acuerdo debe quedar reflejado en el Acta de dicha Junta.

Una vez aprobada la instalación de videocámaras, se deberá crear un registro específico de actividades de tratamiento referido a las imágenes grabadas por la videocámaras.

Asimismo, se deberá instalar carteles que informen a los propietarios o personas ajenas a la comunidad de la entrada en una zona videovigilada. En dicho cartel, además, se indicará el responsable del tratamiento o a quién y dónde dirigirse en caso de querer ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad o supresión.

Preguntas frecuentes

¿Se pueden comunicar datos de contacto de propietarios a un servicio externo en situaciones de emergencia, o en caso de siniestros, sin el consentimiento de los interesados?

, cuando se comunica a un administrador de fincas, encargado de la gestión de la comunidad, un supuesto de este tipo se puede entender que existe un interés legítimo por parte de la comunidad en resolver el siniestro lo más rápido posible con el objeto de evitar daños.

¿Qué hacer con los datos de los propietarios cuando se deja de ser el administrador de la comunidad?

Al terminar la relación, el administrador ha de devolver a la comunidad todos aquellos documentos o soportes en los que figuren los datos de carácter personal de los propietarios. Solo podrá conservarlos en caso de que se derive alguna responsabilidad de su desempeño como gestor de la finca.

¿Se puede conservar el dato del correo electrónico utilizado por un propietario para comunicar una avería y usarlo para sus relaciones derivadas de la gestión de la comunidad?

Si la dirección de correo electrónico ha sido proporcionada por el propietario se puede utilizar por el administrador para la gestión de sus relaciones con la comunidad. Cualquier otro uso, como publicidad o marketing, no estaría legitimado.

¿Se pueden realizar comunicaciones a los propietarios a través de WhatsApp?

Si lo ha facilitado el propietario se podría utilizar en el marco de la gestión de la comunidad con su consentimiento. Ahora bien, no se puede utilizar para incluir al propietario en un grupo sin su consentimiento expreso, informado y explícito.

¿Es necesario recabar un nuevo consentimiento con el RGPD?

El tratamiento de los datos de los propietarios por la comunidad está basado en el cumplimiento de relaciones jurídicas y obligaciones legales en el marco de la legislación sobre propiedad horizontal, y por el administrador de fincas en el contrato de encargado de tratamiento. Si se llegase a realizar un tratamiento basado en el consentimiento prestado de manera tácita, habría que obtener un consentimiento expreso o valorar si concurriese alguna de las restantes causas de legitimación contempladas en el artículo 6.1 del RGPD.

¿Se pueden publicar datos de carácter personal en el tablón de avisos de la comunidad de propietarios?

Solo se autoriza a la exposición de datos de carácter personal relacionados con asuntos derivados de la gestión de la comunidad en el caso de que no pueda contactarse con un propietario en el domicilio indicado a efectos de notificaciones.

El tablón de avisos no deberá colocarse en un lugar de tránsito fácilmente accesible por cualquier persona.

¿Puede el administrador de fincas presentar el libro de actas de la Comunidad a una entidad financiera?

La apertura de una cuenta corriente con la entidad financiera provoca la necesidad de que esta tenga conocimiento de los datos de identificación de quien asume esa representación legal y de los cambios que se produzcan anualmente, así como de los datos personales de aquellos cargos de la comunidad a los que el presidente otorgue la facultad de firma para las operaciones referidas a dicha cuenta.

Tales datos le pueden ser comunicados mediante la correspondiente certificación expedida por el administrador de la comunidad de propietarios u otro documento de apoderamiento legal.

Plantillas

Aquí tienes todos los documentos que necesitarás para adaptar tu actividad de administración de fincas a la normativa vigente.

 

Sanciones por no cumplir la ley

Las sanciones por el incumplimiento del RGPD son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí. Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.

Sin embargo, debemos tener en cuenta que también cabe la posibilidad que la AEPD puede enviar avisos a las empresas. Es decir, podrán enviarles requerimientos, advertencias, apercibimientos e incluso órdenes de cese en determinadas actividades de tratamiento de datos personales.

Aquí tienes algún ejemplo de sanciones impuestas por la AEPD a Comunidades de propietarios.

Publicar datos de los vecinos en el tablón de anuncios

El objeto del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, como aquellos que identifiquen o permitan la identificación de la persona. El tratamiento de los datos de una persona ha de contar con el consentimiento inequívoco del afectado. Resolución AEPD R/01339/2018

Instalar cámaras de videovigilancia en lugares no permitidos por la ley

Cabe indicar que las cámaras instaladas por empresas de seguridad privada con la finalidad de control por motivos de seguridad no pueden afectar al derecho a la intimidad de los propietarios del complejo en sus actividades de carácter lúdico. Las cámaras instaladas no pueden obtener imágenes de espacios reservados a la intimidad de las personas (zona de gimnasio, zona de piscina, o zona de hamacas, a modo de ejemplo), salvo que se justifique motivadamente la procedencia de la instalación o las mismas sólo estén operativas en horario nocturno con fines de seguridad. Resolución AEPD R/00871/2018

Ahora que ya conoces lo que debes hacer como administrador de fincas para cumplir el RGPD no tienes excusa.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.