1220 - Forma de intervención del administrador de fincas en relación al tratamiento de datos personales de la comunidad de propietarios

Cabe plantear la siguiente pregunta, ¿en qué se fundamenta la legitimación del administrador de fincas para el tratamiento de datos personales?

Ha de tomarse como punto de partida para fundamentar esta legitimación el artículo 28 del RGPD. En este precepto se indica que, cuando se vaya a realizar un tratamiento por cuenta de un responsable, este elegirá un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas para cumplir con la normativa en materia de protección de datos. 

El tratamiento por el encargado se regirá mediante la forma de contrato u acto jurídico, siempre conforme al derecho de la UE o de los Estados miembro, y en el mismo se establecerá:

• El objeto.
• La duración.
• La naturaleza del tratamiento.
• La finalidad del tratamiento.
• El tipo de datos personales.
• Las categorías de interesados.
• Las obligaciones y los derechos del responsable.

En el caso de los administradores de fincas, estos actúan por cuenta de las comunidades de propietarios (mediante relación contractual), por lo que, en cumplimiento de sus funciones como tal, realizan múltiples tratamientos de datos de carácter personal. Dentro de la organización del tratamiento de datos, los administradores de fincas se encajan como encargados del tratamiento de los datos de la comunidad de propietarios, siendo esta la responsable del tratamiento. 

Así mismo, en cumplimiento del artículo 28 del RGPD, para que la relación entre responsable y encargado (comunidad de propietarios-administrador de fincas) se desarrolle conforme a la normativa en protección de datos, deben cumplirse los requisitos que en tal precepto se establecen, que son:

• Que el acceso a los datos por el administrador de fincas se efectúe con la exclusiva finalidad de prestar un servicio al responsable del tratamiento, y que dicha relación de servicios se encuentre contractualmente establecida.
• La relación contractual deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.
• Se establecerá expresamente que el administrador de fincas únicamente tratará los datos conforme a las instrucciones de la comunidad de propietarios, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
• El administrador de fincas debe limitarse a emplear los datos en el ámbito de las funciones que la comunidad de propietarios le haya designado.
• Que tanto el administrador de fincas, como cualquier persona que trabaje para él, deberán respetar la confidencialidad en el tratamiento de los datos personales. 
• Se entiende que el administrador de fincas actúa conforme a las instrucciones del responsable del tratamiento cuando, en el ejercicio de sus funciones, trata los datos de los propietarios contenidos en los ficheros que custodia. 
• Al término de su relación, el administrador de fincas deberá devolver a la comunidad de propietarios todos los soportes y/o documentos en los que consten datos de carácter personal objeto de tratamientos de datos.
• No obstante, el administrador podrá conservar los datos personales objeto de tratamiento en tanto pudieran derivarse responsabilidades de su relación con la comunidad de propietarios. 
• Asistirá a la comunidad de propietarios cuando por algún afectado se ejercite alguno de los derechos que reconoce la normativa de protección de datos de carácter personal.
• Ayudará al responsable para garantizar el cumplimiento de sus obligaciones en aquellos supuestos en que se produzca una brecha de seguridad, sobre todo cuando se deba comunicar a la AEPD. 
• Las medidas de seguridad que hayan de ser adoptadas por los administradores que realicen tratamientos de datos por cuenta de comunidades serán las mismas que las que sean exigibles al responsable. 

Por su parte, el artículo 33 de la LOPDGDD hace las siguientes apreciaciones respecto al encargado, que han de asimilarse para el caso de los administradores de fincas, y son:

• No es comunicación de datos el acceso por el administrador, como encargado del tratamiento, a los datos personales que resulten necesarios para la prestación de un servicio al responsable.
• Será responsable y no encargado si actúa en su propio nombre y sin que conste que actúa por cuenta de otro y establezca relaciones con los afectados aun existiendo contrato o acto jurídico entre ambos.
• Es responsable el que figurando como encargado utilice los datos para sus propias finalidades. 
• El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado. Excepto si existe previsión legal de conservación de datos.
• El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

CUESTIÓN

Respecto a la conservación de datos por el administrador de fincas, ¿qué debe tenerse en cuenta?

En aplicación del artículo 28 del RGPD y del artículo 33 de la LOPDGDD, se concluye que el administrador de fincas solo puede conservar los datos personales que pudieran ser desencadenantes de otras responsabilidades. Para ello, debe prestar atención a los períodos o específicos de prescripción según la naturaleza del dato que trate, esto es, acudir por ejemplo a la normativa fiscal, contable, social o civil para valorar los plazos de conservación.