Este artículo está orientado a la Protección de Datos en las Comunidades de Propietarios, está dirigido a los Administradores de Fincas con el fin de facilitar el conocimiento y cumplimiento de la normativa y de mejorar el nivel de protección de todos los ciudadanos cuyos datos se manejan en este contexto.
1.- INTRODUCCIÓN
2.- DEFINICIONES
3.- NORMATIVA, GUÍAS, ORIENTACIONES Y DIRECTRICES
4.- LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS
5.- IDENTIFICACIÓN DE TRATAMIENTOS DE DATOS
6.- REGISTRO DE ACTIVIDADES DE TRATAMIENTO
7.- EL ADMINISTRADOR DE FINCAS COMO "ENCARGADO DEL TRATAMIENTO"
8.- OBLIGACIONES DE LOS ADMINISTRADORES DE FINCAS DERIVADAS DE SU ACTIVIDAD ESPECÍFICA EN EL ÁMBITO DE LAS COMUNIDADES DE PROPIETARIOS
9.- OBLIGACIONES EN MATERIA DE SEGURIDAD EN LOS TRATAMIENTOS DE DATOS PERSONALES DE LAS COMUNIDADES DE PROPIETARIOS
10.- ANÁLISIS DE SUPUESTOS ESPECÍFICOS
11.- HERRAMIENTAS DE AYUDA DE LA AEPD
12.- IMPLICACIONES PRÁCTICAS DEL RGPD-UE DURANTE EL PERIODO DE TRANSICIÓN
La LOPDGDD y el Administrador de Fincas
Con la entrada en vigor, el 07/12/2018, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), podríamos caer en la tentación de pensar que los Administradores de Fincas estamos ante otra exigencia legal, más o menos vacía, nacida para complicarnos más el trabajo en nuestros despachos profesionales.
La protección de datos personales, una ventaja competitiva para el Administrador de Fincas
Pero es todo lo contrario. Debemos verlo como un vaso medio lleno, o que sirve para subir, crecer, y aportar un valor añadido a nuestra profesión, y que, como mínimo, debemos de tener en cuenta para diferenciarnos de "otros" que ejercen nuestra profesión.
Todos somos sujetos preocupados por el destino que actualmente se les da a los datos de carácter personal, especialmente a nuestros datos. Facebook, Google, Amazon, el hipermercado donde hacemos compra, o el restaurante donde pagamos con nuestra tarjeta de crédito, son ejemplos diarios de donde circulan y se tratan, con mayor o menor control, datos de carácter personal.
En nuestro despacho profesional manejamos una gran cantidad de datos personales, que si bien no se distinguen por tener una especial calificación, si realizamos un tratamiento masivo de los mismos. Y qué mejor oportunidad que los interesados, propietarios e inquilinos, de las fincas en las comunidades que administramos, observen que sus datos son tratados de una forma correcta, con una cultura de cumplimiento acorde a lo preceptuado en la LOPDGDD, que viene a regular el cómo deben ser tratados los datos de carácter personal en el ámbito empresarial, asociativo, por los profesionales liberales, etc...
La LOPDGDD y el Administrador de Fincas
Y aquí es donde debemos de empezar a analizar cuál es el papel que juega un Administrador de Fincas, su vinculación jurídica, sus responsabilidades en el tratamiento de datos de carácter personal de propietarios y comuneros.
A estas alturas debemos de tener clara la figura del Administrador de Fincas como ENCARGADO DEL TRATAMIENTO. Figura que cobra mucha más importancia en la LOPDGDD, que regula en toda su extensión las obligaciones y responsabilidades de un encargado del tratamiento.
Nuevas reglas para los contratos entre RESPONSABLES DEL TRATAMIENTO (comunidades de propietarios) y ENCARGADOS DEL TRATAMIENTO (Administradores de Fincas).
Aunque ya existía la obligación de formalizar por escrito la relación jurídica entre la Comunidad de Propietarios y el Administrador de Fincas, ahora se amplían las exigencias que deben recogerse en dicho contrato, es decir, no sirve cualquier contrato, pues se deben de recoger las singularidades de la prestación de servicios, como por ejemplo:
- ¿Quién debe implantar las medidas de seguridad?
- ¿Qué servicios se subarriendan por parte del Administrador de Fincas colegiado?
- ¿Han sido autorizadas estas subcontrataciones por la comunidad de propietarios?
- ¿Ante quién ejercen los interesados sus derechos?
En referencia a la implantación de las medidas de seguridad, hemos de comentar que la LOPDGDD no define la tipología de medidas a implantar, sino que fija el principio de la responsabilidad proactiva del Administrador de Fincas, en la elección de los proveedores con los que trabaja, debiendo asegurarse que aquellos cumplen con la normativa europea de protección de datos en relación a la implantación de medidas técnicas y organizativas apropiadas, para garantizar un nivel adecuado de protección en consonancia al riesgo que suponga el tratamiento de los datos personales.
Ya no basta con cumplir un artículo u otro de la normativa, sino que el Administrador de Fincas tiene que poder demostrar, desde el diseño, que el tratamiento de los datos de carácter personal es acorde con las disposiciones de la LOPDGDD y además se ha de estar en disposición de acreditarlo ante cualquier requerimiento de la Autoridad de Control.
Esta exigencia impone a la comunidad de propietarios la obligación de que, cuando vaya a tratar datos personales, elegir un Administrador de Fincas que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos de la LOPDGDD y garantice la protección de los derechos del interesado.
Esto implica que el Administrador de Fincas va a ser objeto de observancia y elección en la medida que ofrezca garantías suficientes en el tratamiento de datos de carácter personal, lo que implica trasladar al Administrador de Fincas toda la responsabilidad en la adopción de medidas de seguridad, como de otro modo resulta lógico, pues es, en nuestros despachos, donde se tratan los datos de carácter personal.
El contrato de encargado
Otro aspecto relevante es la necesidad de contar con la autorización, recogida en este contrato de encargado del tratamiento, de los posibles subarriendos de servicios por parte del Administrador de Fincas.
El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
Pero algunos Administradores de Fincas, subarriendan determinados servicios, ya que, cuando ofertan sus servicios profesionales, suelen ofrecer, además de la gestión contable de la Comunidad de Propietarios, otros servicios que no prestan de modo directo, sino a través de la subcontratación de empresas especializadas. Servicios tales como:
- el asesoramiento jurídico
- el asesoramiento técnico
- los seguros
- los mantenimientos
- etc...
Y en relación al ejercicio de derechos (como por ejemplo el derecho al olvido) por parte del interesado (propietario o arrendatario), que la LOPD 2018 nos dice que los Administradores de Fincas somos la "entidad" ante quien se pueden ejercer estos derechos, a través de las medidas técnicas y organizativas apropiadas, informando al interesado de cómo puede ejercitar estos derechos, requisitos del ejercicio, plazos de contestación, etc...
El Administrador de Fincas está obligado a redactar el REGISTRO DE ACTIVIDADES de tratamiento
La obligación de inscribir ficheros de la anterior LOPD, ha sido sustituida en la LOPDGDD por un Registro de las actividades de tratamiento, que deberá tener cada una de las comunidades que administramos.
la LOPDGDD impone al Administrador de Fincas la obligación de redactar este registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.
Esto es una obligación más que se impone a los Administradores de Fincas, y que nuestro cliente, la comunidad de propietarios, va a entender como una función más de las que ha contratado con el Administrador de Fincas.
La información a los interesados
Los Administradores de Fincas deberán informar a los interesados, que podrán ser propietarios o terceros, conforme a los requisitos que establece la LOPDGDD (identificación del responsable, finalidades, legitimación, conservación de los datos, destinatarios, cómo ejercer los derechos, revocar el consentimiento, derecho a la portabilidad, derecho a la limitación del tratamiento y a reclamar a la Autoridad de Control, etc..)
¿Y cómo informamos? Sin entrar en el protocolo correcto que debiera aplicarse, analizamos dos aspectos relevantes:
- La legitimación para el tratamiento: viene dada por la existencia de una relación contractual entre el responsable del fichero -comunidad de propietarios- y el encargado de tratamiento -Administrador de Fincas colegiado-.
- El deber de informar al interesado: es el encargado del tratamiento quién informará a los propietarios e inquilinos de la identificación del responsable, finalidades, legitimación, conservación de los datos, destinatarios, cómo ejercer los derechos, revocar el consentimiento, derecho a la portabilidad, derecho a la limitación del tratamiento y a reclamar a la Autoridad de Control.
Si hablamos de nuevas contrataciones de nuestros servicios profesionales por parte de una Comunidad de Propietarios, esta obligación de información se ejercitará dentro del plazo máximo de un mes desde la recepción de la documentación que contenga datos de carácter personal.
NORMAS DE OBLIGADO CUMPLIMIENTO
En relación a las comunidades de propietarios que en el momento de entrada del nuevo Reglamento forman parte de nuestra cartera de clientes, entendemos que es aconsejable proceder a informar a todos los interesados.
Como podemos observar con la entrada en vigor de la LOPD 2018, se imponen normas de obligado cumplimiento y que reglan el modo de tratar los datos de carácter personal, y cómo un Administrador de Fincas colegiado puede acreditar una cultura de cumplimiento correcta.
En este punto, es donde debemos de ver el vaso medio lleno, y ser capaces de aceptar la ventaja competitiva, el valor añadido a nuestros servicios profesionales, que tal cultura de cumplimiento nos puede reportar. Acreditar mediante códigos de conducta, o certificaciones de cumplimiento.
En proyecto del Parlamento Europeo está la creación de un sello europeo de certificación de cumplimiento, que muchas empresas y despachos profesionales usarán como acreditación de valor añadido frente a sus competidores.
La figura del Delegado en Protección de Datos, (DPD)
Esta figura, que ha sido implantada por la LOPDGDD, que incluye la obligación de contar con un Delegado en Protección de Datos en los despachos profesionales que estén obligados a la observancia de la vigente Ley de Prevención de Blanqueo de Capitales, y ahí entramos los Administradores de Fincas.
La cultura de cumplimiento en el tratamiento de datos de carácter personal ha venido para quedarse. Veamos esto como una oportunidad, y no una carga más en nuestro trabajo, seamos competitivos acreditando, a mayores de nuestra formación como Administradores de Fincas, que en nuestros despachos se tratan los datos de carácter personal con una observancia propia de los tiempos y normativa que vivimos.
Otras novedades de la LOPDGDD
Los derechos de acceso, rectificación y supresión por parte de personas vinculadas a fallecidos: establecen el derecho de los herederos a acceder a esa información y comunicaciones, salvo que el interesado en sus últimas voluntades no lo permita expresamente.
Algunos de estos nuevos derechos digitales quedarán reflejados en un nuevo artículo 20bis del Estatuto de los Trabajadores: como por ejemplo el derecho a la desconexión digital.
Los derechos que serán competencia de la AEPD (que se ocupará de garantizar su cumplimiento y ejercicio) son:
- Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral
- Derechos digitales en la negociación colectiva
- Protección de datos de los menores en Internet
- Derecho al olvido en búsquedas de Internet
- Derecho al olvido en servicios de redes sociales y servicios equivalentes
Mejoras en los ficheros de morosos: La inclusión en estos ficheros será ahora posible a partir de deudas superiores a 50 euros y no de 1 euro como hasta ahora.
Nueva regulación de la Lista Robinson: medida que toman muchos ciudadanos para no recibir comunicaciones comerciales. Ahora se flexibiliza su funcionamiento y el ciudadano podrá establecer canales de preferencias de cara a no recibir comunicaciones comerciales por determinados soportes.
Actualización de los tratamientos de videovigilancia
Realce de la figura del Delegado de Protección de Datos (DPO): obligatoria para entidades de crédito, entidades aseguradoras y reaseguradoras, empresas de servicios de inversión o en colegios profesionales y sus consejos generales.
Minimización del impacto de la presencia en los boletines oficiales: las administraciones podrán tan solo publicar en anuncios y en actos administrativos, el nombre completo del ciudadano y cuatro cifras concretas del DNI.
1.- INTRODUCCIÓN:
Como sabemos, la LOPD establece los requisitos exigidos para la recogida, el tratamiento y la cesión de datos de carácter personal para no dañar nuestro derecho a la intimidad. Todas las organizaciones que manejen datos personales están obligadas al cumplimiento de esta Ley y, por tanto, también las Comunidades de Propietarios están obligadas a cumplir la normativa, ya que manejan datos como nombres, teléfonos o direcciones de los propietarios. Las Comunidades de propietarios, al igual que cualquier otra empresa u organización, además de manejar datos de carácter personal, contrata servicios con terceros (limpieza, alcantarillado, seguro, administrador, etc...), y esto ya se considera un acceso a datos por cuenta de terceros o, como mínimo, una comunicación de datos y, para ello, es necesario obtener el consentimiento de los propietarios. Toda Comunidad de Propietarios debe tener al menos un fichero de tratamiento de datos personales, el Fichero de los Propietarios que integran esa Comunidad. Esto supone que, tanto la propia Comunidad como el Administrador de Fincas encargado de gestionar la misma, deben cumplir escrupulosamente la LOPD.
Cuando los Administradores de Fincas intervienen en la gestión de los asuntos de las Comunidades de Propietarios asumen unas funciones de asesoramiento y consultoría que se extienden también al ámbito de la protección de los datos que las comunidades manejan. Al mismo tiempo, se da la circunstancia de que los Administradores de Fincas desempeñan a menudo el papel de "Encargados de tratamiento" en relación con los datos de las comunidades.
Tal como subraya la AEPD, los Administradores de Fincas se ven afectados por la LOPD desde una triple vertiente:
- Por un lado, y debido al propio ejercicio de su profesión, como titulares de ficheros con datos personales están acogidos a la normativa y a sus obligaciones de sobra conocidas: inscripción de ficheros, mantener actualizado un documento de seguridad, firma de contratos de cesión de datos, cláusulas legales necesarias en recogidas de datos, etc...
- Por otro lado, como asesores de las comunidades, deben ser capaces de concienciarlas, no de la necesidad sino de la obligatoriedad de cumplir con las exigencias que la LOPD impone a las comunidades de propietarios, dadas las peculiaridades y casuística que pueden encontrarse (contratación de personal, colocación de cámaras de videovigi-lancia, publicación de deudas de morosos en tablones comunitarios, cambios de presidente, etc..)
- Y por último, los Administradores de Fincas asumen, desde el punto de vista de la protección de datos, el papel de encargado de tratamiento con respecto a sus comunidades, lo que les obliga a implantar una serie de medidas de seguridad necesarias para el tratamiento y custodia de los datos de la comunidad, plasmadas en un contrato de cesión de datos que deben firmar con cada comunidad de propietarios. Como asesores jurídicos del Ilustre Colegio de Administradores de Fincas de Sevilla en esta materia, y basándonos en nuestra experiencia diaria con muchos de sus colegiados, podemos afirmar que todavía en muchos casos el administrador no conoce en qué medida la LOPD les afecta en su relación con las comunidades de propietarios.
En general, los Administradores de Fincas conocen la obligación de notificar los ficheros de datos a la Agencia, pero no son conscientes de que la documentación LOPD debe actualizarse continuamente, cada vez que se produzcan situaciones como pueden ser:
- la contratación de trabajadores por parte de la comunidad (vigilantes, jardineros, socorristas,...)
- el acuerdo de instalación de cámaras de videovigilancia.
- cuando un propietario solicita acceder a las imágenes grabadas por la cámara
- el nombramiento de un nuevo presidente de comunidad
- qué debe hacer el administrador con la documentación LOPD de una comunidad cuando deja de ser su cliente
- etc...
Podemos concluir afirmando, que vista la especial casuística que los administradores de fincas se encuentran en el ejercicio de su actividad - con importantes implicaciones en el ámbito de la protección de datos - se pone de manifiesto la necesidad de contar con unos servicios profesionales de adaptación, actualización y asesoramiento cualificado en la materia, que garantice un completo cumplimiento de la normativa, tanto por parte del Administrador de Fincas como de la Comunidad de Propietarios, evitando las elevadas sanciones que la LOPD establece y contando con un asesoramiento jurídico continuo que le permita resolver cualquier circunstancia o cuestión que le surja en esta materia.
Las obligaciones de las Comunidades de Propietarios, establecidas por la normativa de Protección de Datos, son:
- Inscripción de los ficheros:
- En primer lugar deben determinarse el tipo de datos a tratar, que en este caso serán de nivel medio o alto, si se manejan datos de solvencia patrimonial y crédito.
- Una vez identificados esos datos, procederemos a la inscripción de los ficheros correspondientes ante la Agencia Española de Protección de Datos (AEPD). Al menos tendremos un fichero correspondiente a los datos de los propietarios, además, si la Comunidad dispone de un sistema de videovigilancia que graba imágenes, tendríamos un fichero adicional, distinto al de propietarios, que también debemos inscribir.
- Por otro lado, los Administradores de fincas también deben inscribir en la AEPD los ficheros que tengan sobre clientes, proveedores, empleados o videovigilancia, si tienen.
- Documento de Seguridad:
- La Comunidad de Propietarios, como responsable de los ficheros, tendrá que adoptar las medidas técnicas y organizativas necesarias para preservar los datos personales contenidos en esos ficheros. Estas medidas se plasman en el Documento de Seguridad, de obligado cumplimiento siempre que se manejan datos personales. El contenido mínimo de ese Documento de Seguridad se establece en la LOPD.
- Se considera una infracción grave, según la LOPD “mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
- Garantizar el cumplimiento del deber de secreto y de seguridad de los datos.
- Garantizar la veracidad de los datos y que serán tratados para la finalidad para la que fueron recogidos.
- Informar a los titulares de los datos de la recogida de estos.
- Obtener el consentimiento de los afectados para realizar el tratamiento de los datos.
- Facilitar el ejercicio de derechos ARCO a los titulares de los datos personales.
- Asegurar el cumplimiento de la LOPD en sus relaciones con terceros.
Conviene destacar que, aunque nos remitiremos a la normativa de protección de datos vigente actualmente en España, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal (LOPD), de 13/12/1999, sin embargo esta normativa será reemplazada por otra de ámbito europeo que introducirá cambios sustanciales. Nos referimos al Reglamento General de Protección de Datos de la Unión Europea (RGPD-UE), de 27/04/2016, publicado en el Diario Oficial de la Unión Europea (DOUE) el 04/05/2016, con entrada en vigor el 24/05/2016, y que será de obligada aplicación a partir de 25/05/2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.
RESPUESTA: No. El RGPD-UE ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.
RESPUESTA: El periodo de dos años hasta la aplicación del RGPD-UE tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el RGPD-UE sea aplicable. En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del RGPD-UE. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio RGPD-UE prevé de forma explícita o implícita.
RESPUESTA: Esta novedad supone una garantía adicional a los comunero en su condición de ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el RGPD-UE pretende adaptar la situación a la realidad del mundo de internet. Ello permite que el RGPD-UE sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.
En algunos aspectos, el nuevo RGPD-UE simplemente da continuidad a la legislación actual. Por ejemplo, los principios, conceptos y derechos de los interesados siguen siendo, en lo esencial, los mismos. Pero en otros casos, como es el de las obligaciones de los Responsables y Encargados de tratamiento, el RGPD-UE tiene importantes novedades en el ámbito de las Comunidades de Propietarios como, por ejemplo, la supresión de la obligación de notificar los ficheros a los registros públicos de protección de datos. Otras novedades, sin embargo, y dadas las características de esos tratamientos, no parece que vayan a tener impacto con carácter general. Eso ocurrirá, por ejemplo, en obligaciones como la de designar un "Delegado de protección de datos" o realizar evaluaciones de impacto sobre la protección de datos. Estas medidas las reserva el RGPD-UE para entidades que lleven a cabo tratamientos que impliquen un cierto nivel de riesgo para los derechos y libertades de los titulares de los datos, circunstancia que no parece darse en los tratamientos habituales en las Comunidades de Propietarios. Aunque hemos hecho referencias a algunas de estas novedades, principalmente cuando ya puede irse avanzando cómo habrán de cumplirse estas obligaciones, sin embargo, será preciso esperar a las reformas legales que serán necesarias para facilitar la aplicación del RGPD-UE en España para poder ofrecer indicaciones concretas sobre cumplimiento.
2.- DEFINICIONES:
- Dato personal: toda información sobre una "persona física identificada o identificable" (el interesado).
- Persona física identificable: es toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
- Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
- Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
- Responsable del tratamiento (o simplemente Responsable): la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
- Encargado del tratamiento (o simplemente Encargado): la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
- Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
- Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
RESPUESTA: El RGPD-UE se aplicará como hasta ahora a Responsables o Encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a Responsables y Encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.
3.- NORMATIVA, GUÍAS, ORIENTACIONES Y DIRECTRICES:
Ya se han publicado, y se seguirán publicando a lo largo de 2017 y 2018, documentos destinados a apoyar a los Administradores de Fincas en su adaptación a la nueva normativa. Algunos son:
- Reglamento General de Protección de Datos de la Unión Europea (RGPD-UE)
- Guía del RGPD-UE para los Administradores de Fincas
- Guía del RGPD-UE para Responsables de tratamiento
- Guía del RGPD-UE para el cumplimiento del deber de informar
- Guía del RGPD-UE para la elaboración del contrato entre Responsable y Encargado del tratamiento
- Guía del RGPD-UE para los procedimientos de anonimización de datos personales
- Guía del RGPD-UE para el derecho a la portabilidad de datos
- Guía del RGPD-UE para los Delegados de protección de datos
- Guía del RGPD-UE para los criterios de identificación de la “Autoridad Líder”
4.- LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS:
Los Administradores de Fincas realizan múltiples tratamientos de datos de carácter personal cuando actúan por cuenta de las Comunidades de Propietarios. Desde la perspectiva de la normativa de protección de datos de carácter personal, y como principio de carácter general, los Administradorfes de Fincas están legitimados para tratar y disponer de los datos de los copropietarios que resulten necesarios para la gestión ordinaria de los asuntos de la comunidad en virtud de la relación contractual que les vincula con la comunidad, en los términos acordados en la misma, y en el marco de la Ley de Propiedad Horizontal (LPH).
RESPUESTA: El RGPD-UE no implica una mayor carga. Será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora. En primer lugar, algunas de las medidas que introduce el RGPD-UE son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión. Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos. En todos los casos, el RGPD-UE prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos. Por ello, es necesario que los administradores realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Este análisis consta de operaciones muy simples pues en las comunidades que no se llevan a cabo más que unos pocos tratamientos sencillos que no implican datos sensibles. Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, están ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con los Administradores de Fincas.
5.- IDENTIFICACIÓN DE TRATAMIENTOS DE DATOS:
5.1.- FICHERO DE PROPIETARIOS:
En su gestión ordinaria, una Comunidad de Propietarios puede servirse de diferentes ficheros con datos de carácter personal con los que realizar diversos tratamientos. Los ficheros más usuales son los que incorporan información personal de las personas físicas integrantes de la propia comunidad, y suelen denominarse “Ficheros de Gestión de la Comunidad de Propietarios" o "Ficheros de Propietarios", y la Comunidad se sirve de ellos para su gestión contable, fiscal y administrativa, asegurando el cumplimiento por los propietarios de las obligaciones impuestas por la LPH y el ejercicio de los derechos que corresponden a los copropietarios en la Comunidad.
Los tratamientos de datos más comunes de las Comunidades de Propietarios se realizan con la finalidad de "gestión" de la Comunidad. Ésta se sirve de ellos para diversas funciones legales y contractualmente asumidas, así como para facilitar el ejercicio de sus derechos a los propios comuneros.
Generalmente, en estos ficheros son objeto de tratamiento los siguientes datos personales:
- nombre de los propietarios
- teléfonos de contacto
- direcciones postales
- números de DNI
- direcciones de correo electrónico
Pero la normativa de protección de datos no impide que la Comunidad de Propietarios disponga también de otros datos personales de los copropietarios, siempre que se refieran a los afectados en su calidad de copropietarios y que no resulten excesivos para los fines propios de dicha comunidad. Así, por ejemplo:
- Datos del inquilino
- Escrituras de Propiedad
- Cuentas bancarias
- etc...
5.2.- FICHERO DE VIDEOVIGILANCIA:
Finalmente, en muchas ocasiones las Comunidades de Propietarios aprueban la instalación de sistemas de cámaras y/o videocámaras, que dan lugar a tratamientos de imágenes de personas físicas identificadas o identificables. En este caso, deberá existir un fichero específico con la finalidad de "videovigilancia" o de "cámaras de seguridad", cuya finalidad principal es la seguridad y control de accesos y/o vigilancia de las instalaciones y elementos comunes del inmueble.
6.- REGISTRO DE ACTIVIDADES DE TRATAMIENTO:
[block_highlight]PREGUNTA: ¿En qué consiste el sistema de 'ventanilla única'?
RESPUESTA: Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora. También implica que cada Autoridad de protección de datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas. Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la AEPD). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia. La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.[/block_highlight]
Hasta el 25 de mayo de 2018, se mantendrá vigente la obligación de declaración e inscripción de ficheros con datos de carácter personal en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD). Para realizar la inscripción del fichero y, en su caso, la posterior modificación o supresión de dicha inscripción, se encuentra disponible en la sede electrónica de la AEPD el Servicio Electrónico NOTA. Este formulario permite la presentación de notificaciones a través de internet de forma gratuita.
Inscripción, Modificación y/o Supresión de Ficheros en el "Portal NOTA"
Para realizar la inscripción inicial del fichero y, en su caso, la posterior modificación o supresión de la inscripción, se encuentra disponible este Servicio Electrónico a través del que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos.
Están obligados a Notificar la creación de ficheros para su inscripción en el RGPD, de acuerdo con lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal. También aquellos entes sin personalidad jurídica, como por ejemplo las Comunidades de Propietarios, que actúen en el tráfico como sujetos diferenciados y sean responsables de ficheros de datos de carácter personal.
La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el BOE o diario oficial correspondiente.
Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías establecidas en la LOPD.
Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la AEPD. Cualquier modificación posterior en el contenido de la inscripción de un fichero o la supresión del mismo en el RGPD, deberá comunicarse a la AEPD mediante una solicitud de modificación o de supresión de la inscripción, según corresponda. En ambos casos será necesario citar el Código de Inscripción asignado por el RGPD al fichero.
La no notificación de la existencia de un fichero supondría una infracción leve, tal y como señala el art. 44.2.b) de la LOPD, quedando sujeto al régimen sancionador previsto en esta Ley.
La obligación de notificar corresponde a la propia Comunidad de Propietarios, a través de su Presidente que, según dispone el artículo 13.3 de la LPH, ostenta legalmente su representación en todos los asuntos que la afecten. No obstante, la notificación puede ser efectuada por el administrador, actuando en representación del responsable del fichero, esto es, en nombre de la obligada, que será siempre la propia comunidad. Con la aplicación efectiva del RGPD-UE, a partir del 25 de mayo de 2018, desaparecerá la obligación de notificar la creación de ficheros al Registro General de Protección de Datos de la AEPD, si bien aparecen un conjunto de medidas de carácter interno que el Responsable y/o el Encargado de los tratamientos deberán impulsar y tener documentadas a disposición de la AEPD. En particular, llevarán un Registro de las actividades de tratamiento.
La obligación de inscribir el fichero en el Registro General de Protección de Datos corresponde a la Comunidad de Propietarios, a través de su Presidente, en representación de la misma, o el administrador, si así se le encomienda. Con la aplicación efectiva del RGPD-UE, a partir del 25 de mayo de 2018 desaparece la obligación de inscribir los ficheros. En su lugar, surgen un conjunto de medidas de carácter interno que el responsable y/o el encargado de los tratamientos, deberán impulsar y tener documentadas "a disposición" de la AEPD. Estas medidas se concretan en el denominado Registro de las actividades de tratamiento.
7.- EL ADMINISTRADOR DE FINCAS COMO "ENCARGADO DEL TRATAMIENTO":
7.1.- RESPONSABLE DEL TRATAMIENTO:
La finalidad de los tratamientos de datos realizados por las Comunidades de Propietarios es asegurar su correcto desenvolvimiento dentro del cumplimiento por parte de éstos de las obligaciones impuestas por la LPH, así como garantizar el adecuado ejercicio de los derechos que corresponden a los comuneros y a los terceros en la comunidad.
La condición de Responsable de los ficheros creados para la adecuada gestión y funcionamiento de la Comunidad de Propietarios en régimen de propiedad horizontal corresponde a la propia Comunidad de Propietarios.
7.2.- ENCARGADO DEL TRATAMIENTO:
En el régimen de propiedad horizontal, el Administrador de Fincas, que ejerce la administración de una o de varias comunidades por encargo del responsable, actúa como Encargado del tratamiento.
7.3.- RELACIÓN ENTRE RESPONSABLE Y ENCARGADO:
RESPUESTA: Uno de los aspectos esenciales del RGPD-UE es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como "responsabilidad activa". Las Comunidades de Propietarios deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el RGPD-UE establece. El RGPD-UE entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el RGPD-UE prevé una batería completa de medidas:
- Protección de datos desde el diseño
- Protección de datos por defecto
- Medidas de seguridad
- Mantenimiento de un registro de tratamientos
- Realización de evaluaciones de impacto sobre la protección de datos
- Nombramiento de un delegado de protección de datos
- Notificación de violaciones de la seguridad de los datos
- Promoción de códigos de conducta y esquemas de certificación
Para que la relación entre la Comunidad de propietarios (Responsable) y el Administrador de Fincas (Encargado) se ajuste a la normativa de protección de datos es preciso que se cumplan las siguientes condiciones:
- Que el acceso a los datos por el Administrador de Fincas se efectúe con la exclusiva finalidad de prestar un servicio al Rsponsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida.
- La relación contractual deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.
- Se establecerá expresamente que el Administrador de Fincas únicamente tratará los datos conforme a las instrucciones de la Comunidad de Propietarios, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
- El Administrador de Fincas debe limitarse a emplear los datos en el ámbito de las funciones de la Comunidad de Propietarios que le haya designado.
- Se entiende que el Administrador de Fincas actúa conforme a las instrucciones del responsable del tratamiento cuando, en el ejercicio de sus funciones, trata los datos de los propietarios contenidos en los ficheros que custodia.
Al término de su relación, el Administrador de Fincas deberá devolver a la Comunidad de Propietarios todos los soportes y/o documentos en los que consten datos de carácter personal objeto de tratamientos de datos. No obstante, el Administrador podrá conservar, debidamente bloqueados, los datos personales objeto de tratamiento en tanto pudieran derivarse responsabilidades de su relación con la Comunidad de Propietarios. - Las medidas de seguridad que hayan de ser adoptadas por los administradores que realicen tratamientos de datos por cuenta de comunidades serán las mismas que las que sean exigibles al responsable.
- En el supuesto de que el Administrador incumpliera estas obligaciones, destinando los datos a otra finalidad, comunicándolos a terceras personas o utilizándolos en contra de lo previsto en el contrato, podrá ser considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
- Para tratar datos de carácter personal de los copropietarios de una finca en virtud de un encargo de servicios y/o gestiones diferentes de las comprendidas en la LPH, el Administrador de fincas deberá contar con el consentimiento específico e informado de todos los afectados.
- El Encargo del tratamiento a favor del administrador de fincas debe encontrarse documentado en un contrato, en el que se especificarán las obligaciones de las partes contratantes en relación con la normativa de protección de datos.
Con el obligado cumplimiento del RGPD-UE, a partir del 25/05/2018:
- surgen un conjunto de medidas de carácter interno que el encargado del tratamiento debe impulsar y tener documentadas "a disposición" de la AEPD. La mayor parte de estas medidas se contienen en el artículo 30 del RGPD, relativo al denominado Registro de las actividades de tratamiento.
- Estas medidas son obligatorias también para los Administradores de Fincas, como Encargados del tratamiento.
- En los supuestos en los que resulte aplicable esta exigencia, el Administrador de Fincas, como encargado del tratamiento de datos personales de una comunidad de propietarios, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:
- El nombre y los datos de contacto del Encargado o Encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, de los representantes y del delegado de protección de datos.
- Las categorías de tratamientos efectuados por cuenta de cada responsable; cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad implementadas en relación con los tipos de tratamientos de datos realizados.
- Estos registros constarán por escrito, inclusive en formato electrónico.
- El Encargado del tratamiento y, en su caso, su representante pondrá el registro a disposición de la AEPD si ésta lo solicita.
RECUERDE:
- Que el encargo de tratamiento debe constar en un contrato.
- Que en dicho contrato deberá estipularse:
- Que el Encargado sólo podrá tratar los datos personales conforme a las instrucciones del responsable y no los aplicará a fines distintos.
- Que los datos no serán comunicados a otras personas.
- Las medidas de seguridad que deberá adoptar el encargado.
- El destino de los datos personales a la finalización de la prestación, así como la destrucción, devolución al responsable o comunicación a otro encargado designado por el responsable.
- Que, en el caso de que destine los datos a otra finalidad, los comunique a terceros o los utilice incumpliendo el contrato, el encargado será considerado responsable y podrá ser sancionado.
- Que, si existen subcontrataciones, deberá contar con la autorización del responsable.
- Que, si no existe autorización, se especifique en el contrato qué servicios pueden ser subcontratados y la entidad con la que se va a subcontratar o, en su defecto, se comunique al responsable la entidad subcontratada, debiendo el subcontratista ajustarse a las instrucciones del responsable.
- Que, si el Encargado de tratamiento presta sus servicios en los locales del responsable o bien accede remotamente a los datos personales sin posibilidad de copiarlos o incluirlos en sus sistemas, deberá reflejarse este hecho en el documento de seguridad del responsable, comprometiéndose el personal del encargado a cumplir las medidas de seguridad establecidas por éste.
- Que, en el caso de que la prestación no implique el acceso a datos personales, se deberá recoger expresamente esta prohibición en el documento de seguridad, así como la obligación de secreto sobre aquellos que incidentalmente se hubieran podido conocer.
8.- OBLIGACIONES DE LOS ADMINISTRADORES DE FINCAS DERIVADAS DE SU ACTIVIDAD ESPECÍFICA EN EL ÁMBITO DE LAS COMUNIDADES DE PROPIETARIOS:
Las principales obligaciones establecidas por la normativa de protección de datos recaen sobre el Responsable del fichero, si bien los Administradores de Fincas, tanto en el ámbito de su función de asesoramiento y como encargado del tratamiento, deberán facilitar su cumplimiento y participar del mismo. El Administrador de Fincas debe facilitar a las comunidades toda la información que precisen para adecuar sus tratamientos de datos de carácter personal a la normativa de protección de datos. Dicha información y asesoramiento debe referirse tanto a la actividad interna y ordinaria de la Comunidad de Propietarios como a la relativa a la contratación de obras, bienes y/o servicios provenientes de terceros. Dichas obligaciones son:
- Inscripción de ficheros: La obligación vigente hasta mayo de 2018 de realizar la inscripción de ficheros y/o de los registros de tratamientos corresponde a las Comunidades de Propietarios, si bien el Administrador de Fincas debe asesorar a éstas en relación con dicha obligación, pudiendo actuar además como Encargado del tratamiento.
- Deber de información: Se debe informar a los titulares de los datos personales. Con carácter general, esta información deberá ofrecerse en el momento de la recogida de los datos.
- Calidad de los datos: En la realización del tratamiento de datos, todos los sujetos implicados deben asegurarse de que los datos personales sean adecuados y veraces, obtenidos lícita y legítimamente, y tratados de modo proporcional a la finalidad para la que fueron recabados.
- Conservación de datos: Como principio general, los datos personales deberán ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados o registrados. No obstante, la normativa de protección de datos permite conservar los datos personales durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica; o de la ejecución de un contrato; o de la aplicación de medidas precontractuales solicitadas por el interesado. Para ese supuesto deberán bloquearse los datos, que sólo estarán a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las citadas responsabilidades. El administrador de fincas sólo podrá conservar los datos personales que sean estrictamente imprescindibles durante el período de prescripción que marca la normativa fiscal, contable, social o civil. Finalizado dicho plazo los datos deberán destruirse. Sólo podrán conservarse si se disocian previamente o si, con carácter excepcional, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decide el mantenimiento íntegro de determinados datos.
- Deber de secreto: En el tratamiento de datos de carácter personal, se debe garantizar el cumplimiento del deber de secreto. Este deber, que incumbe a los responsables de las comunidades y a losadministradores que intervengan en cualquier fase del tratamiento, comporta que no puedan revelar ni dar a conocer su contenido teniendo el deber de guardarlos.La obligación de secreto del administrador subsistirá aún después de finalizar sus relaciones con la comunidad de propietarios.
- Cesiones de datos de carácter personal: Se entiende por cesión de datos de carácter personal toda revelación de datos realizada a favor de una persona distinta del interesado.El administrador sólo podrá ceder y/o comunicar los datos personales de los comuneros a terceras personas si cuenta con el consentimiento de los afectados, a menos que dicha cesión o comunicación de datos encuentre amparo legal en los supuestos que, por vía de excepción, se contienen en la normativa de protección de datos. En el supuesto de que el administrador ceda los datos personales de los copropietarios, sin su consentimiento y sin habilitación normativa, vulneraría los derechos de los afectados, y su actuación podría dar lugar a un expediente sancionador incoado por la AEPD por infracción grave e, incluso, muy grave. En su caso, la sanción a imponer recaería sobre el responsable -la comunidad de propietarios-, o sobre el encargado del tratamiento -el administrador de fincas-, o sobre ambos, dependiendo de cómo mantengan regulada su relación y de si disponen de contrato de acceso de datos por cuenta de terceros o no.
- Obligaciones en materia de seguridad: En el tratamiento de los datos de carácter personal se debe garantizar el cumplimiento de las obligaciones en materia de seguridad.
- Normativas sectoriales: Todos los agentes implicados en el tratamiento de datos deberán cumplir con los mandatos derivados de la normativa de protección de datos y de la legislación sectorial aplicable a la administración de fincas, con especial atención a las especialidades derivadas del tratamiento de información personal en este ámbito.
RECUERDE:
- Que habrán de cumplimentarse correctamente los registros y/o fichas necesarias para garantizar el cumplimiento de la obligación de registro de las actividades de tratamiento.
- Que se deberá informar a los copropietarios afectados expresa e inequívocamente de la existencia de un tratamiento de datos personales, de la identidad y dirección del responsable del tratamiento, de su finalidad, de los destinatarios, de la posible obligatoriedad de las respuestas y de la posibilidad de ejercer los derechos ARCO.
- Que dicha información deberá figurar en los formularios, tradicionales o electrónicos de recogida de información utilizados por los administradores.
- Que si los datos no se recaban directamente de los copropietarios afectados, se les deberá informar de forma expresa e inequívoca en el plazo de tres meses desde el registro de los datos personales.
- Que se deben recoger sólo los datos personales estrictamente necesarios para las finalidades de que se trate relativas a la gestión ordinaria de asuntos de la comunidad de propietarios.
- Que se deben recabar los datos de los comuneros de forma leal y transparente.
- Que no se deben usar los datos para finalidades distintas con las establecidas y comunicadas a los copropietarios afectados.
- Que deberán establecerse mecanismos de actualización de la información y de verificación de dicha actualización.
- Que habrán de cancelarse los datos personales de los comuneros de oficio, cuando ya no sean necesarios para la finalidad o finalidades para las que se recogieron.
- Que deberán definirse los plazos de conservación de los datos personales de los propietarios afectados.
- Que deberán establecerse procedimientos para determinar que se han cumplido los plazos máximos de conservación de los datos personales de los copropietarios.
- Que se deberá informar adecuadamente a todas las personas que tratan datos de carácter personal de la obligación de guardar secreto sobre los datos que conozcan en el ejercicio de sus funciones, de sus obligaciones y de las consecuencias de no cumplirlas.
- Que se deberá dejar constancia de dicha información.
- Que para la cesión de los datos personales habrá de contar con el consentimiento de los copropietarios afectados, a los que se deberá informar de la finalidad a la que se destinarán los datos o el tipode actividad del cesionario, y si se han habilitado procedimientos para gestionar la revocación del consentimiento. Que, en caso contrario, deberá estar legitimado en los mismos términos que para el tratamiento de datos.
9.- OBLIGACIONES EN MATERIA DE SEGURIDAD EN LOS TRATAMIENTOS DE DATOS PERSONALES DE LAS COMUNIDADES DE PROPIETARIOS:
En cuanto a las medidas de seguridad exigibles para la realización de tratamientos de datos por las Comunidades de Propietarios y/o por los Administradores de Fincas que actúen por encargo de éstas, no existen especialidades, directrices ni normas específicas.
Uno de los problemas que plantea la prestación de servicios entre el Administrador de Fincas y la comunidad de propietarios es la ubicación del fichero. La solución más habitual es que el propio administrador de fincas se encargue de la custodia de esos datos, en su oficina y con sus propios medios. El documento de seguridad deberá localizarse en las dependencias en las que se encuentre custodiado el fichero, generalmente en la oficina del administrador. La custodia de los ficheros con datos de carácter personal pasa así a conformar una de las obligaciones básicas del administrador de fincas. En este supuesto, será el administrador quien deberá implementar las medidas de seguridad adecuadas para el nivel de seguridad que requiera el fichero. Las medidas de seguridad a adoptar por el administrador deben documentarse en el contrato de encargo del tratamiento. Sin embargo, no debe olvidarse que, en caso de que los ficheros se encuentren ubicados en la oficina profesional del administrador de fincas, éste no será más que un mero encargado del tratamiento, que limitará su actividad a la custodia de los datos y al cumplimiento del resto de las obligaciones que, como tal encargado, le correspondan.
A partir del 25 de mayo de 2018, con la aplicación práctica del RGPD-UE, se exigirá una nueva forma de cumplimiento, caracterizada por la proactividad. El RGPD-UE prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el propio RGPD-UE. Tales medidas se revisarán y actualizarán cuando sea necesario. El principio de responsabilidad proactiva se describe en el RGPD-UE como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD-UE. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD-UE prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. Las medidas de seguridad que se adopten dependerán del riesgo inherente a cada tipo de tratamiento realizado. La comunidad y/o el administrador deberán evaluar los tipos de riesgo inherentes a los tratamientos que realicen y determinar las medidas aplicables en cada caso. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las comunidades de propietarios y por los administradores de fincas frente a todos los tratamientos de datos personales que lleven a cabo.
La aplicación de las medidas previstas por el RGPD-UE debe adaptarse, por tanto, a las características de las comunidades de propietarios. Así, lo que puede ser adecuado para una comunidad que maneja información personal sensible o volúmenes importantes de datos sobre cada comunero afectado no es necesario para una pequeña comunidad de propietarios que lleva a cabo un volumen limitado de tratamientos de datos.
En cuanto a las medidas técnicas y organizativas de seguridad, el Reglamento General de Protección de Datos establece que serán las apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta:
- el estado de la técnica y costes de aplicación
- la naturaleza, alcance, contexto y fines del tratamiento
- los riesgos para los derechos y libertades de las personas
Con el RGPD-UE, lo primero que deben hacer el responsable y el encargado es evaluar los riesgos del tratamiento. La AEPD elaborará listas de conductas indicativas de riesgo. Los responsables y encargados impulsarán una mayor fluidez en el análisis del cumplimiento de medidas.
RECUERDE:
- Que deberá elaborarse el correspondiente documento de seguridad.
- Que deberá llevarse a cabo, a través del documento de seguridad, la clasificación e identificación del nivel de seguridad en relación con cada uno de los ficheros o tratamientos de datos personales.
- Que deberá implementar las medidas de seguridad previstas en la normativa en relación con los niveles de seguridad requeridos para cada caso.
- Obligaciones en materia de seguridad en los tratamientos de datos personales de las comunidades de propietarios
- Que deberá formar e informar de sus obligaciones al personal que maneje datos de carácter personal, definiendo claramente sus funciones, su deber de secreto, y sus posibilidades y limitaciones de acceso a los datos personales.
- Que deberá controlar los accesos a la información de carácter personal, gestionar adecuadamente los soportes de información, y garantizar la identificación y autenticación de los usuarios del sistema de información.
- Que debe existir un procedimiento para gestionar las autorizaciones para la salida de dispositivos portátiles que contienen datos personales fuera de los locales u oficina del responsable.
10.- ANÁLISIS DE SUPUESTOS ESPECÍFICOS:
10.1.- IMPAGO DE LOS RECIBOS DE LA COMUNIDAD POR PARTE DE LOS PROPIETARIOS:
Con carácter general, no está amparada por la normativa de protección de datos la publicación en el "tablón de anuncios" de la finca de la identidad de los propietarios deudores y/o de las cuotas vencidas e impagadas por éstos a la Comunidad de Propietarios.
Ahora bien, la Ley de Propiedad Horizontal, en su objetivo de lograr que las comunidades puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, brinda la posibilidad de dar publicidad a través de la convocatoria de la Junta de propietarios de la identidad de aquellas personas que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad. Esta publicidad conlleva el conocimiento por todos los copropietarios de la identidad de los deudores, así como del importe de su deuda, sin que sea necesario recabar el consentimiento de los mismos.
A su vez, la LPH establece que, entre las obligaciones de cada propietario se encuentra la consistente en comunicar a quien ejerza las funciones de Secretario de la Comunidad, por cualquier medio que permita tener constancia de su recepción, el domicilio en España a efectos de citaciones y notificaciones relacionadas con la comunidad. En defecto de esta comunicación se tendrá por domicilio para citaciones y notificaciones el piso o local perteneciente a la comunidad, surtiendo plenos efectos jurídicos las entregadas al ocupante del mismo.
Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto, con diligencia en la que conste la fecha y motivos por los que se procede a esta forma de notificación, firmada por quien ejerza las funciones de secretario de la comunidad, con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales.
Tampoco encuentra cobertura en la normativa de protección de datos la publicación de la relación de propietarios con cuotas vencidas y pendientes de pago, mediante comunicación singularizada y periódica remitida a cada uno de ellos.
Incluso en el supuesto en el que no se haga mención expresa a la identificación personal del vecino o vecinos deudores, significando únicamente el dato relativo a la vivienda, dicha cesión tampoco resulta conforme con la normativa de protección de datos, ya que dicho dato o referencia va siempre asociado a la del titular de la vivienda, con lo que no cabe duda de que se tratará de datos de carácter personal, al referirse a personas físicas identificables.
El hecho de que en las comunicaciones personales a los propietarios aparezca, con carácter periódico, la contabilidad de la comunidad y una relación de propietarios que no están al corriente de pago en las cuotas, implica una cesión o divulgación de los datos a una generalidad de personas, que puede resultar excesivo, teniendo en cuenta que la habilitación legal para la comunicación de los referidos datos prevista en la LPH únicamente justifica su inclusión en la Convocatoria de la Junta de Propietarios y en el acta que de la misma se concluya.
No obstante, si la mencionada publicación se realizara en cumplimiento de un acuerdo expreso adoptado por la Junta de propietarios, nos encontraremos ante una cesión de datos con consentimiento previo de los interesados, que en principio no vulneraría la normativa sobre protección de datos personales.
10.2.- ACCESO Y OBTENCIÓN DE COPIAS DE LA DOCUMENTACIÓN DE LA COMUNIDAD POR PARTE DE LOS PROPIETARIOS DE VIVIENDAS EN RÉGIMEN DE PROPIEDAD HORIZONTAL:
Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.
En la documentación de la Comunidad de Propietarios pueden encontrarse numerosas informaciones que incorporan datos personales, tales como datos identificativos y de contacto de los propietarios, números de sus cuentas corrientes, coeficientes de participación, consumos individuales, ingresos efectuados por los propietarios o deudas que estos mantengan con la comunidad, sentido del voto en la adopción de acuerdos, etcétera. Igualmente tendrá dicha consideración cualquier dato personal referido a los empleados que pudiera tener la comunidad de propietarios, como también la tendrán los datos relativos a honorarios de profesionales que abone la comunidad.
Ciñéndonos exclusivamente a los tratamientos de datos personales contenidos en los documentos que emplea la propia Comunidad, estos pueden abarcar un amplio espectro de información personal relativa, incluso, a la vida privada y familiar de los afectados, así como a cualquier tipo de actividad desarrollada por una persona, como la referida a sus relaciones laborales o a su actividad económica o social.
La propia LPH habilita diversas cesiones de datos personales. Así, el artículo 16.2) regula cómo debe efectuarse la convocatoria de las juntas, disponiendo que la convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2.
Por su parte, el artículo 19 de la LPH prevé la remisión de las actas a los propietarios, señalando en su número segundo las menciones que deben contener, entre las que figuran diversos tipos de datos de carácter personal.
Desde la óptica de la protección de los datos personales, debe señalarse que el hecho de que una norma con rango de ley formal habilite el tratamiento o cesión de los datos no resulta por sí solo suficiente para considerar dicho tratamiento o cesión, sin más, como amparados por la LOPD, siendo además preciso que los mismos resulten conformes a lo dispuesto en la mencionada Ley Orgánica, y, en particular, a los principios de proporcionalidad y finalidad.
En consecuencia, la comunicación de datos deberá limitarse a aquéllos que -en cada caso- resulten "adecuados, pertinentes y no excesivos" para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al control del buen gobierno de la comunidad.
Así, a título de ejemplo, no cumple el requisito de idoneidad la comunicación de los directorios con los datos de domicilio de los propietarios o sus números de cuenta corriente, ya que en nada contribuyen a la finalidad de control de la buena administración de la Comunidad de Propietarios.
Igualmente, y en lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato. Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de las nóminas de personal resulta contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.
El artículo 20 e) de la LPH dispone que corresponde al administrador actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad. Este artículo debe ser interpretado de conformidad con la LOPD, de modo que no permite un acceso generalizado a toda la documentación obrante en los archivos de la comunidad que pueda contener datos personales, sino solamente a aquellos datos que sean estrictamente pertinentes, adecuados y no excesivos para la finalidad perseguida. En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá eestudiarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.
Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.
En cuanto a la obtención de copias, la LPH ordena en ocasiones la remisión de determinados documentos, mientras que en su artículo 20 se refiere a custodiar a disposición de los titulares la documentación de la comunidad.
En el caso en que se considerase oportuno facilitar copia de la documentación, con las limitaciones derivadas de la aplicación de la normativa de protección de datos, deberán adoptarse las debidas medidas de seguridad y, especialmente, las relativas a la gestión y salida de soportes y documentos, y traslado de documentación.
10.3.- EXHIBICIÓN DEL LIBRO DE ACTAS DE LA COMUNIDAD DE PROPIETARIOS:
La certificación expedida por el administrador será documento suficiente para formalizar ante la entidad financiera la apertura de una cuenta corriente o para el cambio anual de firmas de los cargos de la comunidad.
10.4.- VIDEOVIGILANCIA EN LAS COMUNIDADES DE PROPIETARIOS:
Esquemáticamente, la instalación de cámaras y/o videocámaras en comunidades de propietarios se rige por los siguientes requisitos y condiciones:
- Legitimación para la instalación:
- Para la instalación de cámaras en zonas comunes será necesario el acuerdo de la Junta de propietarios que quedará reflejado en las actas de dicha Junta.
- Se recomienda que en el acuerdo se reflejen algunas de las características del sistema de videovigilancia, así como el número de cámaras o el espacio captado por las mismas.
- Grabación de imágenes (Fichero):
- Siempre que vayan a grabarse imágenes de personas, y previamente a su captura, se procederá a la inscripción del fichero en el Registro General de Protección de Datos de la AEPD (obligatorio hasta el 25 mayo de 2018), mediante el "servicio electrónico NOTA".
- La AEPD ofrece en su web un modelo para la inscripción de ficheros.
- Deber de información:
- Se instalarán en los distintos accesos a la zona videovigilada y, en lugar visible, uno o varios carteles que informen de que se accede a una zona videovigilada. El cartel indicará de forma clara la identidad del Responsable de la instalación y ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos. La AEPD dispone de un modelo de cartel.
- Asimismo, se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos. La AEPD dispone de un modelo de cláusula administrativa para su descarga y cumplimentación. La información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.
- Si se pretende que las imágenes puedan ser utilizadas para el control de los trabajadores, existen requisitos adicionales que se deben cumplir. En este caso, se aconseja consultar la ficha práctica.
- Instalación:
- Las cámaras sólo podrán captar imágenes de las zonas comunes de la comunidad. No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
- Si se utilizan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.
- La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.
- Monitores y visualización de imágenes:
- El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.
- En ningún caso resultarán accesibles a los vecinos mediante canal de televisión comunitaria.
- Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes.
- Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
- Sistema de grabación:
- El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. A las imágenes grabadas accederá sólo el personal autorizado, que deberá introducir un código de usuario y una contraseña.
- Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.
- Las imágenes que se utilicen para denunciar delitos o infracciones se acompañarán a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que las requieran. No podrán utilizarse para otro fin.
- La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. En este caso, la comunidad conservará la solicitud. El requerimiento al titular del fichero será el documento que ampare a este para ceder datos a las mismas o a los Juzgados y Tribunales que los requieran.
10.5.- RÉGIMEN DE PROPIEDAD VERTICAL:
Los administradores desarrollan también una parte de su actividad en otros supuestos diferentes a los anteriormente descritos en relación con el régimen de propiedad horizontal, como los relativos a la gestión de alquileres y otras rentas inmobiliarias pertenecientes a sus clientes. En estos casos, los titulares de las viviendas y locales de negocios no son los propietarios, son personas físicas que obtienen dichas rentas a través de la referida gestión, realizada eventualmente por un administrador de fincas, planteándose el tipo de obligaciones que corresponden a cada uno de los sujetos a los que se refiere esta actividad.
- Cuando los datos personales de los afectados son tratados por el administrador, decidiendo éste sobre el objeto, contenido y uso de dichos tratamientos, éste se convierte en responsable del fichero.
- A diferencia de lo que ocurre con el Régimen de Propiedad Horizontal, en el que el administrador ejerce la administración de una o de varias comunidades por encargo del responsable actuando como encargado del tratamiento, en este supuesto dicha condición de responsable concurrirá en el propio administrador o, en su caso, en el agente de la propiedad inmobiliaria actuante.
- Por ello, será necesario que el administrador de fincas, responsable del tratamiento de datos, cuente con el consentimiento de los afectados o tenga una base contractual para la realización de los tratamientos de datos y, a su vez, cumpla con el deber de información en los términos contenidos en la normativa de protección de datos.
- Correlativamente a su responsabilidad, corresponderán también al administrador las obligaciones relativas a la declaración e inscripción de ficheros y/o de Registro de las actividades de tratamiento.
11.- HERRAMIENTAS DE AYUDA DE LA AEPD:
La página web de la AEPD incluye dos canales de información específicamente dirigidos al responsable del tratamiento y a los ciudadanos en general. Estos canales se estructuran de forma sistemática para facilitar a los responsables el cumplimiento de sus obligaciones, y a los ciudadanos la información necesaria sobre el derecho a la protección de sus datos personales. Con el objetivo de facilitar el cumplimiento de las obligaciones recogidas en la LOPD, en su Reglamento de desarrollo, y en el RGPD-UE, la AEPD pone a disposición de los usuarios tres herramientas que pretenden hacer más fácil su cumplimiento:
- EVALÚA: EVALÚA es una herramienta gratuita, sencilla y anónima que la AEPD pone a disposición de los responsables de ficheros. Su uso permite a las comunidades de propietarios y administradores de fincas autoevaluar el grado de cumplimiento de la LOPD. Mediante un auto test basado en preguntas con respuesta múltiple, esta herramienta ofrece respuestas a las dudas a las que se habitualmente se enfrentan quienes manejan datos personales. Su cumplimentación puede llevar entre 45 y 60 minutos y, una vez finalizado el test, se genera un informe con indicaciones y recursos que orientan en el cumplimiento de la LOPD. El programa consta de dos niveles de autoevaluación: el primero es un test básico para conocer el nivel de cumplimiento de la normativa de protección de datos y el segundo permite verificar fácilmente si se cumplen con las medidas de seguridad exigibles en cada caso.
- Guía modelo para la elaboración del documento de seguridad: En web de la AEPD se ofrece una Guía modelo para la elaboración del documento de seguridad. Las comunidades de propietarios y administradores de fincas pueden acceder al documento y editarlo en función de las necesidades. El sistema de notificaciones telemáticas de ficheros a la AEPD (NOTA) incluye modelos predefinidos para la notificación de determinados ficheros tipo -tanto públicos como privados- entre los que se incluyen clientes y/o proveedores, nóminas-recursos humanos, comunidades de propietarios, videovigilancia, agenda, control de accesos, nóminas, padrón o registro.
- Videovigilancia: En la página web de la AEPD se puede acceder al material necesario en relación con la implantación de sistemas de videovigilancia mediante cámaras o videocámaras:
- Jurídico:
- Instrucción 1/2006, de 12 de diciembre, de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras
- Informes jurídicos sobre videovigilancia
- Modelos:
- Modelo al que se refiere el apartado 1 del anexo de la Instrucción 1/2006 de 8 de noviembre
- Modelo de cláusula informativa a la que se refiere el Art. 3, apartado B. Instrucción 1/2006
- Guía de videovigilancia (2014)
- Fichas prácticas de videovigilancia:
- Información general
- Comunidades de propietarios
- Mi vivienda
- Mi plaza de garaje
- Establecimientos públicos
- Control empresarial
- Jurídico:
12.- IMPLICACIONES PRÁCTICAS DEL RGPD-UE DURANTE EL PERIODO DE TRANSICIÓN:
RESPUESTA: Con carácter general, sí. El RGPD-UE prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el RGPD-UE exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
[block_highlight]PREGUNTA: ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el RGPD-UE?
RESPUESTA: No. El RGPD-UE está en vigor, pero no será aplicable hasta 2018. Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España. Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos. Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas. Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse. En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del RGPD-UE. Por ejemplo, el RGPD-UE exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de facilitar pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos. La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.[/block_highlight]
La AEPD recomienda a las organizaciones que vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando. El 25 de mayo de 2016 entró en vigor el RGPD-UE. Aunque no comenzará a aplicarse hasta dos años después, es importante que las organizaciones vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.
La AEPD, en su faceta preventiva, quiere fomentar que las entidades puedan conocer las posibles dificultades en su aplicación para tomar medidas que permitan solventarlas. A continuación se analizan algunas de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el RGPD-UE sea aplicable. La AEPD está comprometida con conseguir que la aplicación del RGPD-UE se produzca con pleno respeto a sus disposiciones y, al mismo tiempo, con ofrecer la mayor flexibilidad posible.
12.1.- Consentimiento:
RESPUESTA: Una de las bases fundamentales para tratar datos personales es el consentimiento. El RGPD-UE pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el RGPD-UE requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Las Comunidades deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el RGPD-UE sea de aplicación. Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión. Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
RESPUESTA: El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores. En el caso de las Comunidades de Propietarios, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.
El RGPD-UE requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD-UE sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio RGPD-UE.
La AEPD aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al RGPD-UE como a utilizar mecanismos acordes con la nueva legislación. A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento.
12.2.- Información:
RESPUESTA: El RGPD-UE introduce dos elementos, el "derecho al olvido" y el "derecho a la portabilidad", que mejoran la capacidad de decisión y control de los comuneros sobre los datos personales que confían a terceros:
- El "derecho al olvido" se presenta como la consecuencia del derecho que tienen los comuneros a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el "derecho al olvido" recogido ahora en el RGPD-UE, supone que el comunero puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
- El "derecho a la portabilidad" implica que el comunero que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el comuneros.
En materia de información el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Cabe plantearse, por tanto, qué va a suceder con todas las cláusulas informativas utilizadas con anterioridad a mayo de 2018 una vez que el RGPD-UE sea de aplicación.
Este periodo transitorio debería ser utilizado por las organizaciones para realizar una adaptación progresiva por varias vías. Por una parte, muchas organizaciones pueden proporcionar esa información adicional sin costes o esfuerzos excesivos utilizando para ello sus páginas web o aprovechando los canales de comunicación regulares que puedan mantener con sus clientes. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el RGPD-UE sea de aplicación.
Al mismo tiempo, es aconsejable que las organizaciones adapten sus políticas informativas a lo dispuesto por el RGPD-UE. Hay algunas cuestiones donde esa información dependerá de la adopción de otras decisiones, como puede ser el proporcionar los datos del Delegado de Protección de Datos. Esos datos no podrán trasladarse a los interesados hasta que ese Delegado no sea designado en los casos en que el RGPD-UE lo hace obligatorio o cuando las organizaciones decidan voluntariamente nombrarlo pero otros elementos sí pueden ya anticiparse y, en la medida de lo posible, incorporarse sin dilación a las informaciones que se proporcionan a los interesados.
12.3.- Evaluaciones de impacto sobre la protección de datos (EIPD):
La realización de Evaluaciones de Impacto sobre la protección de datos (EIPD), aplicables de forma obligatoria en ciertos tratamientos, tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. Por ello, posiblemente no sería acorde con el espíritu del RGPD-UE exigir que todo tratamiento que pueda potencialmente suponer un alto riesgo para los derechos de los interesados deba ser objeto de una Evaluación de Impacto pese a haber comenzado antes de que resulte aplicable.
Sin embargo, en la medida en que esos tratamientos incorporen, a partir de mayo de 2018, nuevos datos, debe entenderse que, pese a que el tratamiento siga siendo el mismo, se estaría aplicando a nuevos interesados cuyos derechos y libertades podrían estar en riesgo a partir de la fecha en que sus datos comienzan a ser tratados. Por ello, en esos casos sí sería necesario que se llevara a cabo una EIPD en los supuestos a los que se refiere el RGPD-UE.
En los demás casos en que las evaluaciones puedan ser obligatorias, la Agencia considera que no debería esperarse a la fecha de aplicación del RGPD-UE para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.
Comenzar a incorporar este sistema a la actuación de las organizaciones no sólo va a permitirles estar en mejores condiciones en el momento en que resulte obligatorio para algunas de ellas, sino que también les permitirá asegurar el cumplimiento no ya del futuro RGPD-UE, sino incluso de la actual normativa.
12.4.- Certificación:
El RGPD-UE concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas. Al mismo tiempo, en el caso de optarse por esta última alternativa, la acreditación pueden llevarla a cabo las propias Autoridades o encargarlo a las entidades de acreditación previstas en la normativa europea sobre normalización y certificación. En todo caso, en la elaboración de los criterios tanto para acreditar entidades como para certificar a las organizaciones tienen diferentes grados de participación las autoridades de supervisión y el Comité Europeo.
La AEPD entiende que, de entre estas posibilidades, la que mejor responderá a las necesidades de las entidades al tiempo que es compatible con la configuración y posibilidades de actuación de la AEPD es la de encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la AEPD.
12.5.- Delegados de protección de datos y su Certificación:
El RGPD-UE requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. Sin embargo, no establece específicamente cuáles han de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura. De hecho, el RGPD-UE indica en uno de sus considerandos que la valoración de estas aptitudes y conocimientos deberá realizarse no tanto en función de criterios externos como de las necesidades de los tratamientos concretos que cada organización lleve a cabo.
La AEPD considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.
En este momento, ya existe una oferta de certificaciones y titulaciones que respaldan conocimientos, experiencia o práctica en el ámbito de la protección de datos. Esas titulaciones están llamadas a jugar un papel relevante en el desarrollo de las profesiones relacionadas con la protección de datos en la medida en que pueden servir como un elemento más, aunque no sea necesariamente único, para que la organización que tiene que designar un DPD pueda tener constancia de la formación o cualificaciones de los posibles candidatos.
Para que la oferta de certificaciones y titulaciones funcione de manera rigurosa es necesario que estas reúnan unos requisitos que permitan que las entidades que los reciban puedan tener un razonable grado de certeza sobre lo que reflejan.
La AEPD está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos. Esta acreditación, que llevaría a cabo la Entidad Nacional de Acreditación (ENAC) de acuerdo con lo previsto en esos estándares y con las peculiaridades propias del sector, serviría para constatar que la entidad que expide los títulos, certificados o certificaciones lo hace con arreglo a unos determinados procedimientos y requisitos. La acreditación no se pronuncia sobre la calidad de los contenidos de la formación o de los aspectos que se certifican.
El hecho de que algunas entidades se acrediten no implicará necesariamente que otras que no lo hagan no apliquen los mismos criterios ni tampoco que la posesión de la titulación o certificación sea la única vía para acceder a un puesto de Delegado de Protección de Datos.
La AEPD considera que estas cuestiones tendrían un carácter instrumental orientado a ofrecer apoyo a las organizaciones a la hora de designar a un DPD. No obstante, en ningún caso excluyen que profesionales con formaciones procedentes de centros no acreditados o sin una formación específica pero con experiencia profesional puedan desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento y cualidades profesionales que el Reglamento establece.
12.6.- Relación entre Responsables y Encargados:
El RGPD-UE describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre esta y el RGPD-UE en relación a los requisitos fijados.
El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el RGPD-UE ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el RGPD-UE específicamente prevé.
Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas. En primer lugar, para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del RGPD-UE. En segundo lugar, para comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el RGPD-UE considera necesarios.
La AEPD, en colaboración con las Agencias autonómicas, está trabajando en la preparación de unas recomendaciones para los contratos de encargo. No se trata de los modelos de contrato a que se refiere el RGPD-UE debido a que esos modelos requieren de aprobación por parte del Comité Europeo de Protección de Datos -que aún no se ha establecido-, si bien tienen el objetivo de servir de orientación en esta primera etapa para que las organizaciones respondan a los nuevos requerimientos.
12.7.- Herramientas para pymes y herramientas sectoriales:
La AEPD está trabajando en la preparación de herramientas que ayuden a responsables y encargados al entendimiento y cumplimiento del RGPD-UE. Entre ellas, hay que destacar un recurso online orientado a las pymes que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo nivel de riesgo.
Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.
La AEPD está trabajando junto a las Agencias autonómicas en cláusulas informativas adaptadas al nuevo RGPD-UE para sectores o tratamientos diferenciados. Así, está previsto ofrecer una serie de recomendaciones o criterios para ayudar a reflejar los distintos puntos que el RGPD-UE exige en la información.
Las principales herramientas ya han sido descritas en el apartado 11.