Como ya sabes, todas las personas, empresas u organizaciones que manejen datos personales están obligados al cumplimiento de la Ley Orgánica de Protección de Datos. En este sentido, también es obligatorio el cumplimiento de la ley de protección de datos en la comunidad de vecinos, pues sus responsables tienen acceso a datos como nombres, teléfonos o direcciones de los propietarios integrantes de las mismas.
Por otro lado, las comunidades de vecinos también contratan servicios con terceros. Por ejemplo, cuando contratan al administrador de fincas. Así pues, como esto se considera una comunicación de datos, es necesario obtener el consentimiento de todos los vecinos.
No obstante, según el art. 6.3 LOPD no es necesario que la comunidad tenga que solicitar el consentimiento inequívoco de los copropietarios para tratar sus datos personales: «cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento«.
Obligaciones de la comunidad de propietarios en protección de datos
Las obligaciones de las comunidades de vecinos para el efectivo cumplimiento de la LOPD son:
Inscripción de los ficheros
Primero debemos determinar el tipo de datos a tratar que en este caso serán de nivel medio o alto, si manejamos datos de solvencia patrimonial o crédito.
Una vez identificados los datos, procedemos a la inscripción de los ficheros ante la Agencia Española de Protección de Datos (AEPD).
Toda comunidad de propietarios debe inscribir al menos un fichero: el de los vecinos que la integran.
Además, si la comunidad dispone de un sistema de vídeo vigilancia que graba imágenes, tendría que inscribir también este fichero.
Respecto a los sistemas de vídeo vigilancia, antes de instalarlos, debes obtener el consentimiento de los vecinos mediante acuerdo de la junta de propietarios. De lo contrario podrías ser sancionado con una multa de 60.101,21€ a 300.506,05€.
Como ejemplo de lo anterior la AEPD impuso un sanción, por importe de 2.000€, a una comunidad de propietarios por instalar cámaras en el garaje sin el consentimiento de los vecinos.
También debemos aclarar que la instalación de vídeo porteros no comporta la inscripción de fichero alguno ante la AEPD. Tal y como ha declarado ésta en su resolución de fecha 03/03/2016 «el vídeo portero se limita a su función de verificar la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda, no contando con sistema de grabación ni se articula mediante procedimientos que reproducen imágenes de manera constante».
Así pues, cuando la cámara permita reproducir en tiempo real y de forma constante las imágenes que concurren en la portería de un edificio, se excede del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, sujeto a la normativa de protección de datos.
Documento de seguridad
La comunidad de propietarios, como responsable de los ficheros, debe adoptar todas las medidas técnicas u organizativas acordes con su nivel de seguridad con objeto de salvaguardar los datos personales contenidos en esos ficheros.
Debes tener en cuenta que la LOPD estipula como infracción grave “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
Calidad de los datos
Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
Deber de guardar secreto
Garantizar el cumplimiento de los deberes de secreto y de seguridad de los datos.
Deber de información
Informar a los titulares de los datos personales de la recogida de éstos y obtener el consentimiento para el tratamiento de los datos personales.
Atención de los derechos de los ciudadanos
Dentro de esta obligación se recogen los siguientes deberes:
- Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
- Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
- Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.
Relación entre la Comunidad de propietarios y su administrador de fincas
En materia de protección de datos la comunidad de propietarios es la responsable del fichero ante la AEPD, pues es la propietaria de los mismos y decide su creación.
Por tanto, está obligada a inscribir los ficheros y garantizar la protección de los datos personales manejados con objeto de proteger el derecho a la intimidad de los vecinos afectados.
El administrador de fincas, por otro lado, se considera encargado del tratamiento pues presta a la comunidad servicio de administración y gestión de la misma, encargándose de la custodia de los datos, guardándolos en su propio sistema informático o archivos ubicados en su oficina.
El administrador de fincas también tiene obligación de guardar secreto profesional sobre los datos personales a los que tiene acceso, así como también debe devolver o destruir esos datos una vez haya finalizado la prestación de servicios.
Por tanto, se deberá firmar un contrato que contenga las exigencias del art. 12 LOPD, principalmente:
- Gestionar los datos siguiendo las instrucciones del responsable del fichero.
- No usarlos con una finalidad distinta a la mencionada en el contrato, ni comunicarlos, ni siquiera para su conservación, a otras personas.
- Una vez finalizada la prestación de servicios, los datos y cualquier soporte o documento que los contenga deben ser restituidos al responsable del fichero o bien ser destruidos.
- No podrá subcontratar con un tercero, salvo si obtiene permiso del responsable para poder efectuar esa subcontratación.
Localización de los ficheros de datos personales
Uno de los problemas más habituales es determinar dónde se deben ubicar los ficheros.
Habitualmente, el administrador es quien se encarga de custodiar los ficheros en sus oficinas por lo que debe ser éste quién implante las medidas de seguridad necesarias según el nivel de seguridad del fichero y, por tanto, el documento de seguridad debe estar en el lugar en que se encuentren los ficheros.
Sin embargo, el contrato firmado entre administrador de fincas y comunidad de propietarios establecerá esa obligación de custodia de los ficheros y la implantación de las medidas de seguridad.
Sanciones comunes de la AEPD contra las comunidades de propietarios
Desgraciadamente las comunidades de propietarios aún desconocen la normativa vigente en materia de protección de datos y son numerosas y cuantiosas las sanciones de las que son objeto.
Dentro de la variedad de sanciones castigadas por la AEPD nos centraremos en los tres casos más comunes:
Incumplimiento de obligación de inscripción de los ficheros
Principalmente la no inscripción del fichero de vecinos. Aunque también debemos comprobar la posibilidad de que debamos inscribir otros ficheros como vídeo vigilancia o proveedores. Aquí puedes ver un ejemplo de sanción en este ámbito.
Falta de señalización de la zona videovigilada
Debes saber que la normativa de vídeo vigilancia exige que toda zona controlada a través de cámaras (independientemente de que graben o no) ha de estar señalizada mediante el correspondiente aviso. Te dejamos un ejemplo de sanción sobre este asunto.
Difusión de datos de vecinos morosos en el tablón de anuncios de la comunidad
Por último y no menos importante, mencionar la práctica, todavía habitual en muchas fincas de propietarios, consistente en colgar en tablones de zonas accesibles de los portales las actas de juntas de propietarios o, cualquier otra documentación que informa de la situación de morosidad de alguno de los vecinos con la comunidad.
Si bien la Ley de Propiedad Horizontal obliga a informar de esta situación a los vecinos, este deber ha cumplirse sin que terceros (visitantes, carteros, mensajeros, visitantes o familiares de otro vecino) puedan acceder a esa información. De hecho, también existen sanciones en este sentido.
En caso de que tu comunidad siga esta práctica debes saber que se trata de una infracción tipificada como grave que implica sanciones de 40.001 a 300.000 euros.
Si tienes cualquier duda o consulta, no dudes en ponerte en contacto con nuestros especialistas en protección de datos.