Claro está que una comunidad de propietarios no tiene las dimensiones de una gran empresa de ecommerce, por ejemplo. No obstante, gestiona datos de sus integrantes, empleados y proveedores, aunque no sea de manera masiva. Razón por la que debe acatar las normativas de protección de datos vigentes. Aplicar la LOPDGDD en comunidades de vecinos implica cumplir con una serie de obligaciones y tomar ciertas medidas que garanticen la seguridad de la información suministrada y su uso estricto para fines relacionados con la administración y funcionamiento del edificio o conjunto residencial.
Es relevante recordar qué es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esencialmente, se trata de la adaptación del ordenamiento jurídico español al Reglamento General de Protección de Datos de la Unión Europea 2016/679 (RGPD). Sigue leyendo para conocer los aspectos más importantes del tratamiento de datos en este ámbito, acatando lo contemplado en dichas normativas.
LOPDGDD en comunidades de vecinos, ¿quién es quién?
En primer lugar, es básico identificar a quienes intervienen en la gestión de datos de una comunidad de vecinos según los mencionados textos legales:
- Afectados o interesados. Es decir, los titulares de los datos. En este caso, los propietarios, copropietarios o inquilinos que viven en la comunidad. A los que pueden añadirse otras categorías como empleados y proveedores.
- Responsable del tratamiento. Este cargo lo ejerce la misma comunidad de vecinos mediante el presidente y demás miembros de la junta de propietarios. De hecho, las comunidades de propietarios están integradas por todos los propietarios de una misma edificación y se rigen por estatutos propios. Como parte de sus funciones debe tener acceso y tratar los datos de los interesados.
- Encargado del tratamiento. Si la comunidad de propietarios contrata a un administrador de fincas externo, este ejercerá como encargado del tratamiento, por requerir el acceso a los datos.
Contratación del administrador de fincas
En función de la aplicación del LOPDGDD en comunidades de vecinos, el artículo 28 de dicho instrumento legal expone las obligaciones del responsable y del encargado del tratamiento. Allí, también hace referencia a los artículos 24 y 25 del RGPD que describe las tareas de estos cargos. Pero es pertinente recordar que, de contar con los servicios de un administrador de fincas externo, el responsable ha de formalizar un contrato con este. De esta forma dará cumplimiento al artículo 28.3 del Reglamento Europeo, donde también se establecen las condiciones que deben figurar en el contrato. Entre ellas:
- Tratar los datos personales únicamente por instrucciones documentadas del responsable.
- No aportar datos a terceros sin consultar al responsable y sin obtener su consentimiento.
- Aplicar medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad ajustado al riesgo del tratamiento.
- Suprimir o devolver todos los datos personales una vez finalizada la prestación de sus servicios de tratamiento, a petición del responsable; así como suprimir las copias existentes, salvo que se requiera conservar dicha información en virtud del Derecho de la Unión o de los Estados miembros.
¿Cómo implementar la LOPDGDD en comunidades de vecinos?
Implementar la Ley que nos ocupa en tu comunidad de propietarios consiste en cumplir un conjunto de obligaciones relacionadas con la protección de datos:
Registrar las actividades de tratamiento de datos
La comunidad de vecinos como responsable y el administrador de fincas como encargado del tratamiento han de llevar un registro de las actividades de tratamiento. Esta información es esencial al aplicar la LOPDGDD en comunidades de vecinos. La misma consiste en una lista al detalle de los tipos de tratamientos de datos realizados en la comunidad (Artículo 31). En concreto debes determinar allí: datos de identificación de propietarios y/o inquilinos; identificación de empleados y datos provenientes de vídeo-vigilancia. El mencionado documento es de carácter interno y no es necesario enviarlo a la Agencia Española de Protección de Datos (AEPD), que es el organismo de control en esta materia. Pero sí debe estar siempre a disposición de este.
Al respecto, este registro de actividades de tratamiento de datos incluirá:
- Identificación del responsable y encargado del tratamiento de datos.
- Propósitos del tratamiento.
- Especificación de las categorías de afectados y de datos personales captados.
- En caso de requerir compartir datos con terceros dentro o fuera del ámbito de la UE, identificar a los destinatarios y las categorías de datos.
- Establecer los plazos para la supresión de los datos.
- Describir las medidas de seguridad para garantizar la confidencialidad e integridad de los datos.
La confidencialidad es clave al aplicar la LOPDGDD en comunidades de vecinos
La comunidad de propietarios y el administrador, en sus condiciones de responsable y encargado del tratamiento, respectivamente, están obligados a mantener y garantizar la confidencialidad de los datos personales gestionados.
Limitación y calidad de datos
Responsable y encargado deben aplicar el principio de minimización de datos. En concreto, solo se captarán y gestionarán datos adecuados, pertinentes y limitados a los propósitos del tratamiento. Por otro lado, es indispensable cuidar la calidad de datos. Lo que supone estar pendientes de su actualización y exactitud. Por tanto, han de tomarse las medidas necesarias para suprimir o corregir la información errónea.
Derechos ARCO
Los derechos ARCO o ARSULIPO son mecanismos previstos tanto en el RGPD como en la LOPDGDD para que los interesados controlen sus datos personales. Tales derechos son: Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición. También, estos derechos deben garantizarse a los integrantes de las comunidades de vecinos.
Conservación de los datos
Como dijimos anteriormente, es imprescindible incluir en el registro de actividades de tratamiento un plazo para suprimir los datos personales. Dicho plazo no está especificado en los instrumentos legales que nos ocupan. No obstante, debes ser tú como presidente de la comunidad y responsable del tratamiento quien debe definirlo. Para ello, debes tener en cuenta la finalidad para la que fue recabada la información. Al igual que la eventual aplicación de otras leyes que obliguen a conservar parte de estos datos. Una vez vencido este plazo, procederás a suprimirlos o, como mínimo, a bloquearlos.
Tratamiento con fines de videovigilancia
Este es un punto delicado en la aplicación de la LOPDGDD en comunidades de vecinos. Según el artículo 22 de la citada Ley, es lícito el tratamiento de imágenes mediante sistemas de videovigilancia. Pero solo para garantizar la seguridad de personas, bienes e instalaciones, en este caso, en el ámbito de la comunidad de vecinos. La misma disposición contempla el deber de informar de manera visible a los interesados la existencia de un mecanismo de esta naturaleza. Igualmente, este aviso incluirá la información sobre el responsable del tratamiento y las vías a través de las que sea posible ejercer sus derechos ARCO.
De la misma forma, el citado artículo establece que el plazo máximo para suprimir las imágenes será de un mes desde su captación. A menos que exista necesidad de conservarlos para “acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”. En tal caso, las autoridades competentes tendrán acceso a las imágenes en un plazo máximo de 72 horas desde que se tenga conocimiento de la grabación. Por otro lado, no aplica a estos tratamientos la obligación de bloqueo establecida en el artículo 32 de la misma Ley.
Obviamente, la instalación de estos sistemas de videovigilancia debe contar con la aprobación de la Junta de Propietarios. Asimismo, debe regirse por el principio de proporcionalidad. En otras palabras, solo habrá cámaras en lugares como la entrada, pasillos, aparcamientos y otros que no comprometan la intimidad de los propietarios y visitantes.
No implementar la LOPDGDD en comunidades de vecinos acarrea sanciones
Es cierto que las comunidades de propietarios no tienen ingresos como los de una gran corporación. En consecuencia, no se les puede aplicar las mismas cuantías de multas previstas en el RGPD. Aun así, la Agencia Española de Protección de Datos puede establecer sanciones para las infracciones de este tipo. Para ese propósito, tendrá en cuenta el nivel de gravedad de la falta, la cantidad de personas afectadas y el tiempo durante el que se mantenga la ilegalidad.
En Legal Veritas podemos ayudar a implementar la LOPDGDD en comunidades de vecinos. Aunque nuestra especialidad es la asesoría legal y la prestación de servicios para adaptar canales digitales a la normativa de protección de datos, estamos capacitados para apoyar a tu comunidad para cumplir con este instrumento legal y evitar multas. ¡Consúltanos!
Deja una respuesta