CIVIL

El Reglamento UE sobre protección de datos y las comunidades de propietarios

Tribuna
Proteccion-DatosLOPDDPO_EDEIMA20180326_0011_1.jpg

Próximamente será plenamente y directamente aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 -EDL 2016/48900-, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).

El citado RGPD -EDL 2016/48900- será efectivo y plenamente aplicable en los Estados miembro a partir del 25 de mayo de 2018, quedando derogada la Directiva 95/46/CE -EDL 1995/16021- y afectando a la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -EDL 1999/63731- y el Real Decreto 1720/2007, de 21 de diciembre -EDL 2007/241465-, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Hasta esta fecha, 25 de mayo de 2018, seguirá plenamente vigente la Ley Orgánica 15/1999, de 13 de diciembre -EDL 1999/63731-, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre -EDL 2007/241465-, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, si bien la mayoría de las empresas y entidades están haciendo un esfuerzo por adaptar sus procesos al RGPD -EDL 2016/48900-, haciendo coexistir hasta aquella fecha ambas normativas.

Para adaptar la normativa española en materia de protección de datos de carácter personal, el pasado 14 de noviembre de 2017 fue presentado en el Congreso de los Diputados el Proyecto de Ley Orgánica de Protección de Datos (PLOPD) -EDL 2017/236284- que sustituirá a la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -EDL 1999/63731-, sin que sepamos hasta el momento cuando será objeto de aprobación definitiva y entrada en vigor, lo cual no obsta para la plena aplicación del RGPD -EDL 2016/48900- a fecha 25 de mayo de 2018.

El RGPD -EDL 2016/48900- contiene XI Capítulos divididos en: I. Disposiciones Generales; II. Principios; III. Derechos de los Interesados; IV. Responsable del Tratamiento y Encargado del Tratamiento; V. Transferencia a Terceros Países u Organizaciones Internacionales; VI. Autoridades de Control; VII. Cooperación y Coherencia; VIII. Recursos, Responsabilidad y Sanciones; IX. Situaciones Específicas de Tratamiento; X. Actos Delegados y Actos de Ejecución; y XI. Disposiciones Finales.

La mayoría de sus disposiciones coinciden en sus aspectos esenciales con las obligaciones recogidas hasta el momento como los conceptos generales, los principios o los derechos de los interesados; otras son más novedosas como la designación de un delegado de protección de datos o la realización de evaluaciones de impacto en la propia organización; y, otras complementan la anterior normativa como las obligaciones de los responsables y encargados de tratamiento, siendo estas últimas las que más puedan afectar a la actividad de los administradores de fincas.

Sin embargo, los cambios suponen que deba revisarse por completo la política implementada en la organización complementando las actuaciones a los nuevos requerimientos exigidos por el RGPD -EDL 2016/48900-.

El RGPD -EDL 2016/48900- establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos. Se considera “dato personal” toda información sobre una persona física identificada o identificable (el interesado) y como “tratamiento” cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no.

Los administradores de fincas ya están familiarizados con los datos de carácter personal que pueden recabar de los propietarios para la gestión de las comunidades de propietarios (nombre, apellidos, DNI, cuentas corrientes, mail, etc.) creando los ficheros necesarios que, hasta el 25 de mayo de 2018, se deben registrar en el Registro General de la Agencia Española de Protección de Datos. Por ello, se hará especial mención a aquellas actividades y obligaciones que impone el RGPD -EDL 2016/48900- que más puedan afectar a su gestión.

El RGPD -EDL 2016/48900- establece los principios básicos del tratamiento y prevé que los datos personales deben ser:

a)  tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia);

b)  recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (finalidad determinada, explícita y legítima);

c)   los datos personales serán los adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos); exactos y, si fuera necesario, actualizados;

d)  se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (exactitud);

e)  mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales (limitación del plazo de conservación; por ejemplo, el imprescindible que marca la normativa vigente);

f)   tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad).

El responsable del tratamiento será responsable del cumplimiento de estas obligaciones y capaz de demostrarlo, es lo que se denomina por el RGPD -EDL 2016/48900- como «responsabilidad proactiva».

Como se verá este principio de responsabilidad proactiva se manifiesta a lo largo de todo el articulado del RGPD -EDL 2016/48900-; así por ejemplo, en la necesidad de detectar los riesgos existentes en los tratamientos de datos de carácter personal mediante un análisis previo, responder a la solicitud del ejercicio de los derechos por los interesados, la adopción de medidas técnicas y organizativas que aseguren un tratamiento eficaz y con arreglo al RGPD o paliar las posibles violaciones de seguridad.

Según el RGPD -EDL 2016/48900-, para que el tratamiento sea lícito, deberán cumplirse las siguientes condiciones:

a) que el interesado dé su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte; para la aplicación a petición de este de medidas precontractuales; para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; para proteger intereses vitales del interesado o de otra persona física; para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

El consentimiento se articula en el RGPD -EDL 2016/48900- como pieza fundamental para el tratamiento de los datos de carácter personal. Así, cuando el tratamiento se base en el consentimiento del interesado, el responsable del tratamiento deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales mediante una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

El interesado tendrá derecho a retirar su consentimiento en cualquier momento, debiendo ser informado de esta posibilidad y debiendo ser tan fácil retirar el consentimiento como darlo.

Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

Como expresa el RGPD -EDL 2016/48900-, para las personas físicas debe quedar totalmente claro:

-  Que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.

-  Debe ser consciente de que otorga el consentimiento y en la medida en que lo está haciendo.

-  De los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales, así como del modo de hacer valer sus derechos en relación con el tratamiento.

-  De los fines específicos del tratamiento de los datos personales que deben ser explícitos y legítimos, y determinarse en el momento de su recogida.

Por ello, toda información y comunicación relativa al tratamiento de dichos datos debe ser fácilmente accesible y fácil de entender, utilizando un lenguaje sencillo y claro.

En principio estará prohibido, salvo determinadas condiciones como el otorgamiento del consentimiento explícito, el tratamiento de datos personales especialmente sensibles como los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

Cuando se obtengan del interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará determinada información por escrito y de manera concisa, transparente, inteligible, de fácil acceso y con un lenguaje claro y sencillo.

La información que debe proporcionarse al interesado es la siguiente:

a) la identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante;

b) en su caso, los datos de contacto del delegado de protección de datos;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) los intereses legítimos del responsable del tratamiento o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

g) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

h) la posibilidad del derecho a retirar el consentimiento en cualquier momento;

i) el derecho a presentar una reclamación ante una autoridad de control;

j) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;

k) la existencia de decisiones automatizas, incluida la elaboración de perfiles;

l) las posibles transferencias internacionales de datos de carácter personal a un tercer país u organización internacional.

Hay que tener en cuenta que el RGPD -EDL 2016/48900- añade nuevos requisitos, por lo que la obligación de informar deberá ser revisada y adaptada a los nuevos requerimientos.

La Agencia Española de Protección de Datos ha publicado una guía para el cumplimiento de la obligación de informar optando por un modelo de información por capas o niveles y explicando con detalle cómo debería efectuarse el deber de información al interesado según los medios con los que pretenda obtenerse tal información (de manera escrita, formularios web, entrevistas telefónicas, etc.).

El RGPD -EDL 2016/48900- regula también los derechos del interesado, en particular a solicitar del responsable del tratamiento el acceso a sus datos personales, su rectificación o supresión, o la limitación de su tratamiento [1], o a oponerse al tratamiento, así como el nuevo derecho a la portabilidad de los datos entendido como la facultad del interesado a recibir los datos personales que le incumban en un formato estructurado, de uso común y lectura mecánica, y/o a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. Reforzando la actitud proactiva que debe tener el responsable del tratamiento, el RGPD exige la prueba del cumplimiento del deber de responder a la solicitud del interesado que corresponde al propio responsable del tratamiento (PLOPD -EDL 2017/236284-).

Una de las figuras más relevantes a efectos del tratamiento de datos de carácter personal son el responsable del tratamiento y el encargado del tratamiento. Así lo establece el RGPD -EDL 2016/48900- al determinar claramente que entre el responsable del tratamiento y el encargado del tratamiento debe mediar un contrato que les vincule y el contenido mínimo de ese contrato.

El RGPD -EDL 2016/48900- define al responsable del tratamiento como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento y, al encargado del tratamiento como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

A los efectos que nos ocupan, el responsable del tratamiento es la propia comunidad de propietarios en régimen de propiedad horizontal que ejercerá sus obligaciones a través de su presidente, al ostentar éste legalmente su representación en los asuntos que le afecten para la adecuada marcha de la misma (art. 13.3 LPH -EDL 1960/55-). Al administrador de fincas le corresponde el adecuado desarrollo de las obligaciones concernientes a un encargado del tratamiento en lo que respecta a la relación jurídica que le une con la comunidad de propietarios, sin perjuicio, en su caso, de sus propios deberes como responsable del tratamiento.

Por ello y de acuerdo con el RGPD -EDL 2016/48900-, tanto la comunidad de propietarios como el administrador de fincas deberán propiciar la firma de un contrato escrito que les vincule con el fin de obtener una óptima protección de los datos de carácter personal.

Según el RGPD -EDL 2016/48900-, el contrato deberá establecer:

1) El objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

2) Que el administrador de fincas como encargado del tratamiento:

a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, que nos los aplicará o utilizará con fin distinto al objeto del contrato, ni los comunicará, ni siquiera para su conservación a otras personas, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional;

b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

c) tomará todas las medidas de seguridad necesarias;

d) no recurrirá a otro encargado del tratamiento sin autorización previa por escrito de la comunidad de propietarios, en cuyo caso celebrará con el nuevo encargado del tratamiento un contrato que garantice las mismas obligaciones de protección de datos que las estipuladas en el contrato inicial (debe tenerse en cuenta que el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado);

e) asistirá al responsable del tratamiento, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados;

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones de seguridad, evaluación de impacto y notificaciones de violaciones de seguridad, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembro que obligue a su conservación;

h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

La comunidad de propietarios como responsable del tratamiento debe asegurarse que, el administrador de fincas, como encargado del tratamiento, ofrezca garantías suficientes para aplicar medidas técnicas y organizativas de seguridad apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD -EDL 2016/48900-, garantice la protección de los derechos de los interesados y solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

La adhesión por el administrador de fincas como encargado del tratamiento a un código de conducta o a un mecanismo de certificación aprobado por la Agencia Española de Protección de Datos o por las autoridades autonómicas de control podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes.

Como se comentaba, hasta el 25 de mayo de 2018 seguirá vigente la obligación de inscribir en el Registro General de la Agencia de Protección de Datos los ficheros de carácter personal. A partir de esta fecha esta obligación en principio no será necesaria, quedando sustituida por el Registro de Actividades de Tratamiento.

En principio la obligación de elaborar un Registro de Actividades de Tratamiento no se exige por el RGPD -EDL 2016/48900- a empresas u organizaciones que emplee a menos de 250 personas, salvo y a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales (revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física) o datos personales relativos a condenas e infracciones penales.

En base a que resulta difícil justificar que el tratamiento de datos personales no entraña riesgo alguno para los derechos y libertades de los interesados y la importancia que el RGPD -EDL 2016/48900- da a la responsabilidad proactiva, se recomienda elaborar el citado registro de actividades de tratamiento sobre la base del examen de los ficheros inscritos en el Registro General de la Agencia Española de Protección de Datos, así como cualquier otra actividad de tratamiento que pudiera haberse generado con posterioridad a la inscripción.

La elaboración del Registro de Actividades de Tratamiento se exige que sea por escrito (inclusive en formato electrónico), tanto al responsable del tratamiento como al encargado del tratamiento. Por ello, los administradores de fincas, si prestan este servicio a la comunidad de propietarios y como encargados del tratamiento deberán elaborar sendos Registros de Actividades de Tratamiento: el que corresponde al responsable del tratamiento y el que corresponde al encargado del tratamiento.

El Registro de Actividades de Tratamiento que debe elaborar el responsable del tratamiento deberá contener la siguiente información:

a) el nombre y los datos de contacto del responsable del tratamiento y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) una descripción general de las medidas técnicas y organizativas de seguridad.

Como encargado de tratamiento, el Registro de Actividades de Tratamiento que debe realizarse deberá contener la siguiente información:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas;

d) una descripción general de las medidas técnicas y organizativas de seguridad.

Tanto el responsable del tratamiento como el encargado del tratamiento deberán adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas cuyos datos personales traten.

Para adoptar estas medidas técnicas y organizativas de seguridad, el RGPD -EDL 2016/48900- exige que se analice el estado de la técnica y costes de aplicación; la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. Por ello, inicialmente correspondería analizar los riesgos que entraña cada tratamiento de datos de carácter personal.

Una vez analizados los riesgos de cada tratamiento, se adoptarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El RGPD -EDL 2016/48900- incluye como tales al menos las siguientes:

a) la seudonimización [2] y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

La adhesión a un código de conducta aprobado o a un mecanismo de certificación aprobado podrá servir de elemento para demostrar el cumplimiento de estos requisitos de seguridad.

El principio básico de «minimización de datos» y «exactitud» queda reflejado en el RGPD -EDL 2016/48900- al definir la adopción de medidas técnicas y organizativas para garantizar la seguridad del tratamiento se realice con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del mismo, en relación a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Así como al deber de secreto y confidencialidad garantizando que tales medidas no sean accesibles a un número indeterminado de personas físicas y sometiendo a estos deberes al responsable y encargado del tratamiento incluso cuando hubiera finalizado su relación contractual.

En caso de una violación de la seguridad de los datos personales [3], el responsable del tratamiento debe documentarlo y notificarlo al interesado sin dilación indebida y, a la Agencia Española de Protección de Datos, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Por su parte, el encargado de tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

Se entiende que existe una violación de la seguridad de los datos personales cuando se ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. A estos efectos se considera importante elaborar por escrito un procedimiento interno que describa los pasos que han de seguirse en caso de producirse una violación de seguridad en los términos indicados.

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Esta evaluación es exigible, por ejemplo, cuando se realice una observación sistemática a gran escala de una zona de acceso público.

No obstante, es posible interpretar que cualquier tratamiento de datos de carácter personal puede implicar un riesgo, por ello, la Agencia Española de Protección de Datos aconseja realizar un análisis previo sobre la necesidad o no de realizar una evaluación de impacto y documentar los resultados de dicho análisis.

Por otro lado, la obligación de designar un Delegado de Protección de Datos, que podrá ser un empleado del encargado o responsable del tratamiento o bien un externo con un contrato de servicios, será exigible en determinados casos:

a) cuando el tratamiento lo lleve a cabo una autoridad u organismo público;

b) cuando las actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) cuando se trate de tratamientos a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

A estos efectos el PLOPD -EDL 2017/236284- establece expresamente qué entidades, públicas o privadas, están obligadas a designar un Delegado de Protección de Datos.

Por otro lado, debe hacerse constar que determinadas actuaciones y condiciones del tratamiento de los datos de carácter personal, en el caso de los administradores de fincas, están amparados por la LPH -EDL 1960/55- y, por tanto, los tratamientos contemplados expresamente en la misma estarían basados en el cumplimiento de una obligación legal exigible. Así, por ejemplo, el contenido del acta de la junta (art. 15.2 LPH), su remisión o la obligación de custodia que corresponde al secretario de la comunidad (art.19 LPH).

También debe señalarse que los datos de carácter personal deben ser mantenidos para su tratamiento durante el tiempo estrictamente necesario para cumplir la finalidad para los que fueron recabados. Por ejemplo, el imprescindible que marque la normativa fiscal o, en su caso, la obligación de conservación por cinco años que establece el artículo 19 LPH -EDL 1960/55-.

En cuanto al tratamiento con fines de videovigilancia, el PLOPD -EDL 2017/236284- permite en su redacción actual que se lleve a cabo el tratamiento de imágenes a través del sistema de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones. Si bien se establecen las siguientes condiciones:

a) sólo podrán captarse imágenes en la vía pública en la medida en que resulte imprescindible para cumplir con la finalidad mencionada;

b) los datos serán suprimidos en un plazo máximo de un mes salvo que su conservación sea necesaria para acreditar actos que atenten contra la integridad de las personas, bienes o instalaciones;

c) la obligación de información se entenderá cumplida mediante la colocación de un dispositivo informativo en un lugar suficientemente visible que identifique como mínimo la existencia del tratamiento, la identidad del responsable y la posibilidad del ejercicio de los derechos por el interesado.

En atención a las funciones que le corresponde, la Agencia Española de Protección de Datos de Carácter Personal ha elaborado una “hoja de ruta” sobre cómo adaptarse al RGPD -EDL 2016/48900-, así como diferentes modelos para adecuarse al mismo.

La Agencia Española de Protección de Datos[4] seguirá siendo la autoridad administrativa independiente de ámbito estatal y supervisora de la correcta aplicación de la normativa en materia de protección de datos de carácter personal.



NOTAS:

[1] El RGPD -EDL 2016/48900- define la limitación del tratamiento como el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.

[2] El RGPD -EDL 2016/48900- define la seudonimización como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

[3] El RGPD -EDL 2016/48900- define la violación de la seguridad de los datos personales como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

[4] La denominación oficial que contempla el PLOPD -EDL 2017/236284- es la de “Agencia Española de Protección de Datos, Autoridad Administrativa Independiente”.

Este artículo ha sido publicado en la "Revista de Derecho Inmobiliario", el 1 de mayo de 2018.

(Puedes consultar Legislación y Jurisprudencia en nuestra Base de Datos).


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación