Protección de datos en fincas o comunidades de vecinos

En ella daremos respuesta a las principales preguntas relacionadas con la normativa referente a fincas o comunidades de vecinos

¿Es obligatorio cumplir con la protección de datos?

Las comunidades de propietarios deben cumplir con la normativa de protección de datos, ya que tratan datos personales de propietarios, inquilinos, copropietarios, empleados (cuando los tienen) e incluso de algunos de sus proveedores.

Pero ¿cómo debe adaptarse a la normativa? ¿Quién es el responsable de tratamiento?, ¿y si tienen contratado un administrador de fincas?, ¿es necesario recabar el consentimiento de los propietarios e inquilinos o empleados para el tratamiento de sus datos? En los siguientes puntos daremos respuesta a estas y otras preguntas acerca de la protección de datos en comunidades de propietarios.

Normativa que han de cumplir

Son dos las normativas aplicables, si bien ambas están estrechamente relacionadas y mediante el cumplimiento de una, aseguramos el cumplimiento de la otra:

  • El RGPD es el Reglamento General de Protección de Datos europeo, en vigor desde mayo de 2018.
  • Mientras que a nivel nacional tenemos la LOPDGDD (también LOPD),  Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, que introduce y adapta el RGPD a nuestro ordenamiento jurídico.

¿Cuáles son las exigencias que establece la ley?

El RGPD y la LOPD establecen una serie de obligaciones que vamos a detallar a continuación.

protección de datos comunidad de propietarios

Registro de actividades de tratamiento

Tanto el responsable de tratamiento (comunidad de vecinos) como el encargado de tratamiento (administrador de fincas), deben llevar un registro de actividades de tratamiento, que no es más que una lista detallada de los tratamientos de datos que se llevan a cabo en la comunidad, por ejemplo, datos identificativos de propietarios e inquilinos, datos de videovigilancia, datos identificativos de empleados, etc.

El registro de actividades de tratamiento es un documento interno, que recoge información relevante sobre los tratamientos de datos personales, y que, aunque no debe enviarse a la AEPD (Agencia Española de Protección de Datos), sí debe estar a disposición de la misma si esta lo requiere.

En el registro de actividades de tratamiento debe contener, al menos, la siguiente información:

  • Datos identificativos del responsable de tratamiento (si existen, también del corresponsable y representante del responsable).
  • Finalidad del tratamiento.
  • Descripción de las categorías de interesados y de los datos personales recogidos.
  • Destinatarios y categorías a los que se vayan a comunicar los datos personales, incluidos otros países o transferencias internacionales.
  • Plazos previstos para la eliminación de los datos.
  • Descripción de las medidas de seguridad a adoptar.

Si se ha contratado un administrador de fincas, en su registro de actividades deben figurar sus datos identificativos.

Secreto en el tratamiento de los datos

Se ha de aplicar el un deber de secreto en el tratamiento de los datos, tanto para el responsable como para el encargado. Es decir, deben mantener la confidencialidad de los datos personales de propietarios, copropietarios, inquilinos y empleados.

Calidad de los datos

La normativa exige que solo se recaben aquellos datos que sean necesarios para el correcto funcionamiento de la comunidad de vecinos, es decir, que no se recojan datos personales que no sean pertinentes, como por ejemplo, datos relacionados con la salud de los propietarios.

Garantizar el acceso a la información

La Ley también obliga a informar a los propietarios de manera clara e inequívoca sobre:

  • La existencia de los tratamientos de datos personales.
  • Quién es el responsable del tratamiento.
  • Dónde y cómo pueden ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición), de portabilidad y olvido.

Plazo de conservación de los datos

Como hemos visto, en el registro de actividades de tratamiento hay que establecer un plazo para la eliminación de los datos personales. Este plazo de conservación no se concreta ni el RGPD ni en la LOPD, pero debe ser el responsable de tratamiento quien lo establezca en función de la finalidad para la que se han recogido los datos y teniendo en cuenta la posible aplicación de otras leyes al respecto de la conservación de determinada documentación.

En cualquier caso, cuando la finalidad para la que se recogieron los datos personales se ha cumplido, se debe proceder a la supresión de dichos datos o, por lo menos, a su bloqueo.

Contrato con el administrador de fincas

Ya hemos visto que el administrador de fincas debe firmar un contrato de encargo de tratamiento con la comunidad de vecinos, de manera que podrá recabar datos personales de propietarios, copropietarios, inquilinos y posibles empleados con la única finalidad de asesorar y gestionar la comunidad.

El contrato que comunidad de vecinos y administrador de fincas firman, debe incluir los tratamientos de datos a realizar y la finalidad de dicho tratamiento.

¿Es necesario un DPO?

El RGPD introdujo el Delegado de Protección de Datos (DPO) como una figura obligatoria bajo determinadas circunstancias. En este caso no están obligadas a contratar un DPO.

Sistemas de videovigilancia 

Sobre la videovigilancia la ley nos dice que para la instalación de un sistema de este tipo es necesaria la aprobación de la Junta de Propietarios. Las cámaras solo podrán instalarse en zonas comunes de la propiedad y nunca apuntando a la vía pública, el interior de los inmuebles o terrenos colindantes.

Además, se debe avisar mediante cartelería de la presencia de las cámaras y en dicho cartel debe aparecer toda la información pertinente respecto al tratamiento de las imágenes captadas y dónde y cómo ejercer los derechos ARCO.

En cuanto al visionado de las imágenes, solo podrá verlas la persona designada por la comunidad de propietarios, sin que puedan estar a disposición de todos los vecinos.

Sanciones por incumplimiento

Las sanciones por el incumplimiento de la normativa contempladas por la LOPD nos remiten al RGPD, sin embargo, puesto que no estamos ante una empresa, no podemos aplicar las cuantías que aquí aparecen.

Esto no quiere decir que no haya sanciones, puesto que la AEPD tiene potestad para fijar las cuantías de dichas sanciones en función de la gravedad de la infracción, el número de personas afectadas o la duración en el tiempo del comportamiento ilegal.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.