Son muchas las comunidades de propietarios que prefieren delegar la administración y gestión de la comunidad a un administrador de fincas y puesto que entre los datos que manejan, hay datos de carácter personal de los propietarios, inquilinos y copropietarios, deben cumplir con la normativa vigente en materia de protección de datos. En este artículo encontrarás una completa guía sobre protección de datos y administración de fincas.
En este artículo hablamos de:
- Normativa aplicable a la Protección de Datos para administradores de fincas
- ¿Qué datos personales tratan los administradores de fincas?
- ¿Están los administradores de fincas legitimados para manejar los datos personales de los propietarios?
- ¿Cómo deben cumplir los administradores de fincas la normativa de protección de datos?
- Solicitar correctamente el consentimiento de los propietarios
- Registro de actividades de tratamiento
- Analizar los riesgos
- Cesión de datos a terceros
- Informar adecuadamente a los interesados
- Acuerdo de confidencialidad con propietarios
- Derechos de los propietarios de la comunidad y comuneros
- Notificar correctamente las brechas de seguridad
- Auditorías recurrentes
- Sanciones a los administradores de fincas por no cumplir la protección de datos
- La figura del DPO
- Preguntas frecuentes
- Una vez que el administrador deja de serlo de una comunidad ¿Qué debe hacer con los datos de los propietarios?
- ¿Cómo se deben realizar comunicaciones a los propietarios?
- ¿Se pueden publicar datos de carácter personal en el tablón de avisos de la comunidad de propietarios?
- ¿Puede el administrador de fincas presentar el libro de actas de la Comunidad a una entidad financiera?
- ¿Se pueden comunicar datos de contacto de propietarios a un servicio externo en situaciones de emergencia?
- ¿Debe autorizar la comunidad de propietarios las subcontrataciones que realice el administrador?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
Normativa aplicable a la Protección de Datos para administradores de fincas
La normativa aplicable a la protección de datos para administradores de fincas la encontramos en la LOPDGDD y el RGPD.
Además de estas dos leyes, los administradores de fincas también deben considerar lo que dispone la Ley 8/1999 sobre Propiedad Horizontal.
LOPD para administradores de fincas
La Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales, que entró en vigor en diciembre de 2018 y que adaptaba a la legislación española, el marco general europeo en materia de protección de datos, es decir, el RGPD, Reglamento Europeo de Protección de Datos.
Esta Ley modificó algunas de las obligaciones de la anterior ley y concretó varios aspectos que el RGPD deja en manos de cada Estado miembro. Además, establecía a la Agencia Española de Protección de Datos (AEPD) como autoridad competente para realizar inspecciones, recibir denuncias y sancionar las infracciones en materia de protección de datos.
RGPD para administradores de fincas
El RGPD entró en vigor en España en mayo de 2018 y trajo varias modificaciones a ley española, como ya hemos comentado, entre la que destacan la necesidad de recabar el consentimiento expreso para el tratamiento de datos, la obligación de elaborar un registro de actividades de tratamiento bajo determinadas circunstancias, introdujo la figura del Delegado de Protección de Datos (DPD) y endureció el régimen sancionador que hasta entonces se venía aplicando.
¿Qué datos personales tratan los administradores de fincas?
Un administrador de fincas se debe limitar de manera exclusiva a usar los datos para las funciones que le haya designado la comunidad de propietarios. Tanto el administrador de fincas así como cualquier otra persona que esté a su cargo, deben respetar el principio de confidencialidad al tratar datos personales.
En la base de datos de los administradores de fincas podemos encontrar datos personales de los propietarios como datos identificativos (nombre y apellidos, DNI, teléfono, email, etc.), así como datos financieros (números de cuenta).
En general, datos necesarios para llevar a cabo la gestión y administración contable, fiscal y administrativa de la comunidad de propietarios.
¿Están los administradores de fincas legitimados para manejar los datos personales de los propietarios?
Sí, el administrador de fincas está legitimado para tratar los datos personales de los propietarios. Dicha legitimación la encontramos en la Ley de Propiedad Horizontal, que permite delegar la administración de la comunidad de propietarios en un administrador de fincas, que para la correcta gestión de la misma, podrá tratar datos personales de los mismos.
¿Cómo deben cumplir los administradores de fincas la normativa de protección de datos?
Para cumplir con la normativa de protección de datos en comunidades de propietarios, hay una serie de obligaciones que el administrador de fincas debe cumplir; estas obligaciones son tanto de carácter documental como operativo y su finalidad es salvaguardar los derechos de los interesados, en este caso, de los propietarios, inquilinos y copropietarios.
Además, hay que señalar que el administrador de fincas tendrá la función de encargado del tratamiento según el RGPD, puesto que el responsable del tratamiento es la propia comunidad de vecinos y la persona que se haya designado para ello (habitualmente, suele ser el presidente), quien delega en el administrador de fincas el tratamiento de los datos personales.
Este encargo de tratamiento debe documentarse por escrito, mediante un contrato en el que se especifiquen las funciones y obligaciones a las que se somete cada parte en materia de protección de datos.
Solicitar correctamente el consentimiento de los propietarios
Aunque el administrador de fincas está legitimado para tratar los datos personales de los propietarios, es necesario que para poder tratarlos, recabe antes el consentimiento expreso de estos.
En este consentimiento se debe informar de los datos que se van a recoger y tratar, su finalidad, su plazo de conservación y la capacidad que tienen los titulares de los datos para ejercer sus derechos sobre los datos tratados, además de identificar tanto al responsable del tratamiento como al encargado del tratamiento, que, en este caso, es el administrador de fincas.
Su aceptación debe producirse mediante una acción afirmativa, por lo que es habitual que se utilice un documento impreso o digital con la información correspondiente y una casilla de «acepto» que habrá que marcar o recurrir a la firma del mismo.
Es importante señalar que el consentimiento solo servirá para la finalidad sobre la que se haya informado a los interesados. En caso de querer usar los datos personales recabados con otros fines, será necesario volver a recabar dicho consentimiento.
Registro de actividades de tratamiento
Dado que el tratamiento de datos personales llevado a cabo tanto por la comunidad de propietarios como por el administrador de fincas, no es ocasional, será necesario que tanto el responsable del tratamiento (la comunidad de propietarios) y el encargado del tratamiento (el administrador de fincas) lleve un registro de actividades de tratamiento.
El registro de actividades es un documento en el que se listan las descripciones de los diferentes tratamientos de datos personales que se hacen. En el caso del encargado del tratamiento, su registro debe contener la siguiente información:
- Nombre y datos de contacto del encargado del tratamiento y del responsable del tratamiento.
- Categorías de tratamientos efectuados por cuenta del responsable.
- Descripción de las medidas técnicas y organizativas de seguridad implantadas para cada tratamiento realizado.
- Si se producen, las transferencias internacionales de datos a un tercer país (fuera de la UE).
El registro de actividades de tratamiento debe estar por escrito, admitiéndose el formato digital. Y aunque es un documento de carácter interno, si la AEPD lo solicita, hay que entregarlo.
Analizar los riesgos
El administrador de fincas también deberá llevar a cabo un análisis de riesgos previo a realizar ningún tratamiento de datos personales, para poder determinar si dicho tratamiento puede poner en riesgo dichos datos.
Empleando un mapa de riesgos, el administrador de fincas puede identificar las amenazas a las que pueden quedar expuestos los datos personales que trata en función del tratamiento que va a realizar, la categoría y naturaleza de los datos, el lugar en que se almacenarán dichos datos o el tiempo que los conservará el administrador de fincas en su base de datos.
Este análisis de riesgos le servirá para implantar las medidas de seguridad necesarias para garantizar la protección de los datos. El objetivo de dichas medidas será minimizar la posibilidad de que las amenazas ocurran y en caso de que lo hagan, de reducir las consecuencias de su impacto.
Cesión de datos a terceros
La Ley de Protección de Datos para el administrador de fincas nos dice que este solo podrá ceder los datos personales de los propietarios a terceros cuando concurra uno de estas situaciones:
- Recabando previamente el consentimiento expreso del interesado.
- Para cumplir con una obligación legal.
- Para ejecutar un contrato.
- En relación a una misión de interés público.
- En caso de que los datos representen intereses vitales para el interesado o el resto de propietarios.
- Para cumplir el interés legítimo solicitado por el responsable o por terceros con los que existe algún tipo de relación.
Informar adecuadamente a los interesados
Como ya dijimos más arriba cuando hablamos del consentimiento, es necesario informar a los interesados cuando se vayan a recoger y tratar sus datos personales. Esta información debe incluir la legitimación, los fines para los que se tratan los datos, los datos de contacto de encargado y responsable del tratamiento y dónde y cómo pueden los interesados ejercer sus derechos.
Existen plantillas de estos documentos para comunidad de propietarios, que se pueden usar realizando la edición correspondiente.
Acuerdo de confidencialidad con propietarios
Dada la información personal que manejan los administradores de fincas o las empresas que se dedican a la administración de fincas, es necesario que estos guarden la debida confidencialidad sobre dichos datos. Es decir, deben guardar secreto sobre la información personal que poseen, comprometiéndose a no revelarla a terceros no autorizados o utilizarla con otros fines distintos para los que fueron recabados.
Aunque la normativa de protección de datos para el administrador de fincas no exige firmar un acuerdo de confidencialidad con los propietarios, se puede usar esta herramienta si la comunidad lo requiere.
Derechos de los propietarios de la comunidad y comuneros
El administrador de fincas debe informar a los propietarios y comuneros sobre los derechos que tienen sobre sus datos personales y cómo pueden ejercer estos derechos. Además, ante una solicitud de alguno de estos derechos por parte del titular de los datos, el administrador de fincas deberá responder y facilitar el trámite correspondiente, no pudiendo obstaculizarlo.
Los derechos que tienen los interesados sobre sus datos son:
- Acceso (conocer qué datos personales se han recogido y tratado).
- Rectificación (corregir datos personales incorrectos).
- Cancelación (eliminar los datos personales).
- Oposición (al uso diferente para el que se concedió el consentimiento).
- Portabilidad (para facilitar el traspaso de datos).
- Olvido.
Notificar correctamente las brechas de seguridad
La Ley establece la obligación de notificar de forma adecuada y en tiempo de las brechas de seguridad que se hayan producido y que puedan poner en riesgo los datos personales de los interesados.
Esta notificación es doble; por un lado a los propios interesados cuyos datos hayan podido verse afectados. Y por otro a la AEPD, para lo que se dispone de un plazo máximo de 72 horas.
Auditorías recurrentes
Aunque ni el RGPD ni la LOPDGDD mencionan la obligación de realizar auditorías de protección de datos, puesto que sí exigen demostrar que se cuenta con medidas de seguridad adecuadas y efectivas para la protección de datos, es muy recomendable llevar a cabo auditorías periódicas, que sirvan para evaluar el cumplimiento normativo de los administradores de fincas y la eficiencia de las medidas de seguridad.
Estas auditorías pueden realizarse con un carácter bienal, que era el plazo que establecía la antigua LOPD para sus auditorías obligatorias.
Se pueden hacer de manera interna, pero se recomienda contratar un servicio externo, que mantendrá una mayor objetividad. Del informe de auditoría, el administrador de fincas podrá determinar si necesita mejorar sus medidas de seguridad o si está cumpliendo con la Ley de manera adecuada.
Sanciones a los administradores de fincas por no cumplir la protección de datos
El RGPD establece sanciones de 10 millones o el 2% de la facturación anual para las infracciones de carácter grave en materia de protección de datos, y de hasta 20 millones o el 4% de la facturación anual para infracciones de carácter muy grave.
La LOPDGDD gradúa estas infracciones y sanciones en leves, graves y muy graves, pero mantiene las cuantías.
La figura del DPO
Los administradores de fincas no están obligados a designar un DPO (delegado de protección de datos), salvo que traten datos personales a gran escala, es decir, que lleven la administración de un número elevado de fincas, ya que a esto también se suma el tratamiento sistemático de dichos datos.
Las funciones del DPO son asesorar, supervisar el cumplimiento normativo, funcionar como enlace entre la AEPD y el administrador de fincas y atender consultas de los interesados.
Puede ser una persona dentro de la empresa o se puede contratar a un profesional externo, puesto que para cumplir con estas funciones es fundamental contar con los conocimientos necesarios en materia de protección de datos.
Preguntas frecuentes
Una vez que el administrador deja de serlo de una comunidad ¿Qué debe hacer con los datos de los propietarios?
Una vez termina la relación contractual entre la comunidad de propietarios y el administrador de fincas tras firmar el documento de cese, el administrador deberá devolver a la comunidad todos los documentos o soportes en los que figuren datos personales de los propietarios.
Si bien, podrá conservar aquellos que sean necesarios para hacer frente a responsabilidades legales derivadas de su función como gestor de la finca.
¿Cómo se deben realizar comunicaciones a los propietarios?
El administrador de fincas podrá realizar las comunicaciones con los propietarios utilizando los medios para notificaciones o comunicaciones que hayan sido autorizados mediante el consentimiento; mediante llamada telefónica, emails, correo postal o incluso WhatsApp si se cuenta con ese consentimiento.
Por ejemplo, la factura del administrador de fincas puede ser enviada por correo postal a cada propietario que haya dado su consentimiento para ello.
¿Se pueden publicar datos de carácter personal en el tablón de avisos de la comunidad de propietarios?
De manera excepcional solo, es decir, cuando no se pueda notificar asuntos derivados de la gestión de la comunidad al interesado por las vías de notificación permitidas, se podrán publicar datos personales en el tablón de avisos de la comunidad.
El tablón de avisos debe estar colocado preferiblemente en una zona donde el tránsito de personas sea menor.
¿Puede el administrador de fincas presentar el libro de actas de la Comunidad a una entidad financiera?
Sí, puesto que para determinadas gestiones con los bancos relacionados con la comunidad, es necesario que el administrador de fincas facilite datos personales de propietarios, como por ejemplo, los datos del propietario que tiene poder de firma de operaciones de la cuenta de la comunidad.
Estos datos se pueden comunicar mediante un documento de apoderamiento legal o una certificación expedida por el propio administrador de la finca.
¿Se pueden comunicar datos de contacto de propietarios a un servicio externo en situaciones de emergencia?
Sí, se pueden comunicar datos de contacto de propietarios a servicios de emergencia en caso de siniestro o incidente, puesto que el administrador de fincas estaría legitimado por el interés legítimo del resto de propietarios para solucionar el incidente.
¿Debe autorizar la comunidad de propietarios las subcontrataciones que realice el administrador?
Sí, la comunidad de propietarios debe autorizar las subcontrataciones que realice el administrador de fincas. Igual que debe dar su consentimiento para ceder datos a terceros y firmar con ellos un contrato de encargo de tratamiento.
Esperamos haber resuelto todas vuestras dudas sobre la protección de datos y la administración de fincas. Podéis encontrar más información en la Guía de la AEPD sobre Protección de Datos y Administración de Fincas.
Y si eres administrador de fincas y necesitas gestionar la protección de datos de tu negocio, no dudes en ponerte en contacto con Grupo Atico34, estaremos encantados de ayudarte.