1190 - ¿Cómo debe realizarse el análisis de riesgos en el tratamiento de datos personales por parte de las comunidades de propietarios?

Respecto a la gestión de riesgos en el tratamiento de datos por una comunidad de propietarios han de destacarse una serie de conceptos que se extraen del propio RGPD.

Así, el considerando (74) del RGPD (y el artículo 24 del RGPD en ese mismo sentido) indica que:

«Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas».

Y continúa el considerando (83) del RGPD:

«A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse (...)».

El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:

• El estado de la técnica.
• Los costes de aplicación.
• La naturaleza.
• El alcance.
• El contexto.
• Los fines del tratamiento.
• Los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Y en ese mismo precepto del reglamento indica que tales medidas deben incluir, entre otros:

• La seudonimización y el cifrado de datos personales. La seudonimización consiste en el tratamiento de datos personales cuya atribución a un interesado requiera de información adicional que figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona identificada o identificable.
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Añadiendo el apartado 2, del artículo 32, del RGPD que:

«2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Hablamos en el caso anterior de «violación de la seguridad de los datos personales» que define el artículo 4, apartado 12, del RGPD como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

CUESTIÓN

En base a lo dispuesto en el artículo 32 del RGPD, ¿quién debe adoptar las medidas de seguridad en una comunidad de propietarios?

Por norma general, en el tratamiento de datos de una comunidad de propietarios será el administrador de fincas quien custodie los ficheros con los datos personales, en su oficina y con sus propios medios, ante las funciones que le son propias frente a la comunidad.

Por tanto, será él quien deba adoptar las medidas de seguridad adecuadas, en calidad de encargado del tratamiento y estas deberán documentarse en el contrato de encargo del tratamiento (art. 28.3 del RGPD), conformando así una de las obligaciones básicas del administrador de fincas, como encargado del tratamiento, cuya actividad se limita a la custodia de los datos y demás funciones que le sean propias (art. 28 del RGPD y art. 33 de la LOPDGDD).

A TENER EN CUENTA. El artículo 32, en sus apartados 3 y 4, del RGPD establece que la adhesión a un código de conducta aprobado a tenor del artículo 40 del RGPD o a un mecanismo de certificación aprobado a tenor del artículo 42 del RGPD puede servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1, del artículo 32, del RGPD.

Así mismo, ordena al responsable y el encargado del tratamiento que deben tomar medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales, solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la UE o de los EE. MM.

Siguiendo la Guía sectorial de la AEPD sobre Protección de Datos y Administración de Fincas, en ella se plantean medidas de seguridad como:

• Creación de varios usuarios o perfiles en dispositivos informáticos para el caso de que se utilice el mismo ordenador o dispositivo para el tratamiento de datos personales y fines de uso personal.
• Disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales para evitar que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo. 
• Existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos.
• Un usuario y contraseña por cada persona que acceda a los datos personales (identificación inequívoca).
• Confidencialidad de las contraseñas, evitando que queden expuestas a terceros. Para la determinación de las contraseñas ha de conseguirse que sean fuertes o robustas, y no utilizar la misma en varios servicios, utilizando patrones que permitan recordar las claves o incluso utilizar un gestor de contraseñas para el caso de que pueda olvidarse (Guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad).

En la mencionada guía también se recogen otras medidas de salvaguarda en los sistemas y dispositivos de almacenamiento y tratamiento de datos personales. Véase:

• Mantenimiento y actualización de ordenadores y dispositivos.
• Sistema antivirus frente a malwares.
• Cortafuegos o Firewall para evitar accesos remotos indebidos.
• Cifrado de datos para cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos (encriptación).
• Copia de seguridad de forma periódica en un segundo soporte distinto del que se utiliza para el trabajo diario, que debe almacenarse en un lugar seguro con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.