LA PROTECCIÓN DE DATOS EN LAS COMUNIDADES DE PROPIETARIOS
Tras haber pasado
ya 10 años desde la publicación del artículo y, ante la “sorpresa” que dicho
tema resulta de interés en las redes sociales así como la incesante puesta en
conocimiento, igualmente, a través de dichas redes sociales, respecto de
sanciones a comunidades de propietarios, especialmente, referente a la
publicación de datos personales en el tablón de anuncios, siendo curioso que,
el que suscribe el presente artículo consiguió, ya en el año 2005, que la
Agencia Española de Protección de Datos impusiera una sanción a una comunidad
de propietarios por publicar una sentencia en el tablón de anuncios de dicha
comunidad.
Como es lógico,
este artículo datado en el año 2005, aunque en esencia es aplicable al momento
actual, es necesario efectuar modificaciones derivadas de cambios normativos,
especialmente, en relación al Real Decreto 1720/2007 de desarrollo de la LOPD -RDLOPD-
y la supresión de determinada normativa derogada por dicho RDLOPD. Ante dicho
extremo, se reproduce el mismo artículo con sus correspondientes modificaciones
para adaptarlo a la realidad normativa existente.
Este
artículo versa sobre la aplicación de la Ley Orgánica de Protección de Datos en
las Comunidades de Propietarios y la figura del administrador de fincas como
representante o gestor de dichas comunidades.
Todo propietario de una vivienda en régimen
de propiedad horizontal tiene inherentes una serie de deberes y obligaciones
tipificadas en la Ley 8/1999, de 6 de abril, de Reforma de la Ley 49/1960 sobre
Propiedad Horizontal. No obstante, el lugar donde se encuentra ubicada nuestra
vivienda o local (edificio, urbanización, zona residencial) es compartido por
otros propietarios, lo que hace necesario una forma organizativa capaz de
establecer una normas o preceptos de convivencia (Estatutos de Comunidad), la
denominada Comunidad de Propietarios, formada por todos y cada uno de los
propietarios de las viviendas (co-propietarios) que conforman nuestro lugar de
residencia.
La Junta de Gobierno establecida al efecto,
en todas y cada una de las Comunidades de Propietarios que cuenten con más de
cuatro propietarios, deberá establecer los siguientes cargos: Junta de
Propietarios, Presidente, Secretario y Administrador, siendo estos dos últimos
acumulables bajo una misma persona. Además, señalar que el cargo de
Administrador puede ser ostentado por un Administrador de Fincas si así es
acordado por la Junta de Propietarios.
Este artículo no pretende ser una orientación
de los diferentes derechos, obligaciones y deberes que toda Junta de Gobierno,
y más los Administradores, han de tener en referencia con la Comunidad de
Propietarios a la que representa, sino más bien una guía práctica de los datos
que maneja dicha Junta y que afectan a todos los co-propietarios pertenecientes
a la Comunidad de Propietarios.
Adquiere relevancia significativa la
delimitación de las figuras de responsable y encargado de tratamiento para el
caso en que la figura del administrador sea ostentada por una persona
perteneciente a un colegio profesional (Administrador de Fincas), sin
olvidarnos de los co-propietarios que no hacen frente a los pagos derivados de
la Comunidad, los denominados morosos o impagados, y de todos aquellos aspectos
que aluden al tratamiento propio de los datos.
En primer lugar, en referencia a la diferenciación
entre responsable y encargado de tratamiento en el caso en que sea un
Administrador de Fincas el que ostente el cargo de administrador dentro de la
Comunidad de Propietarios, la problemática se suscita en torno a si la
Comunidad de Propietarios es el responsable del fichero o, si por el contrario,
el Administrador de Fincas va a ostentar dicha figura y no la de encargado de
tratamiento. Si tomamos como referencia el artículo 3 de la Ley Orgánica
de Protección de Datos (LOPD), entre sus definiciones nos encontramos con la
figura de responsable del fichero, en este sentido nos dice que es toda “persona
física o jurídica, de naturaleza pública o privada, u órgano administrativo que
decide sobre la finalidad, contenido y uso del tratamiento”. Por lo tanto,
la persona jurídica que va a decidir sobre la finalidad, contenido y uso del
tratamiento de los datos que tenga recabados de los diferentes co-propietarios
será la propia Comunidad de Propietarios puesto que, por Estatutos y por Ley,
recae sobre los diferentes cargos de gobierno que la constituyen el
cumplimiento de todos y cada uno de los deberes y obligaciones llevar a buen
puerto todos los asuntos necesarios para la mejor convivencia y organización,
tanto a nivel administrativo, como a nivel de gestión.
Por el
contrario, la posibilidad de que el propio artículo 20 apartado f) de la Ley de Propiedad Horizontal,
al hacer mención a las funciones atribuidas al administrador, permita a la
Junta la posibilidad de conferirle otras atribuciones diferentes a las
establecidas por Ley o por Estatutos, no significa que el Administrador de
Fincas pueda ostentar la figura de responsable del fichero, puesto que la labor
que realiza sólo es un servicio que presta a la Comunidad. Es este el punto
diferenciador entre la figura de responsable y la de encargado, y así lo
expresa la propia LOPD en su artículo 12,
al señalar que “no se considerará
comunicación de datos el acceso de un tercero a los datos cuando dicho acceso
sea necesario para la prestación de un servicio al responsable del tratamiento”.
De este modo, el propio Administrador de Fincas o la empresa para la cual
trabaja será responsable de los datos recabados para la actividad empresarial
que desarrolla (clientes, facturas, contactos, etc). En definitiva, el
administrador es parte de la Junta de Gobierno y, por tanto, como parte
representativa, no será responsable del fichero creado por la Comunidad, sino
usuario del mismo y, en todo caso, encargado de tratamiento en la materia
relativa a la custodia de los datos y acceso. Por otro lado, cabe apuntar que
las empresas de Administradores de Fincas o el propio Administrador de Fincas,
en su caso, será responsable, como he apuntado anteriormente, de los datos que
manejen dentro de su actividad empresarial.
El problema habitual que surge de la
mencionada prestación de servicio entre el administrador y la Comunidad de
Propietarios es la ubicación de los ficheros de datos de los co-propietarios,
es decir, en la mayoría de los casos será el propio Administrador de Fincas
quien se encargue de la custodia de esos datos, bien almacenándolos en su
propio sistema de información, bien en un espacio físico diferente de las
instalaciones de la comunidad (por lo general, en la empresa de Administradores
de Fincas para la cual trabaja). Dicha ubicación es considerada como un
servicio que el Administrador de Fincas presta a la Comunidad, por lo que será
necesario que dicho servicio sea regulado a través de un contrato, en el que se
definan perfectamente, entre otras, las finalidades de dicho servicio y las
medidas de seguridad a aplicar para llevar a cabo el mismo.
Si consideramos la primera y única de las
posibilidades, que sea responsable del tratamiento la propia Comunidad de
Propietarios, ésta tendrá que cumplir con las diferentes obligaciones que se le
atribuye a tal figura bajo la LOPD. En todo caso, cabe destacar como aspecto
fundamental el consentimiento de los co-propietarios para el tratamiento de sus
datos. La propia LOPD, en su artículo 6.1 nos dice que “el tratamiento
de los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que la Ley disponga otra cosa”. Esto quiere decir, ¿qué
todos y cada uno de los co-propietarios que conforman la Comunidad han de dar
su consentimiento inequívoco para que sus datos sean tratados? La respuesta es
rotunda, no, puesto que se exime de prestar consentimiento cuando los datos que
se recaben “se refieran a las partes de una relación negocial, laboral o
administrativa y sean necesarios para su mantenimiento o cumplimiento” (artículo 6.2 LOPD), es decir, que los
datos recabados, por parte de la propia Comunidad de Propietarios, no
requerirán el previo consentimiento de los co-propietarios para llevar a cabo
su labor principal: el funcionamiento, organización y gestión de la misma, ya
que éstos se encuentran vinculados a la misma por la compra-venta de la
vivienda, debiendo asumir todas y cada una de las obligaciones reflejadas, bien
por los estatutos de la propia Comunidad, bien por Ley. Sin embargo, la no obligación
de recabar el consentimiento de los co-propietarios, no exime a la Comunidad de
Propietarios de informar de los parámetros recogidos en el artículo 5 LOPD, por
ello es recomendable que se incluya, por algunos de los medios que se utilicen
en la comunidad para informar a los diferentes co-propietarios, una cláusula
informativa de la existencia de un fichero de datos personales, de quién es el
responsable del fichero, dónde pueden ejercer los derechos de acceso,
rectificación, cancelación y oposición y, en general, de los parámetros
enunciados en el citado artículo.
Punto importante, para la figura de los
administradores, es la posibilidad de dejar de asumir tal figura. En estos
casos, la LOPD es clara respecto de las obligaciones y deberes que ha de
cumplir, por un lado, el deber de secreto recogido en el artículo 10 y, de otra parte, la obligación de devolver o destruir
los datos una vez finalizada la prestación del servicio (artículo 12 LOPD). En relación al deber de secreto, comentar que no
sólo la Comunidad de Propietarios como responsable, sino que el administrador
como encargado de tratamiento y usuario, han de mantener la confidencialidad de
los mismos, durante y después de la finalización de sus relaciones con la
Comunidad. De esta forma, el artículo 10
dice que “el responsable del fichero y
quienes intervengan en cualquier fase del tratamiento de los datos de carácter
personal están obligados al secreto profesional respecto de los mismos y al
deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus
relaciones con el titular del fichero automatizado o, en su caso, con el
responsable del mismo”. En segundo lugar, en referencia a la obligación de
devolver los datos o ser destruirlos comentar que, al tener que suscribir, un contrato
de prestación de servicios entre la Comunidad y el Administrador de Fincas para
regular el tema de la custodia de los datos y las medidas de seguridad a
implantar para permitir el acceso a los mismos, en el supuesto que se rompiese
la relación existente entre las dos partes, Comunidad y Administrador, este
último debería devolver los datos a la comunidad y bloquear aquellos datos que
hayan sido necesarios a efectos fiscales durante un período de cuatro años,
transcurrido el cual se podrá proceder a la supresión. El mencionado artículo 12 LOPD hace referencia a esta
situación cuando dice que “una vez
cumplida la prestación contractual, los datos de carácter personal deberán ser
destruidos o devueltos al responsable del tratamiento, al igual que cualquier
soporte o documentos en que conste algún dato de carácter personal objeto del
tratamiento”.
Otra circunstancia importante es, qué ocurre
si la finalidad de los datos recogidos por la Comunidad de Propietarios es
diferente a la común de ésta, es decir, si se aparta de la propia actividad de
organización y gestión. Nos estamos refiriendo a los casos de cesión de los
datos para la prospección comercial de empresas que trabajan con Comunidades de
Propietarios (instalación de antenas, reparaciones de fachadas y tejados,
etc.).
Supongamos que la Comunidad de Propietarios
necesitase hacer algún tipo de obra o instalación, como por ejemplo la
colocación de antenas de televisión de plataformas digitales y contratasen a
una empresa especializada para hacer tal obra y, la Comunidad facilitase los
números de teléfono y direcciones de todos los co-propietarios, incluidos los
que se oponen a tal instalación. Nos encontraríamos ante un supuesto de cesión
de datos que requiere el consentimiento inequívoco y la previa información, por
parte del responsable, de la cesión, finalidad a la que los mismos se destinan,
la naturaleza de los datos y, el nombre y dirección del cesionario. Esta
situación supondría el incumplimiento de una obligación extraída del artículo 11 y 27 LOPD, y en
consecuencia la sanción económica (de 300.001
€ a 600.000 €) por estar tipificada como infracción muy grave (artículo 44 y 45 LOPD). En
consecuencia, dicha situación está ubicada bajo la figura del responsable, pero
si es el propio administrador, como encargado de tratamiento, quien facilita
los datos a la empresa encargada de tal instalación, éste estaría excediéndose
de las instrucciones estipuladas en el contrato establecido entre la comunidad
(responsable) y el administrador (encargado), con lo que este respondería en
nombre de la Comunidad y sería la persona en la que recaería la sanción. De
este modo se expresa el artículo 12.4
LOPD al afirmar que “en el caso que
el encargado de tratamiento destine los datos a otra finalidad, los comunique o
los utilice incumpliendo las estipulaciones del contrato, será considerado,
también, responsable del tratamiento, respondiendo de las infracciones en que
hubiera incurrido personalmente”.
Por último, nos haremos eco de un supuesto de
vital importancia e interés, los datos de los co-propietarios morosos, aquellos
que no hacen frente al pago de las respectivas cuotas de Comunidad. A este
respecto, hacer alusión el artículo 29
de LOPD, aunque a fecha presente se desarrolla este extremo en la Sección
2ª Título IV del RDLOPD y todo lo concerniente al proceso de ejercicio de los
derechos ARCO, igualmente, desarrollado por el mismo cuerpo normativo -RDLOPD.- Dentro de este apartado hay que diferenciar
dos tipos de ficheros, a saber:
1. Ficheros que tienen
como finalidad servir de referencia a las posibilidades económicas y
financieras de una persona física, y que son elaborados gracias a fuentes
accesibles al público, como por ejemplo sentencias o periódicos, o bien los ha
facilitado la propia persona física, o
bien han sido cedidos con el consentimiento expreso de la misma.
2. Ficheros que tienen
como fin informar del cumplimiento o no de las obligaciones dinerarias
correspondientes y los datos que albergan han sido facilitados por el acreedor
o por quien actúe por su cuenta o interés.
En esta última distinción, hay que tener en
cuenta que estaríamos ante dos tipos de ficheros, primero, el del propio
acreedor con el que el deudor ha contraído una obligación dineraria y, segundo
el fichero que nace con la finalidad de prestar información sobre dicho
incumplimiento o morosidad, es decir, la cesión de esos datos, por parte del
acreedor, al denominado por la AEPD “fichero común”. De esta diferenciación
inicial, entendemos que la mayoría de los ficheros de las Comunidades de
Propietarios que contengan datos referentes a obligaciones dinerarias, estarían
encuadrados dentro de la segunda clase de ficheros anteriormente descritos. En
principio, la Comunidad de Propietarios no incurre en ninguna infracción por
establecer o crear un fichero de deudores, puesto que no es necesario el
consentimiento del afectado, tanto para la recogida del dato como para su
tratamiento, siempre y cuando cumplan con una serie de requisitos:
Primero, los datos que
maneje o recabe deberán ser adecuados, pertinentes y no excesivos en relación a
la finalidad del mismo, en consecuencia, el acreedor (Comunidad de
Propietarios) deberá cumplir con el principio de calidad de los datos, recogido
en el artículo 4 LOPD.
Segundo, la deuda ha de ser
cierta y veraz, además de ser puesta al día, por lo que la persona encargada de
llevar la contabilidad de la Comunidad (casi siempre el Administrador, ya que
suele ser la persona que se hace cargo de la entrega de recibos y constancia de
pago) habrá de efectuar el requerimiento de pago oportuno para comprobar o dar
fe de la deuda contraída por el deudor (co-propietario).
Premisa importante a este respecto es que no
se podrá incluir como dato de insolvencia aquel sobre el que recaiga algún tipo
de prueba documental que haga que el dato se encuentre en entredicho o no se
pruebe su autenticidad.
Tercero, todos las personas
que se encuentren en el fichero de información de obligaciones dinerarias
tienen reconocidos los derechos de acceso, rectificación y cancelación. De este
modo, cualquiera de estas personas puede enviar una solicitud al responsable
del tratamiento para solicitar la cancelación o rectificación de ciertos datos
por considerarlos erróneos o por que no se encuentran actualizados. Dicha
solicitud ha de ser contestada en un plazo máximo de diez días hábiles desde la
recepción, por parte del responsable del fichero (artículo 31 y ss. RDLOPD). Si por el contrario, la persona afecta
desease tener acceso, el responsable le comunicará, en todo caso, todos los
datos que estuviesen contenidos en dicho fichero de información de obligaciones
dinerarias. Los plazos se acortan o se mantienen, en el caso que los datos de
una supuesta deuda se hubieren comunicado o formaren parte de un fichero común
(ver artículo 44.3 RDLOPD: 7 días a
10 días hábiles desde notificación.)
En cualquier caso, para poder llevar a cabo
dichos derechos, el afectado deberá aportar la documentación acreditativa de
identidad y hechos:
§
Nombre
y apellidos del afectado.
§
Documento
Nacional de Identidad.
§
Petición
en la que basa su solicitud.
§
Domicilio
para notificaciones, fecha y firma del solicitante.
§
Documentos
que acredite la solicitud.
§
Medio
a través del cual acredite la solicitud.
En el caso de que algún dato fuese incompleto
o fuere omitido por el afectado, el responsable comunicará el defecto para que
en el período más breve proceda a la subsanación, y así poder llevar a efecto
los derechos de acceso, rectificación y cancelación anteriormente expuestos.
Respecto a los datos de solvencia de
co-propietarios, ¿la Comunidad de Propietarios tiene potestad para adoptar
determinadas decisiones? Por ejemplo, la colocación visible del listado en los
portales. Consideramos que dichos datos no pueden estar a la vista y
conocimiento de todo el mundo, incluidos terceras personas ajenas a la
Comunidad de Propietarios, puesto que ésta debe adoptar determinadas medidas
organizativas y técnicas dada la naturaleza del dato, medio, entre las
cuales destaca la prohibición de acceder a los datos a usuarios diferentes a
los que tienen reconocido dicho acceso.
Caso aparte es que el fichero de información
de obligaciones dinerarias no satisfechas sea cedido a un “fichero común”
manejado o responsabilidad de una empresa que presta servicios de solvencia
patrimonial y crédito. En este sentido, la problemática se acrecienta, aunque es un tema que abordaré en próximos
artículos, señalar que en el caso de que la Comunidad de Propietarios decidiese
ceder los datos contenidos en su fichero de información dineraria a una empresa
de las apuntadas en líneas precedentes, ésta deberá asumir ciertas
responsabilidades, a pesar de que no sea el responsable del fichero, pero sí
como cedente de datos, y entre sus obligaciones destacar, la comunicación al
responsable del fichero de solvencia patrimonial y de crédito de cualquier
variación, por mínima que sea, de las deudas contraídas por el co-propietario
deudor con el acreedor, Comunidad de Propietarios.
Como conclusión decir, que al igual que las
empresas, las Comunidades de Propietarios, en las cuales la mayoría vivimos,
tratan datos nuestros y como tales, creemos que son para organizar y gestionar
mejor la propia Comunidad, sin embargo, hay aspectos que se nos escapan de las
manos y pueden llegar a tener una vital importancia en nuestro quehacer diario,
puesto que podemos encontrarnos con que nuestros datos están pasando de mamo en
mano sin saber el motivo, y no sólo es una problemática que afecta a nuestro
entorno de vida, sino que además las personas que en teoría nos aportan o nos
realizan el trabajo de gestión de una Comunidad, los Administradores de Fincas,
pueden verse afectados por la presente problemática, sin saber o haberse parado
a pensar en las graves consecuencias que el tratamiento de los datos puede
acarrearles, si bien disponen como medida organizativa y técnica en el RDLOPD
de los artículos 82.2 y 88.5. Así mismo, la observancia de la aplicación
correcta de protección de datos personales se acrecienta si tenemos en cuenta
la captación de imágenes por temas de video-vigilancia, así como la existencia
de grupos o cuentas en redes sociales.
Antes de finalizar esta re-edición, comentar
que, al igual que en el artículo “Las
Pseudo-auditorías de protección de datos”, lo barato sale caro, dado que,
inclusive aunque nos parezca banal o sin ningún tipo de complejidad, la gestión
y tratamiento de información de una comunidad de propietarios pudiere ser
compleja, no sólo en el día a día, sino ante relaciones y actuaciones derivadas
de la misma: deudas, procesos judiciales, publicidad, redes sociales,
video-vigilancia, encargados de tratamiento, subcontratación en cascada y
múltiples extremos derivados.