Cesión de datos entre Administradores de Fincas

1062

¿Qué ocurre cuando una comunidad de vecinos prescinde de los servicios de su administrador de fincas y contrata uno nuevo? ¿Debe el anterior, a petición del presidente de la comunidad, ceder los datos personales de los vecinos que obren en su poder directamente al nuevo encargado? ¿O por el contrario su deber es siempre devolverlos al responsable del fichero, y que sea éste quien los entregue al otro?

A esta duda viene a responder el Informe Jurídico 0650/2009 de la Agencia Española de Protección de Datos (AEPD). Y resulta especialmente interesante porque es un ejemplo que puede resultar válido para situaciones similares entre responsables de ficheros y encargados de tratamientos, como es el de las empresas y sus asesorías y gestorías.

Responsable del fichero y encargado del tratamiento, ¿quién es quién?

Dejando claro de antemano que la comunidad de vecinos es en cualquier caso responsable del fichero de vecinos, y que por lo tanto el administrador de fincas ocupa la posición de encargado del tratamiento (respecto a los datos de los vecinos, puesto que en sus propios ficheros de clientes, proveedores, empleados, etc, seguirá siendo responsable de esos ficheros), la AEPD explica que para que esta relación se ajuste a la Ley, es preciso que se cumplan los requisitos expresados en el artículo 12 de la Ley Orgánica 15/1999, es decir, que dicha relación de servicios se encuentre establecida a través de un contrato en el que se establece expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

Doctrina de la AEPD

Con esta base, la tesis de la AEPD llega a estas conclusiones:

En consecuencia, el encargado del tratamiento, en el presente supuesto el administrador de fincas consultante, deberá limitarse a emplear los datos en el ámbito de las funciones que la comunidad le haya atribuido, por ello, estará actuando conforme a las instrucciones del responsable del tratamiento cuando comunique a un órgano de la comunidad en el ejercicio de sus funciones, en el caso planteado al Presidente de ésta que así lo solicita, los datos de los propietarios contenidos en los ficheros que el encargado del tratamiento custodia.

Esta Agencia Española de Protección de Datos ha venido indicando que el deber de devolución al que se refiere el artículo 12.3 de la LOPD podrá verificarse mediante la entrega directa de los datos al propio responsable del tratamiento o mediante la realización de dicha entrega al encargado del tratamiento que este designase, toda vez que en este segundo caso el encargado actuaría como mero mandatario del responsable, siendo precisamente éste el que establece a quién han de entregarse los datos en su nombre y por su cuenta. Y así se recoge en el artículo 20.3 del Reglamento antes citado “no obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo.”

Papel del tercero en la Protección de Datos

La LOPD distingue dos tipos de tratamientos de los datos personales por parte de terceros:

  • Comunicación o cesión de datos
  • Acceso a datos por cuenta de terceros

Estas relaciones son distintas y originan obligaciones diferentes para el tercero, que deben ser debidamente reguladas a través de un contrato o documento escrito que permita acreditar su celebración y contenido.

Mientras que en la comunicación de datos el tercero actúa como cesionario, en el acceso a datos por cuenta de terceros, a ese tercero el se le denomina encargado del tratamiento.

Estos dos tipos de relaciones tienen características comunes, como por ejemplo  la  necesidad de aplicar las necesarias medidas de seguridad en el tratamiento de los datos personales, de la forma que regula la LOPD.

La diferencia principal que distingue un tipo de tercero de otro es el traslado y las responsabilidades contraídas. En una cesión de datos el responsable del fichero notifica, previa información y consentimiento del afectado, los datos personales de uno o varios ficheros para que el cesionario los use con un fin independiente, determine el tratamiento de la información y trabaje por su propia cuenta y riesgo. En esta comunicación de datos el cesionario adquirirá la postura de responsable del fichero y tiene que satisfacer las obligaciones propias de éste.

Sin embargo, en el acceso a datos por cuenta de terceros, el tercero responsable del tratamiento proporcionará sus servicios al responsable del fichero y trabajará por cuenta y riesgo de ese responsable, sin que el encargado del tratamiento adquiera la posición de responsable del fichero. En este caso las obligaciones del encargado del tratamiento se recogerán claramente por escrito a través de un contrato, puesto que el tercero debe conocer exactamente las obligaciones que debe satisfacer, sin que pueda disponer a su arbitrio cómo tratar los datos personales.

Consecuencias de incumplir las obligaciones legales en caso de cesión de datos

Tanto el responsable del fichero como el tercero que participa en el tratamiento de datos tienen que conocer la normativa sobre protección de datos y en especial los principios generales, los derechos de las personas y las medidas de seguridad, ya que son las ideas más difíciles de cumplir y a la vez las que originan la mayoría de las sanciones.

La LOPD considera como infracción el incumplimiento de los deberes formales del tercero que se establecen.

Las infracciones se dividen en leves, graves y muy graves, y sus sanciones van desde los 900 a los 600.000 euros de multa, según la graduación que considere la Agencia Española de Protección de Datos o, en su caso, las autoridades de control de las comunidades autónomas competentes.

Ante la falta de cumplimiento contractual, el tercero encargado del tratamiento y/o el cesionario respondería legalmente igual que el responsable del fichero. Pero ante la falta de delimitación de sus obligaciones o de la identificación del rol de encargado o cesionario, la exigencia de responsabilidades podría entorpecerse enormemente. Por ello es importante definir claramente cada bloque de obligaciones.

Además, aparte de las infracciones que pueda cometer el tercero en materia de protección de datos, ante un incumplimiento contractual el afectado también podrá reclamar por otras vías, según sea el daño y la materia objeto de controversia (derecho civil, mercantil, penal, administrativo). Ello puede eludirse fácilmente si se utilizan las herramientas de prevención apropiadas, como es la estipulación de un contrato entre las partes y su cumplimiento objetivo.

Contenido del contrato de cesión de datos personales

  1. El encargado del tratamiento (el prestador del servicio) tiene que gestionar los datos que le facilita el responsable del fichero (cliente) con el objetivo que este le haya indicado, como puede ser confeccionar las nóminas, soporte informático, asesoría fiscal, etc.
  2. Las disposiciones de seguridad que el encargado del tratamiento tiene que aplicar, son las mismas que implantará el responsable del fichero, es decir, si el responsable del fichero trata datos de nivel alto, el encargado del tratamiento también aplicará medidas de seguridad de nivel alto.
  3. Una vez acabado el servicio para el que fue contratado, el encargado del tratamiento deberá reintegrar al responsable del fichero todos los documentos e información que tenga o destruirla.

En el supuesto de que el prestador del servicio no satisfaga alguno de esos requisitos, se transformará en responsable de las infracciones establecidas por la LOPD.

Y, si eres un administrador de fincas, te interesará descargar el contrato de terceros a firmar con la comunidad de vecinos.

Cesión de datos entre Administradores de Fincas
4.8 (95%) 4 votos

2 Comentarios

  1. Buenos días,
    Enhorabuena por el porta, es de gran ayuda. Tengo una duda en cuanto al cambio de administrador y el fichero inscrito en la Agencia. Entiendo que, una vez finalizados los servicios del primer administrador, este deberá devolver su base de datos a la Comunidad o bien destruirlo. ¿Pero qué hacemos con el fichero inscrito? ¿Si devuelve la base de datos como modificamos el fichero inscrito ya que en nuestro caso, el fichero fue inscrito por el propio administrador, no por la Comunidad.?¿Si destruye su base de datos entonces tiene derecho a eliminar también el fichero inscrito?

    Aunque fue inscrito por el administrador, la persona jurídica es la Comunidad de Propietarios.

    • Buenos días Eva,
      El cambio de administrador de la Comunidad no implica la eliminación del fichero inscrito. La propia Comunidad es la responsable de ese fichero así que puede mantenerlo o eliminarlo si quiere. Muchas gracias por leer el blog y por tu consulta

Dejar respuesta