Los administradores de fincas, son profesionales que realizan servicios de gestión económica, financiera, técnica o legal para los propietarios de fincas rústicas o urbanas, y como tal manejan muchos tipos de datos. Por tanto, también le aplica la legislación en materia de protección de datos.

Normativa aplicable en Protección de Datos para administradores de fincas

Las normas que regulan la Protección de Datos para administradores de fincas son:

• Reglamento Europeo de Protección de Datos o Reglamento General de Protección de Datos 
• LOPDGDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. 
• Aparte de estas normativas, los encargados de la administración de fincas también tienen que respetar lo dispuesto en la Ley 49/1960 sobre propiedad horizontal y la Ley 8/1999 que la modifica.

Legitimación de los administradores de fincas para tratar datos personales de los propietarios

La ley para los administradores de fincas señala que son figuras legitimadas para tratar los datos personales de los propietarios, siempre y cuando resulten necesarios para una gestión eficiente de la comunidad. En este caso, el administrador de fincas ejercería como un encargado del tratamiento de dichos datos.

¿Qué datos manejan los administradores de fincas?

Una base de datos de administradores de fincas contiene información de carácter personal sobre los integrantes de la comunidad de vecinos. Entre estos datos figuran el nombre, dirección, teléfono, cuentas bancarias, propiedades, email de contacto o DNI.

La aplicación del Reglamento Europeo de Protección de Datos en comunidades de propietarios prevé que los administradores puedan disponer de otra información necesaria para la gestión contable, fiscal y administrativa de la comunidad, siempre que estos datos sean adecuados, pertinentes y limitados a los objetivos de gestión de la comunidad.

¿Cómo deben cumplir los administradores de fincas el Reglamento Europeo de Protección de Datos?

Cada vez que la Comunidad de vecinos o de propietarios contrata tus servicios como administrador de fincas estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos y la Ley de propiedad horizontal.

La responsabilidad del tratamiento de datos realizado en comunidades de vecinos o propietarios es asegurar que los propietarios cumplen con las obligaciones que impone la Ley de Propiedad Horizontal y garantizar los derechos de comuneros o terceros que participan en la comunidad.

Debes saber que para cumplir con la normativa vigente de protección de datos los despachos de Administradores de fincas (y en realidad, cualquier empresa o profesional que trate con datos personales de otros) deben llevar a cabo una serie de actuaciones principales:

1. Realizar un Registro de actividades de tratamiento
2. Realizar un Análisis de riesgos
3. Evaluación de Impacto
4. Firmar los contratos con terceros
5. Firmar las cláusulas legales con los empleados
6. Solicitar el consentimiento a los clientes
7. Incluir los textos legales en la página web
8. Notificar brechas de seguridad
9. Elaboración del documento de seguridad

Veamos en detalle algunas de estas actuaciones, para despejar todas tus dudas.

1. Registro de actividades de tratamiento

Los responsables y encargados del tratamiento tienen la obligación de llevar un registro de actividades del tratamiento, que incluya una descripción de los tratamientos realizados. En este punto, hay que tener en cuenta que el responsable del tratamiento sería la comunidad de propietarios, mientras que el encargado del tratamiento sería el administrador de fincas.

En este sentido, las responsabilidades del administrador de fincas serían las siguientes:

• Identificar al encargado del tratamiento o sus representantes.
• Indicar las categorías de datos objeto de tratamiento por cada responsable.
• Describir las medidas técnicas y organizativas llevadas a cabo para garantizar la seguridad de los datos.
• Garantizar la seguridad en las transferencias internacionales de datos.

El registro puede realizarse por escrito, incluyendo la posibilidad de tenerlo en soporte electrónico. El encargado del tratamiento, en este caso el administrador de fincas, ha de poner este registro a disposición de la Agencia Española de Protección de Datos si así lo solicita.

2. Análisis de riesgos en comunidades de propietarios

Como administrador de fincas debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

• la naturaleza de los datos,
  • identificativos
  • bancarios …
• el tipo de tratamiento:
  • ¿dónde se almacenan los datos?
  • ¿durante cuánto tiempo?
  • ¿en un fichero o en una base de datos?
  • ¿en qué equipos?
• el número de interesados afectados;..

3. Evaluación de Impacto

Cuando del análisis de riesgos del punto anterior se concluye que puede existir un nivel de riesgo alto para los derechos y libertades de los interesados, es necesario realizar una evaluación de impacto.

La evaluación de impacto es un nuevo análisis de riesgos, pero más centrado en el impacto negativo que el tratamiento de datos personales puede tener sobre las libertades y derechos de los interesados. El objetivo sigue siendo minimizar las posibilidades de que un riesgo se materialice, para lo que se deberán determinar las medidas de seguridad que ayuden a ello y a garantizar la confidencialidad de la información.

4. Contratos con Encargados de tratamiento

Los administradores de fincas sólo están legitimados para ceder los datos de propietarios o comuneros a terceros en los siguientes casos:

• Consentimiento del interesado
• Para cumplir con alguna obligación legal
• Para la ejecución de un contrato
• En relación para alguna misión de interés público
• Si los datos representan intereses vitales para el interesado o el resto de propietarios
• En cumplimiento del interés legítimo solicitado por el responsable o por terceros con los que existe algún tipo de relación.

5. Consentimiento de los propietarios

Como administrador de fincas debes tener el consentimiento de los propietarios para poder tratar sus datos.

Este consentimiento puede solicitarse de varias formas:

• Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
• (La más habitual) En caso de que el cliente facilite sus datos personalmente, debe firmar un documento en el que se le informe sobre:

En caso de que el consentimiento se hubiera prestado antes de la entrada en vigor del Reglamento Europeo de Protección de Datos y no se hubiera obtenido de forma expresa, voluntaria e inequívoca, no será válido y será necesario volver a solicitarlo. Recordemos que con la entrada en vigor de la nueva normativa de protección de datos ya no sirve con el consentimiento tácito.

6. Acuerdos de confidencialidad de los empleados

Con aquellos empleados, del despacho de administradores de fincas que puedan acceder a la información personal de los clientes, será necesario firmar un acuerdo de confidencialidad o incluir unas cláusulas de confidencialidad en sus concretos, para evitar que esa información sea revelada a personas no autorizadas. En él se establecerán las consecuencias de infringirlas.

Los empleados también deben cumplir las medidas de seguridad que se hayan establecido, para garantizar en el despacho de administración de fincas la protección de los datos personales.

7. Si tienes una Página web

Si el despacho de notarios cuenta con página web, esta debe tener enlazados los correspondientes textos legales:

• Política de privacidad (es toda la información referente a la protección de datos):
  • Existencia de un tratamiento de los datos que se están solicitando
  • Finalidad
  • Destinatario o destinatarios de aquella información
  • Identidad y dirección del responsable del tratamiento de los datos
  • Posibilidad de ejercer sus derechos
• Aviso legal (donde se identifica al propietario de la página web):
  • Nombre del propietario
  • NIF
  • Dirección
  • Email
  • N.º de colegiado
• Política de cookies (se informa de las cookies que se generan en la web, su finalidad, duración y si pertenecen a terceros)

8. Derechos de los propietarios de la comunidad

Los interesados (propietarios e inquilinos), pueden ejercer, según el Reglamento Europeo de Protección de Datos, sus derechos.

Estos son los derechos que pueden ejercer los interesados:

• acceso a los propios datos personales;
• supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
• limitación del tratamiento;
• portabilidad de los datos;
• rectificación si los datos son inexactos;
• oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
• a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el Reglamento Europeo de Protección de Datos. Por ejemplo, si una Comunidad de propietarios trabaja con un administrador de fincas, pero decide cambiar a otro, puede llevarse consigo cualquier dato en posesión de aquel. Así pues, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

9. Acuerdo de confidencialidad con propietarios e inquilinos

Los propietarios tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un contrato de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

Por su parte, en una administración de fincas los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

La protección frente a las ciberamenazas (virus, daños informáticos, ataques a páginas web, fraude y robo de identidad online, destrucción de información, …) y el fomento de las medidas de prevención y reacción, así como la formación y concienciación de los empleados, son factores esenciales para evitar o minimizar las filtraciones de información y la consecuente pérdida de imagen de nuestra empresa.

Además, algunos propietarios pueden dejar en manos de sus inquilinos la gestión de la comunidad, por lo tanto, también deberán firmar los acuerdos de confidencialidad con ellos.

10. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa. Tanto a los afectados como a la Agencia Española de Protección de Datos.

En el caso de que seas víctima de un ciberataque o infracción, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

11. Designación de un Delegado de Protección de Datos

Con carácter general, un notario o despacho de notarios no va a necesitar contratar un DPD. Pero puede ser necesario que, si tratan un gran volumen de datos, tengan que designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD/DPO).

Además, para cumplir con el principio de información del RGPD, la designación del DPO y sus datos de contacto deben publicarse y comunicarse a la Agencia Española de Protección de Datos. El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

12. Elaboración del documento de Seguridad

Nuestra entidad redactará un documento de seguridad, en el que se incluya toda la información aquí indicada en la guía. Es decir, las actividades de tratamiento, el análisis de riesgos, las evaluaciones de impacto, las medidas técnicas y organizativas, las cláusulas legales para los clientes, proveedores, trabajadores, páginas webs, los contratos con terceros, etc.

Sanciones a los administradores de fincas

Las sanciones por el incumplimiento del Reglamento Europeo de Protección de Datos son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí. Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.

Sin embargo, debemos tener en cuenta que también cabe la posibilidad que la Agencia de Protección de Datos pueda enviar avisos a las empresas. Es decir, podrán enviarles requerimientos, advertencias, apercibimientos e incluso órdenes de cese en determinadas actividades de tratamiento de datos personales.

Aquí tienes algún ejemplo de sanciones impuestas por la Agencia Española de Protección de Datos a Comunidades de propietarios.

1. Instalar cámaras de videovigilancia en lugares no permitidos

Cabe indicar que las cámaras instaladas por empresas de seguridad privada con la finalidad de controlar por motivos de seguridad no pueden afectar al derecho a la intimidad de los propietarios del complejo en sus actividades de carácter lúdico. Las cámaras instaladas no pueden obtener imágenes de espacios reservados a la intimidad de las personas (zona de gimnasio, zona de piscina, o zona de hamacas, a modo de ejemplo), salvo que se justifique motivadamente la procedencia de la instalación o las mismas sólo están operativas en horario nocturno con fines de seguridad. Resolución Agencia Española de Protección de Datos R/00871/2018

2. Publicar datos de morosidad de los vecinos en el tablón

El objeto del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, como aquellos que identifiquen o permitan la identificación de la persona. El tratamiento de los datos de una persona ha de contar con el consentimiento inequívoco del afectado. Resolución Agencia Española de Protección de Datos R/01339/2018

Preguntas frecuentes

¿Puedo instalar cámaras de videovigilancia en la comunidad de propietarios?

Para la instalación de cámaras de videovigilancia es necesario contar con el respaldo de los propietarios tras la celebración de una Junta, y este acuerdo debe quedar reflejado en el Acta de dicha Junta.

Una vez aprobada la instalación de videocámaras, se deberá crear un registro específico de actividades de tratamiento referido a las imágenes grabadas por la videocámaras.

Asimismo, se deberán instalar carteles que informen a los propietarios o personas ajenas a la comunidad de la entrada en una zona videovigilada. En dicho cartel, además, se indicará el responsable del tratamiento o a quién y dónde dirigirse en caso de querer ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad o supresión.

¿Qué hacer con los datos de los propietarios cuando se deja de ser el administrador de la comunidad que nos contrató?

Al terminar la relación, el administrador ha de devolver a la comunidad todos aquellos documentos o soportes en los que figuren los datos de carácter personal de los propietarios. Solo podrá conservarlos en caso de que se derive alguna responsabilidad de su desempeño como gestor de la finca.

¿Se puede conservar el dato del email o whatsapp utilizado por un propietario para comunicar una avería y usarlo para sus relaciones derivadas de la gestión de la comunidad?

Si la dirección de correo electrónico ha sido proporcionada por el propietario se puede utilizar por el administrador para la gestión de sus relaciones con la comunidad. Cualquier otro uso, como publicidad o marketing, no estaría legitimado.

¿Se pueden realizar comunicaciones a los propietarios a través de WhatsApp?

Si lo ha facilitado el propietario se podría utilizar en el marco de la gestión de la comunidad con su consentimiento. Ahora bien, no se puede utilizar para incluir al propietario en un grupo sin su consentimiento expreso, informado y explícito.

¿Se pueden comunicar datos de contacto de propietarios a un servicio externo en situaciones de emergencia, o en caso de siniestros, sin el consentimiento de los interesados?

Sí, cuando se comunica a un administrador de fincas, encargado de la gestión de la comunidad, un supuesto de este tipo se puede entender que existe un interés legítimo por parte de la comunidad en resolver el siniestro lo más rápido posible con el objeto de evitar daños.

¿Es necesario recabar un nuevo consentimiento con el Reglamento Europeo de Protección de Datos?

El tratamiento de los datos de los propietarios por la comunidad está basado en el cumplimiento de relaciones jurídicas y obligaciones legales en el marco de la legislación sobre propiedad horizontal, y por el administrador de fincas en el contrato de encargado de tratamiento. Si se llegase a realizar un tratamiento basado en el consentimiento prestado de manera tácita, habría que obtener un consentimiento expreso.

¿Se pueden publicar datos de carácter personal en el tablón de avisos de la comunidad de propietarios?

Solo se autoriza a la exposición de datos de carácter personal relacionados con asuntos derivados de la gestión de la comunidad en el caso de que no pueda contactarse con un propietario en el domicilio indicado a efectos de notificaciones.

El tablón de avisos no deberá colocarse en un lugar de tránsito fácilmente accesible por cualquier persona.

¿Puede el administrador de fincas presentar el libro de actas de la Comunidad a una entidad financiera?

La apertura de una cuenta corriente con la entidad financiera provoca la necesidad de que esta tenga conocimiento de los datos de identificación de quien asume esa representación legal y de los cambios que se produzcan anualmente, así como de los datos personales de aquellos cargos de la comunidad a los que el presidente otorgue la facultad de firma para las operaciones referidas a dicha cuenta.

Tales datos le pueden ser comunicados mediante la correspondiente certificación expedida por el administrador de la comunidad de propietarios u otro documento de apoderamiento legal.

¿Necesitas ayuda?

Escríbenos a info@legalglobal.es

Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/