Guía de aplicación de la Protección de Datos en los Administradores de Fincas

Imprimir
Índice de contenidos

La siguiente Guía orienta a los Administradores de Fincas, sobre la aplicación de la Protección de Datos para ellos, como Encargado de Tratamiento y a sus Comunidades, como Responsables del Tratamiento.

Guía: Protección de Datos Administradores de Fincas

1.LEGITIMACIÓN DE LOS DATOS

Es importante tener claro, que en todo momento los datos obtenidos, deben estar legitimados.

Esto significa, que deben obtener solo los datos necesarios de los propietarios y copropietarios, de las comunidades que gestiona como Encargado de Tratamiento.

La legitimación viene dada por la LPH (Ley de Propiedad Horizontal), que permite a los administradores el tratamiento de los datos de la comunidad.

2. IDENTIFICACIÓN DE LOS TRATAMIENTOS

Los tratamientos de datos más comunes de las COMUNIDADES DE PROPIETARIOS se realizan con la “finalidad” de “gestión” de la comunidad. Ésta se sirve de ellos para diversas “funciones” legales y contractualmente asumidas, así como para facilitar el ejercicio de sus derechos a los propios comuneros.

Estos tratamientos, se suelen denominar y definir como:

– “Propietarios”/ “Gestión de Comunidad Propietarios”.
Este fichero/ tratamiento, se define por incluir todos los datos de los propietarios, para la gestión contable, fiscal y administrativa de la propia comunidad.

Los datos identificados en este fichero/ tratamiento, son: Nombre, DNI, email, teléfono, dirección postal (tanto de propietarios como de copropietarios).

– “Personal”.
Este fichero/ tratamiento, se identifica en aquellas comunidades que disponen de personal contratado (conserje, personal de limpieza, etc.).

Los datos identificados en este fichero/ tratamiento, son: Nombre, DNI, email, teléfono, dirección postal, características personales y circunstancias sociales, datos académicos, profesionales y de empleo y datos económicos.

– “Videovigilancia”/ “Vigilancia”.
Este fichero/ tratamiento, se identifica en aquellas comunidades que disponen de cámaras de vigilancia.

Los datos identificados en este fichero/ tratamiento, son: Imagen/ Voz.

En el caso del Administrador, identificará entre sus ficheros, el de Propietarios (como Encargado del Tratamiento), además del de Personal, siempre que también lo gestione.

3. REGISTRO DE ACTIVIDADES

A partir de la aplicación del RGPD -25 de mayo de 2018- desaparece la obligación de notificar la creación de ficheros. En su lugar, surgen un conjunto de medidas de carácter interno que el responsable y el encargado de los tratamientos deberán impulsar y tener documentadas “a disposición” de la AEPD. Estas medidas se concretan en el denominado Registro de Actividades de Tratamiento.

Es obligación de la comunidad disponer de un registro de actividades, reflejando sus ficheros/ tratamientos, con el Administrador de fincas como Encargado de tratamiento.

Por su parte, el administrador, debe contar con su propio Registro de Actividades, incluyendo el fichero/ tratamiento “Propietarios”.

4. EL ADMINISTRADOR DE FINCAS COMO ENCARGADO DEL TRATAMIENTO

La finalidad perseguida por los tratamientos de datos realizados por las comunidades de propietarios es la de asegurar el correcto desenvolvimiento de la comunidad.

La condición de Responsable de los Tratamientos que se realizan para la adecuada gestión y funcionamiento de la comunidad de propietarios en régimen de propiedad horizontal corresponde a la propia comunidad de propietarios.

Surge aquí la figura del Encargado del Tratamiento, encarnada por el Administrador de Fincas, en el cual, la comunidad delega el tratamiento de los datos.

El encargo del tratamiento, a favor del administrador de fincas, debe encontrarse documentado en un contrato, en el que se especificarán las funciones y obligaciones de las partes contratantes en relación con la normativa de protección de datos.

Para que la relación entre comunidad de propietarios [Responsable del Tratamiento] y el administrador [Encargado del Tratamiento] se ajuste a la normativa de protección de datos, es preciso que se cumplan las siguientes condiciones referidas en el artículo 28 del RGPD:

– Se establecerá expresamente que el administrador de fincas únicamente tratará los datos conforme a las instrucciones de la comunidad de propietarios, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

– Que tanto el administrador de fincas, así como cualquier persona que trabaje para él, deberán respetar la confidencialidad en el tratamiento de los datos personales.

– Al término de su relación, el administrador de fincas deberá devolver a la comunidad de propietarios todos los soportes y/o documentos en los que consten datos de carácter personal objeto de tratamientos de datos.

– No obstante, el administrador podrá conservar los datos personales objeto de tratamiento en tanto pudieran derivarse responsabilidades de su relación con la comunidad de propietarios.

– Asistirá a la comunidad de propietarios cuando por algún afectado se ejercite alguno de los derechos que reconoce la normativa de protección de datos de carácter personal.

– Ayudará al responsable para garantizar el cumplimiento de sus obligaciones en aquellos supuestos en que se produzca una brecha de seguridad, sobre todo cuando se deba comunicar a la Agencia Española de Protección de Datos.

– Las medidas de seguridad que hayan de ser adoptadas por los administradores que realicen tratamientos de datos por cuenta de comunidades serán las mismas que las que sean exigibles al responsable.

– En el supuesto de que el administrador incumpliera estas obligaciones, destinando los datos a otra finalidad, comunicándolos a terceras personas o utilizándolos en contra de lo previsto en el contrato, podrá ser considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

– Para tratar datos de carácter personal de los copropietarios de una comunidad de propietarios en virtud de un encargo de servicios y/o gestiones diferentes de las comprendidas en la LPH, se deberá contar con el consentimiento específico, informado e inequívoco de todos los afectados.


5. OBLIGACIONES DEL ADMINISTRADOR DE FINCAS DERIVADAS DE LA ACTIVIDAD DE LA COMUNIDAD.

El principio de responsabilidad proactiva exige una actitud consciente, diligente y proactiva por parte de las comunidades de propietarios y por los administradores de fincas frente a todos los tratamientos de datos personales que lleven a cabo.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, asegurándose de que esas medidas son las adecuadas para cumplir con la normativa y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

El administrador de fincas debe facilitar a las comunidades toda la información que precisen para adecuar sus tratamientos de datos de carácter personal a la normativa de protección de datos.

Dicha información y asesoramiento debe referirse tanto a la actividad interna y ordinaria de la comunidad, como a la relativa a la contratación de obras, bienes y/o servicios provenientes de terceros.

Por eso es competencia del Administrador, velar por que la comunidad cumpla con lo siguiente:

  • Sobre los DATOS de la comunidad:
    • Deben cumplirse los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.
    • Deben recogerse solo los datos personales necesarios en relación para con las finalidades relativas a la gestión ordinaria de asuntos de la comunidad de propietarios.
    • No deben usarse los datos ulteriormente para finalidades incompatibles.
    • Serán tratados de manera que se garantice una seguridad adecuada de los mismos.
  • Disponer de un REGISTRO DE ACTIVIDADES DEL TRATAMIENTO. Debe configurarse dicho registro, tanto por parte de las comunidades como responsables, como por los administradores que actúan como encargados de tratamiento.
  • DERECHO DE INFORMACIÓN. Con carácter general, se deberá dar cumplimiento a este derecho de información en el momento de recogida de los datos personales.

  • CONSERVACIÓN DE DATOS. Tanto Responsable como Encargado, deben cumplir con el principio de limitación del plazo de conservación, la norma europea al regular el derecho de supresión determina una serie de excepciones en las que no procedería dicha supresión.
  • DEBER DE CONFIDENCIALIDAD. El tratamiento de datos de carácter personal, se debe garantizar el cumplimiento del deber de confidencialidad o secreto. Este deber, que incumbe a los responsables de las comunidades y a los administradores que intervengan en cualquier fase del tratamiento, comporta que no puedan revelar ni dar a conocer su contenido teniendo el deber de guardarlos. La obligación de secreto del administrador subsistirá aún después de finalizar sus relaciones con la comunidad de propietarios.

  • COMUNICACIONES DE DATOS DE CARÁCTER PERSONAL. Supone la revelación de datos realizada a favor de persona distinta del interesado. Solo estará autorizada la comunicación de datos, siempre que exista precepto legal.

6. OBLIGACIONES EN MATERIA DE SEGURIDAD DEL TRATAMIENTO

A continuación se describen algunas de las medidas de seguridad que, el Administrador de Fincas, puede adoptar para proteger los datos de la comunidad:

  • Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades.
  • Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
  • Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos.
  • Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
  • Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. Para la gestión de las contraseñas puede consultar la guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad.

También se pueden implementar las siguientes medidas técnicas de salvaguarda:

  • Actualización de ordenadores y dispositivos: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
  • Malware: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
  • Cortafuegos o Firewall: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
  • Cifrado de datos: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • Copia de seguridad: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
  • Que para documentar adecuadamente las medidas de seguridad técnicas y organizativas implantadas se puede utilizar el documento de seguridad.

  • Que deberá formar e informar de sus obligaciones al personal que maneje datos de carácter personal, definiendo claramente sus funciones, su deber de confidencialidad, y sus posibilidades y limitaciones de acceso a los datos personales.

  • Que deberá controlar los accesos a la información de carácter personal, gestionar adecuadamente los soportes de información, y garantizar la identificación y autenticación de los usuarios del sistema de información.

  • Que debe existir un procedimiento para gestionar las autorizaciones para la salida de dispositivos portátiles que contienen datos personales fuera de los locales u oficina del responsable.

 

7. SUPUESTOS

En la guía de la AEPD, puede consultar diferentes supuestos prácticos, sobre: Impago de recibos, Acceso y obtención de documentos por los propietarios, Exhibición del libro de actas a Bancos y la Videovigilancia en las Comunidades de propietarios, entre otros.

Puede descargar aquí la guía completa confeccionada por la Agencia de Protección de Datos, sobre la Protección de Datos y los Administradores de Fincas.

Asegúrate de una correcta aplicación con MsDatos.

MsDatos es la solución más óptima y completa para garantizar su aplicación con facilidad. Nuestro programa cubre todo el proceso de adaptación, implementación y gestión del RGPD y LOPDGDD.

Cumple de forma rápida y con mínima intervención.

Print Friendly and PDF
Síguenos en nuestro Canal de Whatsapp. Escanea el QR
Categorías

 

Otros recursos

Solicitar llamada

Llámanos al 950 268 000
o déjanos tus datos y te llamamos nosotros.

Adjuntar archivo (opcional, hasta 5mb):