La Protección de Datos, las Comunidades de Propietarios y el Administrador de Fincas

Este artículo está orientado a la Protección de Datos en las Comunidades de Propietarios, está dirigido a los Administradores de Fincas con el fin de facilitar el conocimiento y cumplimiento de la normativa y de mejorar el nivel de protección de todos los ciudadanos cuyos datos se manejan en este contexto.

1.- INTRODUCCIÓN

2.- DEFINICIONES

3.- NORMATIVA, GUÍAS, ORIENTACIONES Y DIRECTRICES

4.- LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS

5.- IDENTIFICACIÓN DE TRATAMIENTOS DE DATOS

6.- REGISTRO DE ACTIVIDADES DE TRATAMIENTO

7.- EL ADMINISTRADOR DE FINCAS COMO "ENCARGADO DEL TRATAMIENTO"

8.- OBLIGACIONES DE LOS ADMINISTRADORES DE FINCAS DERIVADAS DE SU ACTIVIDAD ESPECÍFICA EN EL ÁMBITO DE LAS COMUNIDADES DE PROPIETARIOS

9.- OBLIGACIONES EN MATERIA DE SEGURIDAD EN LOS TRATAMIENTOS DE DATOS PERSONALES DE LAS COMUNIDADES DE PROPIETARIOS

10.- ANÁLISIS DE SUPUESTOS ESPECÍFICOS

11.- HERRAMIENTAS DE AYUDA DE LA AEPD

12.- IMPLICACIONES PRÁCTICAS DEL RGPD-UE DURANTE EL PERIODO DE TRANSICIÓN

 

 

1.- INTRODUCCIÓN:

Como sabemos, la LOPD establece los requisitos exigidos para la recogida, el tratamiento y la cesión de datos de carácter personal para no dañar nuestro derecho a la intimidad. Todas las organizaciones que manejen datos personales están obligadas al cumplimiento de esta Ley y, por tanto, también las Comunidades de Propietarios están obligadas a cumplir la normativa, ya que manejan datos como nombres, teléfonos o direcciones de los propietarios. Las Comunidades de propietarios, al igual que cualquier otra empresa u organización, además de manejar datos de carácter personal, contrata servicios con terceros (limpieza, alcantarillado, seguro, administrador, etc...), y esto ya se considera un acceso a datos por cuenta de terceros o, como mínimo, una comunicación de datos y, para ello, es necesario obtener el consentimiento de los propietarios. Toda Comunidad de Propietarios debe tener al menos un fichero de tratamiento de datos personales, el Fichero de los Propietarios que integran esa Comunidad. Esto supone que, tanto la propia Comunidad como el Administrador de Fincas encargado de gestionar la misma, deben cumplir escrupulosamente la LOPD.

Cuando los Administradores de Fincas intervienen en la gestión de los asuntos de las Comunidades de Propietarios asumen unas funciones de asesoramiento y consultoría que se extienden también al ámbito de la protección de los datos que las comunidades manejan. Al mismo tiempo, se da la circunstancia de que los Administradores de Fincas desempeñan a menudo el papel de "Encargados de tratamiento" en relación con los datos de las comunidades.

Tal como subraya la AEPD, los Administradores de Fincas se ven afectados por la LOPD desde una triple vertiente:

1. Por un lado, y debido al propio ejercicio de su profesión, como titulares de ficheros con datos personales están acogidos a la normativa y a sus obligaciones de sobra conocidas: inscripción de ficheros, mantener actualizado un documento de seguridad, firma de contratos de cesión de datos, cláusulas legales necesarias en recogidas de datos, etc...
2. Por otro lado, como asesores de las comunidades, deben ser capaces de concienciarlas, no de la necesidad sino de la obligatoriedad de cumplir con las exigencias que la LOPD impone a las comunidades de propietarios, dadas las peculiaridades y casuística que pueden encontrarse (contratación de personal, colocación de cámaras de videovigi-lancia, publicación de deudas de morosos en tablones comunitarios, cambios de presidente, etc..)
3. Y por último, los Administradores de Fincas asumen, desde el punto de vista de la protección de datos, el papel de encargado de tratamiento con respecto a sus comunidades, lo que les obliga a implantar una serie de medidas de seguridad necesarias para el tratamiento y custodia de los datos de la comunidad, plasmadas en un contrato de cesión de datos que deben firmar con cada comunidad de propietarios. Como asesores jurídicos del Ilustre Colegio de Administradores de Fincas de Sevilla en esta materia, y basándonos en nuestra experiencia diaria con muchos de sus colegiados, podemos afirmar que todavía en muchos casos el administrador no conoce en qué medida la LOPD les afecta en su relación con las comunidades de propietarios.

En general, los Administradores de Fincas conocen la obligación de notificar los ficheros de datos a la Agencia, pero no son conscientes de que la documentación LOPD debe actualizarse continuamente, cada vez que se produzcan situaciones como pueden ser:

• la contratación de trabajadores por parte de la comunidad (vigilantes, jardineros, socorristas,...)
• el acuerdo de instalación de cámaras de videovigilancia.
• cuando un propietario solicita acceder a las imágenes grabadas por la cámara
• el nombramiento de un nuevo presidente de comunidad
• qué debe hacer el administrador con la documentación LOPD de una comunidad cuando deja de ser su cliente
• etc...

Podemos concluir afirmando, que vista la especial casuística que los administradores de fincas se encuentran en el ejercicio de su actividad - con importantes implicaciones en el ámbito de la protección de datos - se pone de manifiesto la necesidad de contar con unos servicios profesionales de adaptación, actualización y asesoramiento cualificado en la materia, que garantice un completo cumplimiento de la normativa, tanto por parte del Administrador de Fincas como de la Comunidad de Propietarios, evitando las elevadas sanciones que la LOPD establece y contando con un asesoramiento jurídico continuo que le permita resolver cualquier circunstancia o cuestión que le surja en esta materia.

Las obligaciones de las Comunidades de Propietarios, establecidas por la normativa de Protección de Datos, son:

• Inscripción de los ficheros:
  • En primer lugar deben determinarse el tipo de datos a tratar, que en este caso serán de nivel medio o alto, si se manejan datos de solvencia patrimonial y crédito.
  • Una vez identificados esos datos, procederemos a la inscripción de los ficheros correspondientes ante la Agencia Española de Protección de Datos (AEPD). Al menos tendremos un fichero correspondiente a los datos de los propietarios, además, si la Comunidad dispone de un sistema de videovigilancia que graba imágenes, tendríamos un fichero adicional, distinto al de propietarios, que también debemos inscribir.
  • Por otro lado, los Administradores de fincas también deben inscribir en la AEPD los ficheros que tengan sobre clientes, proveedores, empleados o videovigilancia, si tienen.
• Documento de Seguridad:
  • La Comunidad de Propietarios, como responsable de los ficheros, tendrá que adoptar las medidas técnicas y organizativas necesarias para preservar los datos personales contenidos en esos ficheros. Estas medidas se plasman en el Documento de Seguridad, de obligado cumplimiento siempre que se manejan datos personales. El contenido mínimo de ese Documento de Seguridad se establece en la LOPD.
  • Se considera una infracción grave, según la LOPD “mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
• Garantizar el cumplimiento del deber de secreto y de seguridad de los datos.
• Garantizar la veracidad de los datos y que serán tratados para la finalidad para la que fueron recogidos.
• Informar a los titulares de los datos de la recogida de estos.
• Obtener el consentimiento de los afectados para realizar el tratamiento de los datos.
• Facilitar el ejercicio de derechos ARCO a los titulares de los datos personales.
• Asegurar el cumplimiento de la LOPD en sus relaciones con terceros.

Conviene destacar que, aunque nos remitiremos a la normativa de protección de datos vigente actualmente en España, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal (LOPD), de 13/12/1999, sin embargo esta normativa será reemplazada por otra de ámbito europeo que introducirá cambios sustanciales. Nos referimos al Reglamento General de Protección de Datos de la Unión Europea (RGPD-UE), de 27/04/2016, publicado en el Diario Oficial de la Unión Europea (DOUE) el 04/05/2016, con entrada en vigor el 24/05/2016, y que será de obligada aplicación a partir de 25/05/2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En algunos aspectos, el nuevo RGPD-UE simplemente da continuidad a la legislación actual. Por ejemplo, los principios, conceptos y derechos de los interesados siguen siendo, en lo esencial, los mismos. Pero en otros casos, como es el de las obligaciones de los Responsables y Encargados de tratamiento, el RGPD-UE tiene importantes novedades en el ámbito de las Comunidades de Propietarios como, por ejemplo, la supresión de la obligación de notificar los ficheros a los registros públicos de protección de datos. Otras novedades, sin embargo, y dadas las características de esos tratamientos, no parece que vayan a tener impacto con carácter general. Eso ocurrirá, por ejemplo, en obligaciones como la de designar un "Delegado de protección de datos" o realizar evaluaciones de impacto sobre la protección de datos. Estas medidas las reserva el RGPD-UE para entidades que lleven a cabo tratamientos que impliquen un cierto nivel de riesgo para los derechos y libertades de los titulares de los datos, circunstancia que no parece darse en los tratamientos habituales en las Comunidades de Propietarios. Aunque hemos hecho referencias a algunas de estas novedades, principalmente cuando ya puede irse avanzando cómo habrán de cumplirse estas obligaciones, sin embargo, será preciso esperar a las reformas legales que serán necesarias para facilitar la aplicación del RGPD-UE en España para poder ofrecer indicaciones concretas sobre cumplimiento.

 

2.- DEFINICIONES:

• Dato personal: toda información sobre una "persona física identificada o identificable" (el interesado).
• Persona física identificable: es toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
• Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
• Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
• Responsable del tratamiento (o simplemente Responsable): la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
• Encargado del tratamiento (o simplemente Encargado): la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
• Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
• Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

 

3.- NORMATIVA, GUÍAS, ORIENTACIONES Y DIRECTRICES:

Ya se han publicado, y se seguirán publicando a lo largo de 2017 y 2018, documentos destinados a apoyar a los Administradores de Fincas en su adaptación a la nueva normativa. Algunos son:

• Reglamento General de Protección de Datos de la Unión Europea (RGPD-UE)
• Guía del RGPD-UE para los Administradores de Fincas
• Guía del RGPD-UE para Responsables de tratamiento
• Guía del RGPD-UE para el cumplimiento del deber de informar
• Guía del RGPD-UE para la elaboración del contrato entre Responsable y Encargado del tratamiento
• Guía del RGPD-UE para los procedimientos de anonimización de datos personales
• Guía del RGPD-UE para el derecho a la portabilidad de datos
• Guía del RGPD-UE para los Delegados de protección de datos
• Guía del RGPD-UE para los criterios de identificación de la “Autoridad Líder”

 

4.- LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS:

Los Administradores de Fincas realizan múltiples tratamientos de datos de carácter personal cuando actúan por cuenta de las Comunidades de Propietarios. Desde la perspectiva de la normativa de protección de datos de carácter personal, y como principio de carácter general, los Administradorfes de Fincas están legitimados para tratar y disponer de los datos de los copropietarios que resulten necesarios para la gestión ordinaria de los asuntos de la comunidad en virtud de la relación contractual que les vincula con la comunidad, en los términos acordados en la misma, y en el marco de la Ley de Propiedad Horizontal (LPH).

 

5.- IDENTIFICACIÓN DE TRATAMIENTOS DE DATOS:

5.1.- FICHERO DE PROPIETARIOS:

En su gestión ordinaria, una Comunidad de Propietarios puede servirse de diferentes ficheros con datos de carácter personal con los que realizar diversos tratamientos. Los ficheros más usuales son los que incorporan información personal de las personas físicas integrantes de la propia comunidad, y suelen denominarse “Ficheros de Gestión de la Comunidad de Propietarios" o "Ficheros de Propietarios", y la Comunidad se sirve de ellos para su gestión contable, fiscal y administrativa, asegurando el cumplimiento por los propietarios de las obligaciones impuestas por la LPH y el ejercicio de los derechos que corresponden a los copropietarios en la Comunidad.

Los tratamientos de datos más comunes de las Comunidades de Propietarios se realizan con la finalidad de "gestión" de la Comunidad. Ésta se sirve de ellos para diversas funciones legales y contractualmente asumidas, así como para facilitar el ejercicio de sus derechos a los propios comuneros.

Generalmente, en estos ficheros son objeto de tratamiento los siguientes datos personales:

• nombre de los propietarios
• teléfonos de contacto
• direcciones postales
• números de DNI
• direcciones de correo electrónico

Pero la normativa de protección de datos no impide que la Comunidad de Propietarios disponga también de otros datos personales de los copropietarios, siempre que se refieran a los afectados en su calidad de copropietarios y que no resulten excesivos para los fines propios de dicha comunidad. Así, por ejemplo:

• Datos del inquilino
• Escrituras de Propiedad
• Cuentas bancarias
• etc...

 

5.2.- FICHERO DE VIDEOVIGILANCIA:

Finalmente, en muchas ocasiones las Comunidades de Propietarios aprueban la instalación de sistemas de cámaras y/o videocámaras, que dan lugar a tratamientos de imágenes de personas físicas identificadas o identificables. En este caso, deberá existir un fichero específico con la finalidad de "videovigilancia" o de "cámaras de seguridad", cuya finalidad principal es la seguridad y control de accesos y/o vigilancia de las instalaciones y elementos comunes del inmueble.

 

6.- REGISTRO DE ACTIVIDADES DE TRATAMIENTO:

[block_highlight]PREGUNTA: ¿En qué consiste el sistema de 'ventanilla única'?

RESPUESTA: Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora. También implica que cada Autoridad de protección de datos europea, en  lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas. Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la AEPD). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia. La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.[/block_highlight]

Hasta el 25 de mayo de 2018, se mantendrá vigente la obligación de declaración e inscripción de ficheros con datos de carácter personal en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD). Para realizar la inscripción del fichero y, en su caso, la posterior modificación o supresión de dicha inscripción, se encuentra disponible en la sede electrónica de la AEPD el Servicio Electrónico NOTA. Este formulario permite la presentación de notificaciones a través de internet de forma gratuita.

La obligación de notificar corresponde a la propia Comunidad de Propietarios, a través de su Presidente que, según dispone el artículo 13.3 de la LPH, ostenta legalmente su representación en todos los asuntos que la afecten. No obstante, la notificación puede ser efectuada por el administrador, actuando en representación del responsable del fichero, esto es, en nombre de la obligada, que será siempre la propia comunidad. Con la aplicación efectiva del RGPD-UE, a partir del 25 de mayo de 2018, desaparecerá la obligación de notificar la creación de ficheros al Registro General de Protección de Datos de la AEPD, si bien aparecen un conjunto de medidas de carácter interno que el Responsable y/o el Encargado de los tratamientos deberán impulsar y tener documentadas a disposición de la AEPD. En particular, llevarán un Registro de las actividades de tratamiento.

La obligación de inscribir el fichero en el Registro General de Protección de Datos corresponde a la Comunidad de Propietarios, a través de su Presidente, en representación de la misma, o el administrador, si así se le encomienda. Con la aplicación efectiva del RGPD-UE, a partir del 25 de mayo de 2018 desaparece la obligación de inscribir los ficheros. En su lugar, surgen un conjunto de medidas de carácter interno que el responsable y/o el encargado de los tratamientos, deberán impulsar y tener documentadas "a disposición" de la AEPD. Estas medidas se concretan en el denominado Registro de las actividades de tratamiento.

 

7.- EL ADMINISTRADOR DE FINCAS COMO "ENCARGADO DEL TRATAMIENTO":

7.1.- RESPONSABLE DEL TRATAMIENTO:

La finalidad de los tratamientos de datos realizados por las Comunidades de Propietarios es asegurar su correcto desenvolvimiento dentro del cumplimiento por parte de éstos de las obligaciones impuestas por la LPH, así como garantizar el adecuado ejercicio de los derechos que corresponden a los comuneros y a los terceros en la comunidad.

La condición de Responsable de los ficheros creados para la adecuada gestión y funcionamiento de la Comunidad de Propietarios en régimen de propiedad horizontal corresponde a la propia Comunidad de Propietarios.

 

7.2.- ENCARGADO DEL TRATAMIENTO:

En el régimen de propiedad horizontal, el Administrador de Fincas, que ejerce la administración de una o de varias comunidades por encargo del responsable, actúa como Encargado del tratamiento.

 

7.3.- RELACIÓN ENTRE RESPONSABLE Y ENCARGADO:

 

Para que la relación entre la Comunidad de propietarios (Responsable) y el Administrador de Fincas (Encargado) se ajuste a la normativa de protección de datos es preciso que se cumplan las siguientes condiciones:

• Que el acceso a los datos por el Administrador de Fincas se efectúe con la exclusiva finalidad de prestar un servicio al Rsponsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida.
• La relación contractual deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.
• Se establecerá expresamente que el Administrador de Fincas únicamente tratará los datos conforme a las instrucciones de la Comunidad de Propietarios, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
• El Administrador de Fincas debe limitarse a emplear los datos en el ámbito de las funciones de la Comunidad de Propietarios que le haya designado.
• Se entiende que el Administrador de Fincas actúa conforme a las instrucciones del responsable del tratamiento cuando, en el ejercicio de sus funciones, trata los datos de los propietarios contenidos en los ficheros que custodia.
  Al término de su relación, el Administrador de Fincas deberá devolver a la Comunidad de Propietarios todos los soportes y/o documentos en los que consten datos de carácter personal objeto de tratamientos de datos. No obstante, el Administrador podrá conservar, debidamente bloqueados, los datos personales objeto de tratamiento en tanto pudieran derivarse responsabilidades de su relación con la Comunidad de Propietarios.
• Las medidas de seguridad que hayan de ser adoptadas por los administradores que realicen tratamientos de datos por cuenta de comunidades serán las mismas que las que sean exigibles al responsable.
• En el supuesto de que el Administrador incumpliera estas obligaciones, destinando los datos a otra finalidad, comunicándolos a terceras personas o utilizándolos en contra de lo previsto en el contrato, podrá ser considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
• Para tratar datos de carácter personal de los copropietarios de una finca en virtud de un encargo de servicios y/o gestiones diferentes de las comprendidas en la LPH, el Administrador de fincas deberá contar con el consentimiento específico e informado de todos los afectados.
• El Encargo del tratamiento a favor del administrador de fincas debe encontrarse documentado en un contrato, en el que se especificarán las obligaciones de las partes contratantes en relación con la normativa de protección de datos.

Con el obligado cumplimiento del RGPD-UE, a partir del 25/05/2018:

• surgen un conjunto de medidas de carácter interno que el encargado del tratamiento debe impulsar y tener documentadas "a disposición" de la AEPD. La mayor parte de estas medidas se contienen en el artículo 30 del RGPD, relativo al denominado Registro de las actividades de tratamiento.
• Estas medidas son obligatorias también para los Administradores de Fincas, como Encargados del tratamiento.
• En los supuestos en los que resulte aplicable esta exigencia, el Administrador de Fincas, como encargado del tratamiento de datos personales de una comunidad de propietarios, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:
  • El nombre y los datos de contacto del Encargado o Encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, de los representantes y del delegado de protección de datos.
  • Las categorías de tratamientos efectuados por cuenta de cada responsable; cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad implementadas en relación con los tipos de tratamientos de datos realizados.
  • Estos registros constarán por escrito, inclusive en formato electrónico.
  • El Encargado del tratamiento y, en su caso, su representante pondrá el registro a disposición de la AEPD si ésta lo solicita.

 

8.- OBLIGACIONES DE LOS ADMINISTRADORES DE FINCAS DERIVADAS DE SU ACTIVIDAD ESPECÍFICA EN EL ÁMBITO DE LAS COMUNIDADES DE PROPIETARIOS:

Las principales obligaciones establecidas por la normativa de protección de datos recaen sobre el Responsable del fichero, si bien los Administradores de Fincas, tanto en el ámbito de su función de asesoramiento y como encargado del tratamiento, deberán facilitar su cumplimiento y participar del mismo. El Administrador de Fincas debe facilitar a las comunidades toda la información que precisen para adecuar sus tratamientos de datos de carácter personal a la normativa de protección de datos. Dicha información y asesoramiento debe referirse tanto a la actividad interna y ordinaria de la Comunidad de Propietarios como a la relativa a la contratación de obras, bienes y/o servicios provenientes de terceros. Dichas obligaciones son:

• Inscripción de ficheros: La obligación vigente hasta mayo de 2018 de realizar la inscripción de ficheros y/o de los registros de tratamientos corresponde a las Comunidades de Propietarios, si bien el Administrador de Fincas debe asesorar a éstas en relación con dicha obligación, pudiendo actuar además como Encargado del tratamiento.
• Deber de información: Se debe informar a los titulares de los datos personales. Con carácter general, esta información deberá ofrecerse en el momento de la recogida de los datos.
• Calidad de los datos: En la realización del tratamiento de datos, todos los sujetos implicados deben asegurarse de que los datos personales sean adecuados y veraces, obtenidos lícita y legítimamente, y tratados de modo proporcional a la finalidad para la que fueron recabados.
• Conservación de datos: Como principio general, los datos personales deberán ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados o registrados. No obstante, la normativa de protección de datos permite conservar los datos personales durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica; o de la ejecución de un contrato; o de la aplicación de medidas precontractuales solicitadas por el interesado. Para ese supuesto deberán bloquearse los datos, que sólo estarán a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las citadas responsabilidades. El administrador de fincas sólo podrá conservar los datos personales que sean estrictamente imprescindibles durante el período de prescripción que marca la normativa fiscal, contable, social o civil. Finalizado dicho plazo los datos deberán destruirse. Sólo podrán conservarse si se disocian previamente o si, con carácter excepcional, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decide el mantenimiento íntegro de determinados datos.
• Deber de secreto: En el tratamiento de datos de carácter personal, se debe garantizar el cumplimiento del deber de secreto. Este deber, que incumbe a los responsables de las comunidades y a losadministradores que intervengan en cualquier fase del tratamiento, comporta que no puedan revelar ni dar a conocer su contenido teniendo el deber de guardarlos.La obligación de secreto del administrador subsistirá aún después de finalizar sus relaciones con la comunidad de propietarios.
• Cesiones de datos de carácter personal: Se entiende por cesión de datos de carácter personal toda revelación de datos realizada a favor de una persona distinta del interesado.El administrador sólo podrá ceder y/o comunicar los datos personales de los comuneros a terceras personas si cuenta con el consentimiento de los afectados, a menos que dicha cesión o comunicación de datos encuentre amparo legal en los supuestos que, por vía de excepción, se contienen en la normativa de protección de datos. En el supuesto de que el administrador ceda los datos personales de los copropietarios, sin su consentimiento y sin habilitación normativa, vulneraría los derechos de los afectados, y su actuación podría dar lugar a un expediente sancionador incoado por la AEPD por infracción grave e, incluso, muy grave. En su caso, la sanción a imponer recaería sobre el responsable -la comunidad de propietarios-, o sobre el encargado del tratamiento -el administrador de fincas-, o sobre ambos, dependiendo de cómo mantengan regulada su relación y de si disponen de contrato de acceso de datos por cuenta de terceros o no.
• Obligaciones en materia de seguridad: En el tratamiento de los datos de carácter personal se debe garantizar el cumplimiento de las obligaciones en materia de seguridad.
• Normativas sectoriales: Todos los agentes implicados en el tratamiento de datos deberán cumplir con los mandatos derivados de la normativa de protección de datos y de la legislación sectorial aplicable a la administración de fincas, con especial atención a las especialidades derivadas del tratamiento de información personal en este ámbito.

 

9.- OBLIGACIONES EN MATERIA DE SEGURIDAD EN LOS TRATAMIENTOS DE DATOS PERSONALES DE LAS COMUNIDADES DE PROPIETARIOS:

En cuanto a las medidas de seguridad exigibles para la realización de tratamientos de datos por las Comunidades de Propietarios y/o por los Administradores de Fincas que actúen por encargo de éstas, no existen especialidades, directrices ni normas específicas.

Uno de los problemas que plantea la prestación de servicios entre el Administrador de Fincas y la comunidad de propietarios es la ubicación del fichero. La solución más habitual es que el propio administrador de fincas se encargue de la custodia de esos datos, en su oficina y con sus propios medios. El documento de seguridad deberá localizarse en las dependencias en las que se encuentre custodiado el fichero, generalmente en la oficina del administrador. La custodia de los ficheros con datos de carácter personal pasa así a conformar una de las obligaciones básicas del administrador de fincas. En este supuesto, será el administrador quien deberá implementar las medidas de seguridad adecuadas para el nivel de seguridad que requiera el fichero. Las medidas de seguridad a adoptar por el administrador deben documentarse en el contrato de encargo del tratamiento. Sin embargo, no debe olvidarse que, en caso de que los ficheros se encuentren ubicados en la oficina profesional del administrador de fincas, éste no será más que un mero encargado del tratamiento, que limitará su actividad a la custodia de los datos y al cumplimiento del resto de las obligaciones que, como tal encargado, le correspondan.

A partir del 25 de mayo de 2018, con la aplicación práctica del RGPD-UE, se exigirá una nueva forma de cumplimiento, caracterizada por la proactividad. El RGPD-UE prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el propio RGPD-UE. Tales medidas se revisarán y actualizarán cuando sea necesario. El principio de responsabilidad proactiva se describe en el RGPD-UE como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD-UE. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD-UE prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. Las medidas de seguridad que se adopten dependerán del riesgo inherente a cada tipo de tratamiento realizado. La comunidad y/o el administrador deberán evaluar los tipos de riesgo inherentes a los tratamientos que realicen y determinar las medidas aplicables en cada caso. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las comunidades de propietarios y por los administradores de fincas frente a todos los tratamientos de datos personales que lleven a cabo.

La aplicación de las medidas previstas por el RGPD-UE debe adaptarse, por tanto, a las características de las comunidades de propietarios. Así, lo que puede ser adecuado para una comunidad que maneja información personal sensible o volúmenes importantes de datos sobre cada comunero afectado no es necesario para una pequeña comunidad de propietarios que lleva a cabo un volumen limitado de tratamientos de datos.

En cuanto a las medidas técnicas y organizativas de seguridad, el Reglamento General de Protección de Datos establece que serán las apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta:

• el estado de la técnica y costes de aplicación
• la naturaleza, alcance, contexto y fines del tratamiento
• los riesgos para los derechos y libertades de las personas

Con el RGPD-UE, lo primero que deben hacer el responsable y el encargado es evaluar los riesgos del tratamiento. La AEPD elaborará listas de conductas indicativas de riesgo. Los responsables y encargados impulsarán una mayor fluidez en el análisis del cumplimiento de medidas.

10.- ANÁLISIS DE SUPUESTOS ESPECÍFICOS:

10.1.- IMPAGO DE LOS RECIBOS DE LA COMUNIDAD POR PARTE DE LOS PROPIETARIOS:

Con carácter general, no está amparada por la normativa de protección de datos la publicación en el "tablón de anuncios" de la finca de la identidad de los propietarios deudores y/o de las cuotas vencidas e impagadas por éstos a la Comunidad de Propietarios.

Ahora bien, la Ley de Propiedad Horizontal, en su objetivo de lograr que las comunidades puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, brinda la posibilidad de dar publicidad a través de la convocatoria de la Junta de propietarios de la identidad de aquellas personas que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad. Esta publicidad conlleva el conocimiento por todos los copropietarios de la identidad de los deudores, así como del importe de su deuda, sin que sea necesario recabar el consentimiento de los mismos.

A su vez, la LPH establece que, entre las obligaciones de cada propietario se encuentra la consistente en comunicar a quien ejerza las funciones de Secretario de la Comunidad, por cualquier medio que permita tener constancia de su recepción, el domicilio en España a efectos de citaciones y notificaciones relacionadas con la comunidad. En defecto de esta comunicación se tendrá por domicilio para citaciones y notificaciones el piso o local perteneciente a la comunidad, surtiendo plenos efectos jurídicos las entregadas al ocupante del mismo.

Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto, con diligencia en la que conste la fecha y motivos por los que se procede a esta forma de notificación, firmada por quien ejerza las funciones de secretario de la comunidad, con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales.

Tampoco encuentra cobertura en la normativa de protección de datos la publicación de la relación de propietarios con cuotas vencidas y pendientes de pago, mediante comunicación singularizada y periódica remitida a cada uno de ellos.

Incluso en el supuesto en el que no se haga mención expresa a la identificación personal del vecino o vecinos deudores, significando únicamente el dato relativo a la vivienda, dicha cesión tampoco resulta conforme con la normativa de protección de datos, ya que dicho dato o referencia va siempre asociado a la del titular de la vivienda, con lo que no cabe duda de que se tratará de datos de carácter personal, al referirse a personas físicas identificables.

El hecho de que en las comunicaciones personales a los propietarios aparezca, con carácter periódico, la contabilidad de la comunidad y una relación de propietarios que no están al corriente de pago en las cuotas, implica una cesión o divulgación de los datos a una generalidad de personas, que puede resultar excesivo, teniendo en cuenta que la habilitación legal para la comunicación de los referidos datos prevista en la LPH únicamente justifica su inclusión en la Convocatoria de la Junta de Propietarios y en el acta que de la misma se concluya.

No obstante, si la mencionada publicación se realizara en cumplimiento de un acuerdo expreso adoptado por la Junta de propietarios, nos encontraremos ante una cesión de datos con consentimiento previo de los interesados, que en principio no vulneraría la normativa sobre protección de datos personales.

 

10.2.- ACCESO Y OBTENCIÓN DE COPIAS DE LA DOCUMENTACIÓN DE LA COMUNIDAD POR PARTE DE LOS PROPIETARIOS DE VIVIENDAS EN RÉGIMEN DE PROPIEDAD HORIZONTAL:

Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.

En la documentación de la Comunidad de Propietarios pueden encontrarse numerosas informaciones que incorporan datos personales, tales como datos identificativos y de contacto de los propietarios, números de sus cuentas corrientes, coeficientes de participación, consumos individuales, ingresos efectuados por los propietarios o deudas que estos mantengan con la comunidad, sentido del voto en la adopción de acuerdos, etcétera. Igualmente tendrá dicha consideración cualquier dato personal referido a los empleados que pudiera tener la comunidad de propietarios, como también la tendrán los datos relativos a honorarios de profesionales que abone la comunidad.

Ciñéndonos exclusivamente a los tratamientos de datos personales contenidos en los documentos que emplea la propia Comunidad, estos pueden abarcar un amplio espectro de información personal relativa, incluso, a la vida privada y familiar de los afectados, así como a cualquier tipo de actividad desarrollada por una persona, como la referida a sus relaciones laborales o a su actividad económica o social.

La propia LPH habilita diversas cesiones de datos personales. Así, el artículo 16.2) regula cómo debe efectuarse la convocatoria de las juntas, disponiendo que la convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2.

Por su parte, el artículo 19 de la LPH prevé la remisión de las actas a los propietarios, señalando en su número segundo las menciones que deben contener, entre las que figuran diversos tipos de datos de carácter personal.

Desde la óptica de la protección de los datos personales, debe señalarse que el hecho de que una norma con rango de ley formal habilite el tratamiento o cesión de los datos no resulta por sí solo suficiente para considerar dicho tratamiento o cesión, sin más, como amparados por la LOPD, siendo además preciso que los mismos resulten conformes a lo dispuesto en la mencionada Ley Orgánica, y, en particular, a los principios de proporcionalidad y finalidad.

En consecuencia, la comunicación de datos deberá limitarse a aquéllos que -en cada caso- resulten "adecuados, pertinentes y no excesivos" para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al control del buen gobierno de la comunidad.

Así, a título de ejemplo, no cumple el requisito de idoneidad la comunicación de los directorios con los datos de domicilio de los propietarios o sus números de cuenta corriente, ya que en nada contribuyen a la finalidad de control de la buena administración de la Comunidad de Propietarios.

Igualmente, y en lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato. Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de las nóminas de personal resulta contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.

El artículo 20 e) de la LPH dispone que corresponde al administrador actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad. Este artículo debe ser interpretado de conformidad con la LOPD, de modo que no permite un acceso generalizado a toda la documentación obrante en los archivos de la comunidad que pueda contener datos personales, sino solamente a aquellos datos que sean estrictamente pertinentes, adecuados y no excesivos para la finalidad perseguida. En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá eestudiarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.

Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.

En cuanto a la obtención de copias, la LPH ordena en ocasiones la remisión de determinados documentos, mientras que en su artículo 20 se refiere a custodiar a disposición de los titulares la documentación de la comunidad.

En el caso en que se considerase oportuno facilitar copia de la documentación, con las limitaciones derivadas de la aplicación de la normativa de protección de datos, deberán adoptarse las debidas medidas de seguridad y, especialmente, las relativas a la gestión y salida de soportes y documentos, y traslado de documentación.

 

10.3.- EXHIBICIÓN DEL LIBRO DE ACTAS DE LA COMUNIDAD DE PROPIETARIOS:

La certificación expedida por el administrador será documento suficiente para formalizar ante la entidad financiera la apertura de una cuenta corriente o para el cambio anual de firmas de los cargos de la comunidad.

10.4.- VIDEOVIGILANCIA EN LAS COMUNIDADES DE PROPIETARIOS:

Esquemáticamente, la instalación de cámaras y/o videocámaras en comunidades de propietarios se rige por los siguientes requisitos y condiciones:

• Legitimación para la instalación:
  • Para la instalación de cámaras en zonas comunes será necesario el acuerdo de la Junta de propietarios que quedará reflejado en las actas de dicha Junta.
  • Se recomienda que en el acuerdo se reflejen algunas de las características del sistema de videovigilancia, así como el número de cámaras o el espacio captado por las mismas.
• Grabación de imágenes (Fichero):
  • Siempre que vayan a grabarse imágenes de personas, y previamente a su captura, se procederá a la inscripción del fichero en el Registro General de Protección de Datos de la AEPD (obligatorio hasta el 25 mayo de 2018), mediante el "servicio electrónico NOTA".
  • La AEPD ofrece en su web un modelo para la inscripción de ficheros.
• Deber de información:
  • Se instalarán en los distintos accesos a la zona videovigilada y, en lugar visible, uno o varios carteles que informen de que se accede a una zona videovigilada. El cartel indicará de forma clara la identidad del Responsable de la instalación y ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos. La AEPD dispone de un modelo de cartel.
  • Asimismo, se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos. La AEPD dispone de un modelo de cláusula administrativa para su descarga y cumplimentación. La información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.
  • Si se pretende que las imágenes puedan ser utilizadas para el control de los trabajadores, existen requisitos adicionales que se deben cumplir. En este caso, se aconseja consultar la ficha práctica.
• Instalación:
  • Las cámaras sólo podrán captar imágenes de las zonas comunes de la comunidad. No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
  • Si se utilizan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.
  • La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.
• Monitores y visualización de imágenes:
  • El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.
  • En ningún caso resultarán accesibles a los vecinos mediante canal de televisión comunitaria.
  • Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes.
  • Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
• Sistema de grabación:
  • El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. A las imágenes grabadas accederá sólo el personal autorizado, que deberá introducir un código de usuario y una contraseña.
  • Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.
  • Las imágenes que se utilicen para denunciar delitos o infracciones se acompañarán a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que las requieran. No podrán utilizarse para otro fin.
  • La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. En este caso, la comunidad conservará la solicitud. El requerimiento al titular del fichero será el documento que ampare a este para ceder datos a las mismas o a los Juzgados y Tribunales que los requieran.

 

10.5.- RÉGIMEN DE PROPIEDAD VERTICAL:

Los administradores desarrollan también una parte de su actividad en otros supuestos diferentes a los anteriormente descritos en relación con el régimen de propiedad horizontal, como los relativos a la gestión de alquileres y otras rentas inmobiliarias pertenecientes a sus clientes. En estos casos, los titulares de las viviendas y locales de negocios no son los propietarios, son personas físicas que obtienen dichas rentas a través de la referida gestión, realizada eventualmente por un administrador de fincas, planteándose el tipo de obligaciones que corresponden a cada uno de los sujetos a los que se refiere esta actividad.

• Cuando los datos personales de los afectados son tratados por el administrador, decidiendo éste sobre el objeto, contenido y uso de dichos tratamientos, éste se convierte en responsable del fichero.
• A diferencia de lo que ocurre con el Régimen de Propiedad Horizontal, en el que el administrador ejerce la administración de una o de varias comunidades por encargo del responsable actuando como encargado del tratamiento, en este supuesto dicha condición de responsable concurrirá en el propio administrador o, en su caso, en el agente de la propiedad inmobiliaria actuante.
• Por ello, será necesario que el administrador de fincas, responsable del tratamiento de datos, cuente con el consentimiento de los afectados o tenga una base contractual para la realización de los tratamientos de datos y, a su vez, cumpla con el deber de información en los términos contenidos en la normativa de protección de datos.
• Correlativamente a su responsabilidad, corresponderán también al administrador las obligaciones relativas a la declaración e inscripción de ficheros y/o de Registro de las actividades de tratamiento.

 

11.- HERRAMIENTAS DE AYUDA DE LA AEPD:

La página web de la AEPD incluye dos canales de información específicamente dirigidos al responsable del tratamiento y a los ciudadanos en general. Estos canales se estructuran de forma sistemática para facilitar a los responsables el cumplimiento de sus obligaciones, y a los ciudadanos la información necesaria sobre el derecho a la protección de sus datos personales. Con el objetivo de facilitar el cumplimiento de las obligaciones recogidas en la LOPD, en su Reglamento de desarrollo, y en el RGPD-UE, la AEPD pone a disposición de los usuarios tres herramientas que pretenden hacer más fácil su cumplimiento:

• EVALÚA: EVALÚA es una herramienta gratuita, sencilla y anónima que la AEPD pone a disposición de los responsables de ficheros. Su uso permite a las comunidades de propietarios y administradores de fincas autoevaluar el grado de cumplimiento de la LOPD. Mediante un auto test basado en preguntas con respuesta múltiple, esta herramienta ofrece respuestas a las dudas a las que se habitualmente se enfrentan quienes manejan datos personales. Su cumplimentación puede llevar entre 45 y 60 minutos y, una vez finalizado el test, se genera un informe con indicaciones y recursos que orientan en el cumplimiento de la LOPD. El programa consta de dos niveles de autoevaluación: el primero es un test básico para conocer el nivel de cumplimiento de la normativa de protección de datos y el segundo permite verificar fácilmente si se cumplen con las medidas de seguridad exigibles en cada caso.
• Guía modelo para la elaboración del documento de seguridad: En web de la AEPD se ofrece una Guía modelo para la elaboración del documento de seguridad. Las comunidades de propietarios y administradores de fincas pueden acceder al documento y editarlo en función de las necesidades. El sistema de notificaciones telemáticas de ficheros a la AEPD (NOTA) incluye modelos predefinidos para la notificación de determinados ficheros tipo -tanto públicos como privados- entre los que se incluyen clientes y/o proveedores, nóminas-recursos humanos, comunidades de propietarios, videovigilancia, agenda, control de accesos, nóminas, padrón o registro.
• Videovigilancia: En la página web de la AEPD se puede acceder al material necesario en relación con la implantación de sistemas de videovigilancia mediante cámaras o videocámaras:
  • Jurídico:
    • Instrucción 1/2006, de 12 de diciembre, de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras
    • Informes jurídicos sobre videovigilancia
  • Modelos:
    • Modelo al que se refiere el apartado 1 del anexo de la Instrucción 1/2006 de 8 de noviembre
    • Modelo de cláusula informativa a la que se refiere el Art. 3, apartado B. Instrucción 1/2006
    • Guía de videovigilancia (2014)
  • Fichas prácticas de videovigilancia:
    • Información general
    • Comunidades de propietarios
    • Mi vivienda
    • Mi plaza de garaje
    • Establecimientos públicos
    • Control empresarial

 

12.- IMPLICACIONES PRÁCTICAS DEL RGPD-UE DURANTE EL PERIODO DE TRANSICIÓN:

[block_highlight]PREGUNTA: ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el RGPD-UE?

RESPUESTA: No. El RGPD-UE está en vigor, pero no será aplicable hasta 2018. Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España. Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos. Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas. Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse. En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del RGPD-UE. Por ejemplo, el RGPD-UE exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de facilitar pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos. La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.[/block_highlight]

La AEPD recomienda a las organizaciones que vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando. El 25 de mayo de 2016 entró en vigor el RGPD-UE. Aunque no comenzará a aplicarse hasta dos años después, es importante que las organizaciones vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

La AEPD, en su faceta preventiva, quiere fomentar que las entidades puedan conocer las posibles dificultades en su aplicación para tomar medidas que permitan solventarlas. A continuación se analizan algunas de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el RGPD-UE sea aplicable. La AEPD está comprometida con conseguir que la aplicación del RGPD-UE se produzca con pleno respeto a sus disposiciones y, al mismo tiempo, con ofrecer la mayor flexibilidad posible.

12.1.- Consentimiento:

El RGPD-UE requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD-UE sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio RGPD-UE.

La AEPD aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al RGPD-UE como a utilizar mecanismos acordes con la nueva legislación. A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento.

12.2.- Información:

En materia de información el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Cabe plantearse, por tanto, qué va a suceder con todas las cláusulas informativas utilizadas con anterioridad a mayo de 2018 una vez que el RGPD-UE sea de aplicación.

Este periodo transitorio debería ser utilizado por las organizaciones para realizar una adaptación progresiva por varias vías. Por una parte, muchas organizaciones pueden proporcionar esa información adicional sin costes o esfuerzos excesivos utilizando para ello sus páginas web o aprovechando los canales de comunicación regulares que puedan mantener con sus clientes. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el RGPD-UE sea de aplicación.

Al mismo tiempo, es aconsejable que las organizaciones adapten sus políticas informativas a lo dispuesto por el RGPD-UE. Hay algunas cuestiones donde esa información dependerá de la adopción de otras decisiones, como puede ser el proporcionar los datos del Delegado de Protección de Datos. Esos datos no podrán trasladarse a los interesados hasta que ese Delegado no sea designado en los casos en que el RGPD-UE lo hace obligatorio o cuando las organizaciones decidan voluntariamente nombrarlo pero otros elementos sí pueden ya anticiparse y, en la medida de lo posible, incorporarse sin dilación a las informaciones que se proporcionan a los interesados.

12.3.- Evaluaciones de impacto sobre la protección de datos (EIPD):

La realización de Evaluaciones de Impacto sobre la protección de datos (EIPD), aplicables de forma obligatoria en ciertos tratamientos, tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. Por ello, posiblemente no sería acorde con el espíritu del RGPD-UE exigir que todo tratamiento que pueda potencialmente suponer un alto riesgo para los derechos de los interesados deba ser objeto de una Evaluación de Impacto pese a haber comenzado antes de que resulte aplicable.  

Sin embargo, en la medida en que esos tratamientos incorporen, a partir de mayo de 2018, nuevos datos, debe entenderse que, pese a que el tratamiento siga siendo el mismo, se estaría aplicando a nuevos interesados cuyos derechos y libertades podrían estar en riesgo a partir de la fecha en que sus datos comienzan a ser tratados. Por ello, en esos casos sí sería necesario que se llevara a cabo una EIPD en los supuestos a los que se refiere el RGPD-UE.

En los demás casos en que las evaluaciones puedan ser obligatorias, la Agencia considera que no debería esperarse a la fecha de aplicación del RGPD-UE para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.

Comenzar a incorporar este sistema a la actuación de las organizaciones no sólo va a permitirles estar en mejores condiciones en el momento en que resulte obligatorio para algunas de ellas, sino que también les permitirá asegurar el cumplimiento no ya del futuro RGPD-UE, sino incluso de la actual normativa.

12.4.- Certificación:

El RGPD-UE concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas. Al mismo tiempo, en el caso de optarse por esta última alternativa, la acreditación pueden llevarla a cabo las propias Autoridades o encargarlo a las entidades de acreditación previstas en la normativa europea sobre normalización y certificación. En todo caso, en la elaboración de los criterios tanto para acreditar entidades como para certificar a las organizaciones tienen diferentes grados de participación las autoridades de supervisión y el Comité Europeo.

La AEPD entiende que, de entre estas posibilidades, la que mejor responderá a las necesidades de las entidades al tiempo que es compatible con la configuración y posibilidades de actuación de la AEPD es la de encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la AEPD.

12.5.- Delegados de protección de datos y su Certificación:

El RGPD-UE requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. Sin embargo, no establece específicamente cuáles han de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura. De hecho, el RGPD-UE indica en uno de sus considerandos que la valoración de estas aptitudes y conocimientos deberá realizarse no tanto en función de criterios externos como de las necesidades de los tratamientos concretos que cada organización lleve a cabo.

La AEPD considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.

En este momento, ya existe una oferta de certificaciones y titulaciones que respaldan conocimientos, experiencia o práctica en el ámbito de la protección de datos. Esas titulaciones están llamadas a jugar un papel relevante en el desarrollo de las profesiones relacionadas con la protección de datos en la medida en que pueden servir como un elemento más, aunque no sea necesariamente único, para que la organización que tiene que designar un DPD pueda tener constancia de la formación o cualificaciones de los posibles candidatos.

Para que la oferta de certificaciones y titulaciones funcione de manera rigurosa es necesario que estas reúnan unos requisitos que permitan que las entidades que los reciban puedan tener un razonable grado de certeza sobre lo que reflejan.  

La AEPD está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos. Esta acreditación, que llevaría a cabo la Entidad Nacional de Acreditación (ENAC) de acuerdo con lo previsto en esos estándares y con las peculiaridades propias del sector, serviría para constatar que la entidad que expide los títulos, certificados o certificaciones lo hace con arreglo a unos determinados procedimientos y requisitos. La acreditación no se pronuncia sobre la calidad de los contenidos de la formación o de los aspectos que se certifican.

El hecho de que algunas entidades se acrediten no implicará necesariamente que otras que no lo hagan no apliquen los mismos criterios ni tampoco que la posesión de la titulación o certificación sea la única vía para acceder a un puesto de Delegado de Protección de Datos.

La AEPD considera que estas cuestiones tendrían un carácter instrumental orientado a ofrecer apoyo a las organizaciones a la hora de designar a un DPD. No obstante, en ningún caso excluyen que profesionales con formaciones procedentes de centros no acreditados o sin una formación específica pero con experiencia profesional puedan desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento y cualidades profesionales que el Reglamento establece.

12.6.- Relación entre Responsables y Encargados:

El RGPD-UE describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre esta y el RGPD-UE en relación a los requisitos fijados.

El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el RGPD-UE ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el RGPD-UE específicamente prevé.  

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas. En primer lugar, para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del RGPD-UE. En segundo lugar, para comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el RGPD-UE considera necesarios.

La AEPD, en colaboración con las Agencias autonómicas, está trabajando en la preparación de unas recomendaciones para los contratos de encargo. No se trata de los modelos de contrato a que se refiere el RGPD-UE debido a que esos modelos requieren de aprobación por parte del Comité Europeo de Protección de Datos -que aún no se ha establecido-, si bien tienen el objetivo de servir de orientación en esta primera etapa para que las organizaciones respondan a los nuevos requerimientos.

12.7.- Herramientas para pymes y herramientas sectoriales:

La AEPD está trabajando en la preparación de herramientas que ayuden a responsables y encargados al entendimiento y cumplimiento del RGPD-UE. Entre ellas, hay que destacar un recurso online orientado a las pymes que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo nivel de riesgo.  

Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.

La AEPD está trabajando junto a las Agencias autonómicas en cláusulas informativas adaptadas al nuevo RGPD-UE para sectores o tratamientos diferenciados. Así, está previsto ofrecer una serie de recomendaciones o criterios para ayudar a reflejar los distintos puntos que el RGPD-UE exige en la información.

Las principales herramientas ya han sido descritas en el apartado 11.