Cargando.
Por favor espere.

menu

Iniciar sesión
NIF



Clave




¿No tienes Cuenta?
Regístrate
¿Olvidaste tu contraseña?


Acceso para usuarios

NIF



Clave




¿No tienes Cuenta?
Regístrate
¿Olvidaste tu contraseña?

BlogCategoria
BlogCategoria

¿Qué debemos tener en cuenta sobre Protección de Datos en las comunidades de propietarios desde el 25-05-2018?

Agregado el 01 de julio de 2018 por fincasoft

foto entrada blog_noticias/que-debemos-tener-en-cuenta-sobre-proteccion-de-datos-en-las-comunidades-de-propietarios-desde-el-25052018/imagen.jpg
¿QUÉ DEBEMOS TENER EN CUENTA SOBRE PROTECCIÓN DE DATOS EN LAS COMUNIDADES DE PROPIETARIOS DESDE EL 25-05-2018?
 
NORMATIVA APLICABLE EN ESPAÑA
 
1º Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en proyecto un nuevo texto para adaptarse a la nueva normativa comunitaria).
 
2º Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
 
3º Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
 
DATOS DE LAS COMUNIDADES DE PROPIETARIOS OBJETO DE TRATAMIENTO
 
La normativa actual no establece límite sobre qué datos deben ser objeto de tratamiento, por tanto, todos aquellos necesarios para la gestión habitual de la comunidad y que no resulten excesivos: nombre de los propietarios, direcciones, números de identificación, teléfonos, emails, cuentas bancarias, etc.
 
OBLIGACIONES DE LA COMUNIDAD DE PROPIETARIOS PARA CUMPLIR CON LA  NORMATIVA DE PROTECCIÓN DE DATOS.
 
1º Es recomendable llevar internamente un registro de las actividades del tratamiento. No es obligatorio, (art.30.5 del reglamento) pero se trata de una buena medida de “responsabilidad activa” y facilita el correcto cumplimiento de la normativa, al igual que los Administradores de Fincas.
 
¿Qué información debe constar en el registro?
 
a) El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
b) Los fines del tratamiento.
c) Una descripción de las categorías de interesados y de las categorías de datos personales.
d) Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
e) En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas.
f) Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
g) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
 
También el encargado de tratamiento deberá llevar un registro de todas las categorías de actividades de tratamiento efectuadas por el responsable donde se debe incluir:
  1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos.
  2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
  3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas.
  4. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
 
Dichos registros deberán constar por escrito y en formato electrónico.
(Art. 30 del RGPD)
 
¿Cómo se elabora el registro?
 
a. La Agencia Española de Protección de Datos (AEPD) permite obtener una copia digital del contenido completo de la declaración de los ficheros.
 
b. El Responsable del tratamiento (comunidad de propietarios) está obligado a incluir:
 
  • Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el artículo 5 del RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.
  • Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: será ésta una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los artículos 33 y 34 del RGPD.
 
La AEPD  ha puesto a disposición de los responsables del tratamiento la aplicación FACILITA_RGPD cuyo uso recomendamos.
 
A modo de ejemplo para su elaboración la propia AEPD ha publicado su registro de actividades.
 
2º Documento de seguridad
 
El Administrador debe realizar un documento de seguridad como encargado del tratamiento.
 
Dicho documento debe localizarse en el lugar en el que se encuentre el fichero.
 
Para la adaptación del documento al RGPD debe tenerse en cuenta el principio de proactividad, cuya finalidad es la adopción de todas las medidas posibles que permitan demostrar que se realizó un tratamiento acorde con la normativa de protección de datos, para ello es necesario realizar una evaluación del riesgo.
 
La relación entre el Administrador y la Comunidad de propietarios debe constar por escrito (art. 28 RGPD).
 
Responsable del tratamiento de los datos personales: Comunidad de propietarios.
 
Encargado del tratamiento: Administrador.
 
El Administrador únicamente debe acceder a los datos con la finalidad exclusiva de prestar un servicio a la Comunidad, pues se en caso contrario podría ser considerado como responsable del tratamiento a efectos de sanciones. En caso de que el uso de los datos se realizara con fines no comprendidos en la Ley de Propiedad Horizontal (LPH) es necesario el consentimiento de todos los propietarios, con la novedad del RGPD que obliga a que el consentimiento sea expreso e inequívoco.
 
4º El Administrador, como encargado del tratamiento, debe asesorar a la Comunidad para el cumplimiento de la Ley, por lo que deberán facilitar toda la información necesaria relativa a la actividad de esta.
 
Para el cumplimiento del deber de información, tal y como establece la AEPD, se debe informar a todos los comuneros de manera “expresa e inequívoca” de la existencia de un tratamiento, de la identidad y dirección del responsable del tratamiento, de su finalidad, de los destinatarios y  de la posibilidad de ejercer los derechos establecidos en el RGPD.
 
5º Principio de Calidad de datos, se deben recabar únicamente los datos necesarios y/o pertinentes para el funcionamiento de la Comunidad para las finalidades establecidas en la LPH.
 
6º Conservación de datos, este principio requiere la cancelación de los datos personales una vez que éstos dejan de ser necesarios para la finalidad por la que fueron recabados, dichos plazos deben ser definidos y comunicados a los propietarios,  aunque se permite la conservación de los mismos durante el tiempo en el que pueda exigirse responsabilidades (en el caso de los Administradores de fincas se podrán conservar datos durante el periodo de prescripción social, civil y/o fiscal) dichos datos quedarían bloqueados pudiendo únicamente estar a disposición de los Tribunales.
 
7º El deber de secreto implica que los responsables de la Comunidad (presidente, Junta Directiva) y los administradores no puedan revelar cualquier tratamiento que se haga de los datos personales, subsistiendo dicha obligación una vez finalizadas la relación con la Comunidad.
 
El Administrador no puede ceder datos de los propietarios a terceros, salvo consentimiento expreso. Para realizar cualquier tipo de cesión de datos es necesario el consentimiento expreso de los propietarios, y debe informarse sobre el uso que se le va a dar a los datos y el proceso de revocación del consentimiento. La falta de consentimiento únicamente se puede suplir en aquellos casos contenidos en la normativa de protección de datos.
 
CASOS CONTROVERTIDOS EN RELACIÓN A LA NORMATIVA DE PROTECCIÓN DE DATOS.
 
1º Para la convocatoria a Junta por el 25% de los propietarios, ¿pueden cederse los datos de los comuneros a los convocantes?
 
La LPH legitima al 25% de los comuneros a convocar la junta, pero para poder realizar correctamente la notificación son necesarios los datos de todos los comuneros.
Conforme a la redacción del art 6.1f) del RGPD, entendemos que es válido el tratamiento si éste es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, por lo que en caso de la convocatoria a Junta por el 25% de los comuneros resultaría, en principio, legítima la cesión únicamente para cumplir con la convocatoria a Junta conforme a la LPH.
 
2º Para la apertura de una cuenta bancaria de la comunidad de propietarios, o con motivo de la renovación de cargos, ¿puede entregarse el acta a la entidad financiera?
Para evitar vulnerar el principio de proporcionalidad recogido en el RGPD,  lo adecuado es que el Secretario/Administrador certifique tal acuerdo (como en los casos de reclamación a morosos) con el fin de no mostrar las actas comunitarias a terceros.
 
3º Si un propietario solicita el acceso a la documentación de la Comunidad, ¿se le puede entregar la información?
 
No existe norma en la LPH que obligue a entregar información al propietario, sin embargo, se entiende que puede existir un interés legítimo, que es la garantía de la gestión transparente de la finca.
 
Al implicar el acceso a determinados datos de cará cter personal, dicha actuación deberá realizarse conforme al principio de minimización de datos y proporcionalidad, que obliga a que sólo se podrá tener acceso a aquellos que resulten adecuados, pertinentes y limitados para el cumplimiento del interés legítimo, debiendo adoptar en todo caso las medidas de seguridad. 
 
Por ejemplo, la AEPD entiende que el acceso a las nóminas de los trabajadores no estaría legitimado al resultar excesiva, al contrario de la consulta a documentos contables en los que se refleja la retribución de los trabajadores.
 
4º ¿Es posible conocer por parte de un vecino el nombre del resto de propietarios del inmueble?
 
Uno de los supuestos que contempla el Reglamento General de Protección de Datos que legitima el tratamiento de datos personales es la satisfacción del interés legítimo aducido por el responsable o un tercero. Este interés legítimo se aplicaría en este supuesto, por lo que existe un interés legítimo de un propietario de conocer el nombre y apellidos del resto de propietarios.
 
5º ¿Se puede exponer, cumpliendo ciertos requisitos, en el tablón de anuncios de la comunidad la relación de los vecinos morosos?
 
La Ley de Propiedad Horizontal, en su artículo 16.2 prevé que "la convocatoria de la Junta contenga la relación de vecinos morosos que estén privados del voto", siendo una buena práctica la notificación de la convocatoria individual por correo, la inclusión en cajetín, o mediante intranet con clave y contraseña, evitándose cualquier medio que pueda suponer el acceso por terceros (Internet).
 
No obstante la difusión de la lista de un vecino deudor podrá publicarse únicamente en el supuesto recogido en el artículo 9 de la Ley de Propiedad Horizontal apartado h) párrafo segundo, "Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto." Para proceder de esta forma deberán acreditarse los intentos de notificación.
 
No es legal, desde la óptica de protección de datos, exponer la lista de vecinos deudores a la vista de terceros.
 
 

CAMARAS DE VIGILANCIA
 
Necesidad del acuerdo de junta, con la recomendación de que en dicho acuerdo consten las características del sistema a instalar, tales como:
a) Número de cámaras a instalar.
b) Espacio captado por las mismas.
 
Información de la instalación de cámaras donde debe constar la identidad del responsable del tratamiento y la dirección a la que puede dirigirse para solicitar los derechos, la instalación solo puede ceñirse a zonas comunes.
 
Colocación de la nueva placa de información sobre videovigilancia, ya publicada por la AEPD. Se colocarán uno o varios carteles, de forma visible y en los distintos accesos a la zona videovigilada.
 
4º La Comunidad deberá designar y hacerlo constar por escrito, las personas designadas al acceso de las imágenes. Si el mismo es realizado con conexión a Internet debe restringirse con una cuenta de usuario y contraseña.
 
Adaptación previa al funcionamiento de la cámara de videovigilancia del registro de las actividades de tratamiento.  Se trata de un documento interno. La AEPD facilita un modelo de este registro.
 
6º También se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos.  Esta información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios, o ser accesible a través de Internet.
 
7º Si se usan las cámaras para controlar a los trabajadores, consulte la ficha sobre “CÁMARAS PARA EL CONTROL EMPRESARIAL” existente en la web de la AEPD.
 
8º En relación a la instalación de las cámaras: Las cámaras solamente podrán captar imágenes de las zonas comunes de la comunidad. No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble, ni tampoco imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Si se utilizan cámaras orientables y/o con zoom será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros
 
La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad de propietarios del cumplimiento de la normativa en materia de protección de datos personales.
 
10º Monitores y visualización de las imágenes: El acceso a las imágenes estará restringido a las personas designadas por la comunidad. En ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria. Si el acceso se realiza con conexión a Internet se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes. Una vez instalado el sistema, se recomienda el cambio de la contraseña, evitando las fácilmente deducibles.
 
11º Sistema de grabación: El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. A las imágenes grabadas accederá sólo el personal autorizado que deberá introducir un código de usuario y una contraseña. Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación, transcurrido el cual se procederá al borrado. Las imágenes que se utilicen para denunciar delitos o infracciones se acompañarán a la denuncia y serán conservadas para su posible entrega a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que las requieran. No podrán utilizarse para otro fin. La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al responsable del tratamiento será el documento que ampare a éste para ceder datos a las misma
CÁMARAS PARA VIGILAR MI PLAZA DE GARAJE
 
Se aplicará siempre que el garaje forme parte de un espacio compartido por el que puedan transitar el resto de los propietarios o terceros que acceden al mismo.
 
Redundando en lo ya descrito sobre la existencia de cámaras de videovigilancia en la Comunidad:
 
1º Previamente a su puesta en funcionamiento, se elaborará el registro de actividades referido a este tratamiento. Se trata de un documento interno. La AEPD ofrece en su Guía sobre el uso de videocámaras para seguridad y otras finalidades de un modelo de registro de actividades.
 
Derecho de información. En todos los casos se deberá informar de la existencia de un sistema de videovigilancia. A este fin se colocará un cartel suficientemente visible en los accesos a las zonas vigiladas, que indicará de forma clara la identidad del responsable de la instalación y, si constituye un fichero, ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos. La AEPD pone a su disposición un modelo de cartel. Igualmente, se pondrá a disposición de los afectados el resto de la información a la que se refiere el artículo 13 del Reglamento General de Protección de Datos (RGPD).
 
Instalación: Las imágenes captadas por las cámaras se limitarán a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en las actas correspondientes. No se captarán imágenes de plazas de aparcamiento ajenas. Tampoco podrán captarse imágenes de la vía pública, terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Si se utilizan cámaras orientables y/o con zoom será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.
 
La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a su titular del cumplimiento de la normativa de protección de datos.
 
El acceso a las imágenes será exclusivamente del responsable del sistema sin que puedan ser accesibles por personas distintas. Si el acceso se realiza con conexión a Internet se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por la persona que pueda acceder a dichas imágenes. Una vez instalado el sistema, se recomienda el cambio de la contraseña, evitando las fácilmente deducibles.
6º El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. A las imágenes grabadas accederá sólo la persona autorizada que deberá introducir un código de usuario y una contraseña.
 
Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación, transcurrido el cual se procederá al borrado. Las imágenes que se utilicen para denunciar delitos o infracciones se acompañarán a la denuncia y serán conservadas para su posible entrega a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que lo requieran. No podrán utilizarse para otro fin. La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del fichero será el documento que ampare a éste para ceder datos a las mismas o a los Juzgados y Tribunales que lo requieran.
 
 
EMPLEADOS DE FINCAS URBANAS
 
En lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato.
 
Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de dichos directorios o de las nóminas de personal resultará contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.
 







volver