En una sociedad cada vez más digitalizada el dato se ha convertido en material muy sensible. El ciudadano exige un mayor y mejor control de sus datos personales, y la Administración aplica una legislación más estricta para todos aquellos que custodian y tratan estos archivos, los administradores de fincas entre ellos. En un contexto que preocupa de modo especial al ciudadano, ya que según la Agencia Española de Protección de Datos (AEDP), uno de los ámbitos desde donde se reciben más consultas es el de la comunidad de vecinos.
Un motivo más por el que el administrador de fincas debe estar muy pendiente de la nueva normativa que entró en vigor el 25 de mayo de 2018 y que pone especial acento en la seguridad. Se trata del Reglamento General de Protección de Datos (RGPD), que por mandato de la Unión Europea viene a completar a la LOPD (Ley orgánica 15/199, de 13 de diciembre) y al Reglamento que la desarrolla (Real Decreto 1720/2007, de 21 de diciembre). Repasamos las claves del nuevo escenario regulatorio del dato personal en la administración de fincas, con una completa Guía editada por la AEDP.
Las seis obligaciones principales
Las obligaciones principales del administrador de fincas en la custodia y tratamiento de los datos personales de las comunidades de vecinos, son:
- Inscripción del fichero. Es la propia comunidad vecinal la encargada de inscribir el fichero en la Agencia Española de Protección de Datos, si bien es el administrador quien debe facilitar la información necesaria para cumplir con la norma y en muchas ocasiones quien realiza el trámite previa autorización.
- Deber de información. En el mismo momento de la recogida de los datos se debe informar a los propietarios de la existencia de este fichero de tratamiento de datos personales y de su finalidad. Así mismo, se facilitará el nombre de la empresa o personas responsables del mismo (tanto si es el propio administrador u otros). La Ley también obliga a que se informe al propietario de la vivienda de sus derechos, los más importantes se recogen en el acrónimo ARCO:
- Acceso: puede solicitar el acceso a los datos inscritos en cualquier momento.
- Rectificación: los datos son modificables y actualizables.
- Oposición: se puede negar a que el fichero se utilice con fines comerciales.
- Cancelación: deben ser borrados cuando no sean necesarios, por ejemplo, cuando el interesado deja de ser propietario de un inmueble en la comunidad.
- Calidad de datos. El administrador debe velar porque los datos del fichero sean veraces, adecuados a su finalidad, recabados lícitamente y tratados conforme a los objetivos para los que han sido solicitados.
- Conservación de datos. Como se ha señalado, los datos personales deben ser cancelables cuando ya no sean necesarios, si bien se permite su conservación durante el tiempo en que se pudiera derivar alguna responsabilidad jurídica o por la ejecución de un contrato vigente. Es el administrador quien debe recordar a la comunidad la obligación de definir estos plazos de conservación.
- Deber de secreto. Esta es una obligación del administrador y de otros responsables de la comunidad (presidente, secretario, etc.) que en el ejercicio de sus funciones intervengan en cualquier tratamiento de datos. De nuevo es el administrador quien debe recordar a estos vecinos la obligación de guardar secreto sobre la información a la que hubieran podido tener acceso, incluso cuando su relación con la comunidad desaparezca.
- Cesiones de datos de carácter personal. Salvo por requerimiento judicial o de las Administraciones Públicas, el administrador solo podrá ceder los datos personales si cuenta con el consentimiento de los vecinos. Un hecho relativamente habitual en la comunidad de vecinos por obras, contratación de nuevos suministros, etc. En cualquier caso, esta medida sobre todo se dirige al control de acciones encaminadas a la comercialización de esos datos por terceros con fines comerciales.
Se refuerzan las obligaciones de seguridad
La ley no contempla normas específicas de seguridad en la custodia y el tratamiento de datos para el sector de administración de fincas, pero el administrador debe garantizar que son “adecuadas y suficientes”.
Lo más habitual es que sea el administrador quien custodia el fichero en su oficina o con los medios informáticos que aseguren su conservación segura. El mismo debe saber que las medidas de seguridad específicas que adopte deben quedar reflejadas de forma específica en el contrato suscrito con la comunidad.
Además, con la entrada en vigor del nuevo Reglamento, el administrador de fincas debe estar en condiciones de demostrar que “aplica las medidas técnicas y organizativas apropiadas” para garantizar que el tratamiento de datos se realiza conforme a la RGPD.
Es lo que se ha bautizado como principio de responsabilidad proactiva. En la práctica supone que cada comunidad debe primero evaluar su nivel de riesgo en función de los datos que maneja y el tratamiento que hace de los mismos, para luego decidir sus herramientas de seguridad. De este modo, lo que puede ser adecuado para una comunidad que maneja un nivel bajo de datos, sería insuficiente para otras que por ejemplo cuentan con servicios de seguridad, cámaras grabando, claves personales de acceso a zonas comunes como garajes, etc. La norma es que, a mayor relevancia de datos, mayores medidas de seguridad.