Los Administradores de Fincas son un colectivo que desempeña un doble papel: además de llevar la gestión material de los tratamientos de las Comunidades de Propietarios en el marco de la prestación de sus servicios a las Comunidades, al mismo tiempo actúan en calidad de asesores de las mismas en todo lo relacionado con la protección de los datos que tratan. Por ello los Administradores de Fincas actúan generalmente en calidad de encargados del tratamiento.
Por este motivo, la Agencia Española de Protección de Datos (en adelante, AEPD), ha decidido publicar una Guía dirigida a los Administradores de Fincas con el fin de asistirles en la tarea de mejorar el nivel de protección de datos de las Comunidades de Propietarios.
Para comenzar con el análisis de la primera parte de esta Guía, debemos preguntarnos cul es la legitimación que los Administradores de Fincas tienen para el tratamiento de datos de carácter personal cuando actúan por cuenta de las Comunidades de Propietarios, es decir, como encargados de tratamiento. En este caso, las bases de legitimación son dos:
- Al actuar los Administradores de Fincas en calidad de encargados de tratamiento con las Comunidades a las que prestan servicios, están legitimados para tratar y disponer los datos de los propietarios que sean necesarios para la gestión ordinaria de los asuntos de la Comunidad.
- La otra base que otorga legitimación a los Administradores para tratar los datos de los propietarios que integran la Comunidad es el cumplimiento de una obligación legal, de conformidad con el artículo 20 de la Ley de Propiedad Horizontal (en adelante, LPH).
Ahora que conocemos las bases que legitiman el tratamiento de datos de la Comunidad por parte de los Administradores, ¿qué categorías de datos son tratados por ellos?
Al tratamiento principal y más común que realizan los Administradores a la hora de gestionar de forma contable, fiscal y administrativa la Comunidad se le denomina “Gestión de la Comunidad de Propietarios” y los datos personales que generalmente son objeto del mismo pueden ser los siguientes: nombre del propietario, teléfono, dirección fiscal, DNI, correo electrónico. En este punto hemos de advertir que los Administradores también pueden disponer de otros datos personales de los copropietarios siempre atendiendo a la pertinencia, adecuación y limitación de estos al fin para el que son recabados.
Otro tratamiento de datos que podemos encontrar es el de “videovigilancia” o “cámaras de seguridad” ya que, en algunas Comunidades de Propietarios se aprueba la instalación de este tipo de sistemas cuya finalidad principal es la seguridad y control de accesos al inmueble. Para reflejar todo lo que hemos expuesto hasta este momento, es necesario que las Comunidades de Propietarios, las cuales actúan como responsables, sean poseedoras de un Registro de Actividades de Tratamiento (en adelante RAT). Pero la tenencia de un RAT no solo es obligación de las Comunidades sino también de los Administradores de Fincas que, en este caso, actúan como encargados de tratamiento de los datos de las Comunidades.
Como hemos visto, el Administrador de Fincas actúa en calidad de encargado de tratamiento de los datos que maneja, en el ejercicio de las funciones que le atribuye la LPH, de la Comunidad de Propietarios, la cual actúa como responsable del tratamiento de sus datos en su labor de asegurar el correcto desenvolvimiento de la comunidad.
Entonces, para que la relación entre el responsable –Comunidad de Propietarios– y el encargado de tratamiento –Administrador– continúe ajustándose a la normativa de protección de datos, ¿Qué condiciones debe seguir el encargado? Las encontramos en el artículo 28 del RGPD y, en síntesis, son las siguientes:
- Delimitar la finalidad del acceso a los datos que, en este caso, es prestar un servicio a la Comunidad de Propietarios prevista contractualmente y por escrito preferentemente donde se especifiquen las obligaciones de las partes contratantes.
- El fin del tratamiento de datos por parte del Administrador se debe establecer expresamente en el contrato además de indicarse en él las instrucciones de uso de los mismos como, por ejemplo, la no utilización de los datos con un fin distinto al señalado ni la comunicación de los datos a otras personas. Por tanto, el Administrador debe limitarse a emplear los datos en el ámbito de las funciones que la Comunidad le haya indicado.
- Deber de confidencialidad en el tratamiento de los datos personales tanto del Administrador de Fincas como de sus empleados.
- Devolución de toda la documentación a la Comunidad, en cualquier soporte, en la que consten datos de carácter personal objeto de tratamiento, una vez finalizada la relación contractual entre el Administrador y la Comunidad. Sin embargo, el Administrador podrá conservar esos datos mientras pudieran derivarse responsabilidades de su relación con la Comunidad.
- Asistir y auxiliar a la Comunidad en diversos supuestos:
- Cuando se ejercite por algún afectado alguno de los derechos que reconoce la normativa de protección de datos.
- Cuando se produzca una brecha de seguridad.
Si el Administrador incumple alguna de las obligaciones expuestas, tendrá la consideración de responsable de tratamiento, respondiendo así de las infracciones en que hubiera incurrido.
Pinchando aquí obtendrás toda la información adicional necesaria sobre la figura de los encargados de tratamiento.
Por último, debemos hacer referencia a las obligaciones de los Administradores de Fincas establecidas por la normativa de protección de datos, las cuales vamos a dividir en dos grupos:
- Obligaciones de los Administradores derivadas de su actividad específica en el ámbito de las Comunidades de Propietarios.
Aunque las Comunidades de Propietarios sean las principales obligadas en dar cumplimiento a la normativa de protección de datos, es también deber de los Administradores de Fincas, como encargados de tratamiento, facilitar a las Comunidades toda la información necesaria para adecuar sus tratamientos de datos de carácter personal a la mencionada normativa, tanto en la actividad ordinaria de la Comunidad como en la relativa a la contratación de servicios con terceros.
Esta exigencia está íntimamente relacionada con el principio de responsabilidad proactiva, del cual hablamos en su día en el blog y que puedes echar un vistazo en este enlace. En síntesis, tal y como dispone la Guía, este principio exige una actitud consciente, diligente y proactiva por parte de las Comunidades de Propietarios y por los Administradores de Fincas frente a todos los tratamientos de datos personales que lleven a cabo.
A lo largo del artículo, también hemos hecho mención del RAT y la obligatoriedad de conservar dicho registro tanto a las Comunidades como a los Administradores, en la medida que los tratamientos de datos que en él se incluyen, no son ocasionales.
Otra obligación importante que deben cumplir los Administradores es el derecho de información en el momento de recogida de datos personales. Por lo tanto, se debe informar a los copropietarios expresa e inequívocamente en los términos expuestos en los artículos 13 y 14 del RGPD.
Como ya hemos comprobado durante la exposición de las condiciones que debe seguir un encargado de tratamiento a la hora de desempeñar esa figura, los Administradores de Fincas, también deben cumplir con los principios recogidos en el RGPD: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva. Estos principios garantizan que los datos de los comuneros serán tratados por parte del encargado de manera segura y adecuada.
Aunque hemos hecho alusión al deber de confidencialidad con anterioridad, debemos recordar que este principio conlleva que, durante el tratamiento de datos de carácter personal, ni los Administradores ni sus empleados, pueden revelar su contenido, teniendo el deber de custodiarlos, el cual subsistirá aun después de finalizada la relación con la Comunidad.
Por lo tanto, el Administrador de Fincas, al actuar como encargado de tratamiento, no podrá comunicar los datos a otras personas, ni tan siquiera para su conservación. Sólo en el caso de subcontratación de servicios, como por ejemplo de “cloud computing”, podrá comunicar dichos datos contando con autorización previa de la Comunidad, informando a la Comunidad de cualquier modificación que pudiera producirse.
- Obligaciones en materia de seguridad en los tratamientos de datos personales de las Comunidades de Propietarios.
El RGPD prevé que los responsables y encargados del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
En este punto debemos preguntarnos, ¿Qué medidas de seguridad se pueden implementar? Vamos a enumerar una serie de medidas técnicas de salvaguarda que pueden servir de ayuda tanto a las Administradores como a las Comunidades para reforzar la seguridad de sus datos:
- A la hora de usar dispositivos electrónicos que se utilicen para el tratamiento de datos personales es recomendable disponer de un usuario y contraseña diferenciados, cambio periódico de contraseñas y que las mismas sean robustas además de disponer de varios perfiles en el caso de que se utilice el mismo ordenador para el ejercicio profesional y el personal.
- Los dispositivos electrónicos siempre deben mantenerse actualizados.
- Los sistemas de antivirus son imprescindibles en los dispositivos que almacenen datos personales. Asimismo, para una mayor protección, la implantación de un cortafuegos evitara los accesos remotos no autorizados a los ordenadores.
- El cifrado de datos es una herramienta clave a la hora de mantener la confidencialidad de los mismos. Sobre todo, es muy recomendable utilizarlo cuando se precise la extracción de los datos personales fuera del lugar habitual, tanto por medios físicos como digitales.
- Por último, la realización de copias de seguridad nos va a permitir recuperar y disponer nuestra información siempre que lo necesitemos. Debe realizarse de forma periódica y en un soporte distinto al habitual.
Después de detallar las posibles medidas de seguridad para implantar en la Comunidad de Propietarios, debemos plantearnos ¿Dónde va a estar ubicado el fichero con los datos personales del responsable?
En este caso, lo más frecuente es que el propio Administrador de Fincas se encargue de la custodia de esos datos, por lo que será él quien deberá implementar las medidas técnicas y organizativas adecuadas para la custodia de la documentación. En la segunda parte del análisis de esta Guía, abordaremos los distintos supuestos y problemas que a nivel práctico pueden suceder en una Comunidad de Propietarios y como solventarlos, siempre desde la perspectiva de la protección de datos.