Obligaciones de la LOPD respecto a los datos personales
Como sabemos, la LOPD establece los requisitos exigidos para la recogida, el tratamiento y la cesión de datos de carácter personal para no dañar nuestro derecho a la intimidad.
Todas las organizaciones que manejen datos personales están obligadas al cumplimiento de esta Ley y, por tanto, también las Comunidades de Propietarios ya que manejan datos como nombres, teléfonos o direcciones de los propietarios.
Sanción de la AEPD a una Comunidad de propietarios de 2.000 € por instalar cámaras en el garaje sin el consentimiento de los vecinos. PS/00043/2010
Toda Comunidad de propietarios debe tener al menos un fichero o tratamiento de datos personales: el de los vecinos que integran esa Comunidad. Esto supone que, tanto la propia Comunidad como el Administrador de fincas encargado de gestionar la misma, deben cumplir escrupulosamente la LOPD.
Las Comunidades de propietarios, al igual que cualquier otra empresa u organización, además de manejar datos de carácter personal, contrata servicios con terceros, entre ellos los Administradores de fincas para gestionar los servicios de las mismas. Esto ya se considera un acceso a datos por cuenta de terceros o, como mínimo, una comunicación de datos y, para ello, es necesario obtener el consentimiento de los vecinos.
Las obligaciones establecidas por la normativa de Protección de Datos, aplicables también a las Comunidades de vecinos, son:
Inscripción de los ficheros
En primer lugar deben determinarse el tipo de datos a tratar, que en este caso serán de nivel medio o alto, si se manejan datos de solvencia patrimonial y crédito.
Una vez identificados esos datos, procederemos a la inscripción de los ficheroscorrespondientes ante la Agencia Española de Protección de Datos. Al menos tendremos un fichero correspondiente a los datos de los vecinos de la Comunidad, además, si la Comunidad dispone de un sistema de videovigilancia que graba imágenes, tendríamos un fichero distinto al de vecinos que también debemos inscribir.
Por otro lado, los Administradores de fincas también deben inscribir en la AEPD los ficheros que tengan sobre clientes, proveedores, empleados o videovigilancia, si tienen.
Documento de Seguridad
La Comunidad de vecinos, como responsable de los ficheros, tendrá que adoptar las medidas técnicas y organizativas necesarias para preservar los datos personales contenidos en esos ficheros. Estas medidas se plasman en el Documento de Seguridad, de obligado cumplimiento siempre que se manejan datos personales.
Se considera una infracción grave, según la LOPD “Mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
El contenido mínimo de ese Documento de Seguridad se establece en la LOPD.
Papel de la Comunidad y del Administrador en la Protección de Datos
La Comunidad de propietarios es el responsable del fichero, es decir, la encargada de inscribir los ficheros y de garantizar la protección de los datos personales que maneja para proteger la intimidad y los derechos fundamentales de los vecinos afectados.
Además de la inscripción de los ficheros, la Comunidad, como responsable del fichero, tiene otras obligaciones como:
- Garantizar la veracidad de los datos y que serán tratados para la finalidad para la que fueron recogidos.
- Garantizar el cumplimiento del deber de secreto y de seguridad de los datos.
- Informar a los titulares de los datos de la recogida de estos.
- Obtener el consentimiento de los afectados para realizar el tratamiento de los datos.
- Facilitar el ejercicio de derechos ARCO a los titulares de los datos personales.
- Asegurar el cumplimiento de la LOPD en sus relaciones con terceros.
El Administrador de fincas, por otro lado, se considera encargado del tratamiento. Habitualmente es el Administrador de Fincas quien se encarga de la custodia de esos datos, guardándolos en su propio sistema informático o en archivos ubicados en su propia oficina. Se considera que el Administrador presta un servicio a la Comunidad, por lo que ese servicio es necesario que sea regulado a través de un contrato. En este contrato se deben precisar, entre otras, los motivos de dicho servicio y las medidas de seguridad a aplicar.
El Administrador de Fincas tiene también la obligación de guardar secreto sobre los datos personales a los que accede y de devolver o destruir esos datos una vez finalizada la prestación de servicios para esa Comunidad.
Ubicación de los ficheros de datos personales
Entre los ficheros de una Comunidad de vecinos están, además del fichero con los datos personales de los propios vecinos, los ficheros con datos de proveedores, de personal contratado por la Comunidad, de videovigilancia, etc.
Uno de los problemas más habituales es determinar dónde deben ubicarse esos ficheros. Lo normal es que sea el Administrador quien se encargue de custodiar esos ficheros en sus dependencias o sistemas de información por lo que debe ser éste quién implante las medidas de seguridad necesarias según el nivel del fichero para garantizar la protección de esos datos. El Documento de Seguridad debe estar a disposición de la AEPD en el lugar donde se encuentren ubicados los ficheros.
No obstante, en el contrato firmado entre la Comunidad de propietarios y el Administrador de fincas se establecerá esa obligación de custodia de los ficheros y la implantación de las medidas de seguridad.
Consentimiento y deber de secreto
Sobre el consentimiento, la LOPD establece expresamente que es necesario el consentimiento inequívoco del afectado para tratar sus datos personales.
No es necesario, sin embargo, que la Comunidad tenga que solicitar el consentimiento inequívoco de los copropietarios, ya que la LOPD exonera a la Comunidad de solicitar y obtener el consentimiento cuando se refiera a las partes de una relación laboral o administrativa y sean necesarias para su mantenimiento y cumplimiento. A lo que sí está obligada la Comunidad es a informar a los vecinos sobre la recogida y tratamiento de sus datos y sobre la forma en que pueden ejercer sus derechos ARCO.
Respecto al deber de secreto, la LOPD exige este deber tanto al responsable del fichero como a cualquier persona que realice algún tipo de tratamiento de los datos.
En el caso del Administrador, ese deber de secreto profesional continuará aún después de concluir sus relaciones con la Comunidad responsable del fichero, debiendo destruir o restituir los datos a la comunidad de propietarios, así como los soportes o documentos en los que se incluya algún dato de carácter personal. Sólo podrá conservar datos personales que sean rigurosamente esenciales, siempre y cuando estén bloqueados, durante el periodo de caducidad que marca la legislación fiscal, contable, social y civil.
Cómo cumplir la LOPD en comunidades de propietarios
¿Quién es el responsable del fichero con los datos personales de los vecinos?
El responsable del fichero ante la Agencia Española de Protección de Datos (AEPD), como hemos indicado anteriormente, es la Comunidad de Vecinos, que es la entidad propietaria de los ficheros que decide su creación.
¿Permite la ley que la comunidad transfiera los datos de propietarios a un administrador de fincas?
Puesto que la mayoría de comunidades prefieren contratar un profesional que se encargue de las cuestiones legales, han de entregar los datos personales que manejan a un Administrador de Fincas para que pueda realizar la labor encomendada. Su figura se regula en la LOPD con la calificación de Encargado del Tratamiento.
¿Y qué dice la ley sobre esa cesión y gestión de los datos?
Entre ambos organismos, Comunidad de propietarios y Administrador, es obligatorio que exista un contrato en el que se manifiesten las exigencias del artículo 12 de la LOPD, básicamente:
- Gestionar los datos según las instrucciones del responsable del tratamiento.
- No usarlos con una finalidad distinta a la estipulada en el mencionado contrato, ni comunicarlos ni siquiera para su conservación a otras personas.
- Finalizada la prestación estipulada, los datos y cualquier soporte o documento que los contenga deben ser restituidos al responsable del fichero o bien ser destruidos.
- No podrá subcontratar con un tercero, salvo si obtiene permiso del responsable para poder efectuar esa subcontratación.
Ejemplar de contrato para el administrador
En este artículo especificamos con más detalle la información sobre el contrato que debe firmarse con el administrador de la comunidad.
Uso de datos personales de la Comunidad de propietarios para labores de prospección comercial
Los administradores de fincas no pueden efectuar prospección comercial con los datos de carácter personal de las Comunidades de Propietarios, ya que esto se considera un uso de los datos personales para un fin distinto de aquel para el que fueron recabados, además se consideraría una cesión de datos para la que es necesario el consentimiento cierto e informado del afectado.
La prospección comercial lesiona los derechos de los afectados y puede dar lugar a una infracción tipificada como muy grave, con sanciones económicas que van de los 300.000 € a los 600.000 €. La sanción se aplicará al responsable del fichero, es decir la Comunidad de propietarios, al Encargado del tratamiento, administrador de fincas, o a ambos, dependiendo de cómo esté regulada su relación y, por ejemplo, si disponen de contrato de acceso de datos por cuenta de terceros o no.
¿Hay sanciones de la AEPD contra comunidades de vecinos?
Tristemente son cuantiosos los casos de sanciones de este tipo. Algunos ejemplos disponibles en la web de la AEPD
Ejemplos de sanciones
| Procedimiento | Denuncia | Importe |
|---|---|---|
| PS-00515-2009 | Por no situar el cartel informativo obligatorio en una zona videovigilada. | 1.000 € |
| PS-00657-2009 | Por no tener inscritos sus ficheros. | 600 € |
| PS/00689/2008 | Por exhibir en un tablón de anuncios público los datos de un vecino moroso. | 6.000 € |
¿Cuáles son los incumplimientos que reciben más sanciones?
Hay tres infracciones de la normativa de Protección de Datos que son los más asiduamente castigados por la AEPD en los casos de comunidades de vecinos:
- La no inscripción de los ficheros correspondientes.
- Las zonas videovigiladas pero no señalizadas con los carteles exigidos.
- La difusión de datos de vecinos que tienen deudas con la comunidad.
Obligación de la Comunidad de inscribir ficheros en la AEPD
El primer caso hace referencia al incumplimiento de la obligación establecida por la LOPD de notificar los ficheros a la AEPD. Nos referimos en primer lugar al fichero que indudablemente toda comunidad tiene y en el que se incluyen los datos de los vecinos. Pero también hay que comprobar la posibilidad de que dispongamos de otros ficheros, habitualmente de videovigilancia. Si la finca tiene un sistema de este tipo y asímismo se graban las imágenes, nos encontramos ante un fichero distinto al de vecinos, puesto que además de incluir a estos pueden verse perjudicados también los terceros visitantes de la comunidad.
Debido a esta última circunstancia, la normativa de videovigilancia requiere que toda zona controlada a través de cámaras (independientemente de que graben o no) ha de estar señalizada avisando de este hecho. Este es una infracción fácilmente percibida por parte de las autoridades (la policía municipal es quien realiza normalmente este tipo de denuncias), ya que cualquiera puede ver la existencia de una cámara y la inexistencia del oportuno cartel de aviso.
Publicación de vecinos morosos en el tablón de anuncios de la comunidad
En el último caso nos referimos a una práctica aún muy extendida de colgar en tablones en zonas no restringidas de los portales las actas de las juntas de propietarios o cualquier otra documentación que informe de la situación de morosidad de alguno de los vecinos en relación a la comunidad. La Ley de Propiedad Horizontal obliga a informar de esta situación a los vecinos, que es lógico que sepan con detalle la situación económica de lo que al fin y al cabo es un bien común, pero esta obligación ha de cumplirse de manera que no nos arriesguemos a que terceros (por ejemplo, visitantes o familiares de otro vecino) puedan acceder a esa información.