1530 - ¿Está legitimado el administrador de fincas de una comunidad de propietarios para poder ejercer las funciones de un encargado de tratamiento de datos?

El administrador como responsable del tratamiento de los datos de la comunidad debe desarrollar las actividades que le atribuye la LPH, entre las que se incluyen aquellas que conllevan el tratamiento de datos de personas físicas identificadas o identificables, desde los propietarios dentro de la comunidad, hasta vecinos no propietarios o terceros que también pueden verse afectados por la gestión de la comunidad o de los comuneros.

De manera literal, el artículo 20 de la LPH prescribe:

«Corresponde al administrador:

a) Velar por el buen régimen de la casa, sus instalaciones y servicios, y hacer a estos efectos las oportunas advertencias y apercibimientos a los titulares.

b) Preparar con la debida antelación y someter a la Junta el plan de gastos previsibles, proponiendo los medios necesarios para hacer frente a los mismos.

c) Atender a la conservación y entretenimiento de la casa, disponiendo las reparaciones y medidas que resulten urgentes, dando inmediata cuenta de ellas al presidente o, en su caso, a los propietarios.

d) Ejecutar los acuerdos adoptados en materia de obras y efectuar los pagos y realizar los cobros que sean procedentes.

e) Actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad.

f) Todas las demás atribuciones que se confieran por la Junta».

Y como secretario, el artículo 19, apartado 4, de la LPH indica que el administrador tendrá que custodiar «los libros de actas de la Junta de propietarios. Asimismo, deberá conservar, durante el plazo de cinco años, las convocatorias, comunicaciones, apoderamientos y demás documentos relevantes de las reuniones».

La AEPD en la Guía sectorial de Protección de datos y administración de fincas concluye al respecto de las normas citadas que no debe interpretarse como un acceso generalizado por parte del administrador a la documentación de la comunidad, sino que será solo a aquellos (datos) concretos y necesarios para los fines que son tratados:

«El artículo 20 e) de la LPH dispone que corresponde al administrador actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad. Este artículo debe ser interpretado de conformidad con la normativa de protección de datos, de modo que no permite un acceso generalizado a toda la documentación obrante en los archivos de la comunidad que pueda contener datos personales, sino solamente a aquellos datos que sean estrictamente pertinentes, adecuados y limitados en relación con los fines para los que son tratados. En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá examinarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento».

CUESTIONES

1. Si el tratamiento de datos no tiene fundamentación en la LPH ya que tiene por objeto otro tipo de servicio o gestión, ¿puede realizarse igualmente?

Puede realizarse el tratamiento de datos, pero requerirá de autorización, es decir, será necesario que concurra consentimiento específico, informado e inequívoco de los interesados, para que el tratamiento sea lícito (art. 6 del RGPD).

Fuente: Guía sectorial de la AEPD Protección de datos y administración de fincas.

2. ¿Puede el encargado comunicar los datos a otras personas? ¿Y si el objetivo de su comunicación es la conservación de estos datos?

Cuando el administrador actúe como encargado del tratamiento de una comunidad de propietarios no podrá comunicar los datos a otras personas, ni siquiera para su conservación, salvo que dicha comunicación sea a otro encargado (subencargado), al que le podrá comunicar los datos contando con autorización previa por escrito, que podrá ser de carácter general, por ejemplo, para la subcontratación de servicios de cloud computing. En ese caso el administrador habrá de informar a la comunidad de propietarios de cualquier cambio que se produzca con el subencargado.

Fuente: Guía sectorial de la AEPD Protección de datos y administración de fincas.

3. ¿En qué consiste el cloud computing?

También denominada computación en la nube, es un modelo de computación que permite a un proveedor tecnológico proporcionar servicios informáticos mediante Internet. Viene a ser una forma de prestación de los servicios de tratamiento de la información que es válida tanto para una empresa, un particular o una propia Administración pública y que, además, permite al usuario optimizar la asignación y coste de los recursos asociados a sus necesidades de tratamiento de información.

Fuente: Guía para clientes que contraten servicios de Cloud Computing (AEPD).

Deber de confidencialidad del administrador de fincas

Como recoge el artículo 5 de la LOPDGDD, el administrador de fincas como encargado del tratamiento se encuentra sujeto al deber de confidencialidad que contempla el artículo 5, apartado 1, f) del RGPD, que se entiende como principio complementario al deber de secreto profesional y se mantiene a lo largo del tiempo incluso una vez finalizado la relación del encargado con el responsable del tratamiento.

Así, el mencionado artículo del RGPD regula el deber de confidencialidad que viene a fijar que el tratamiento de datos se dé garantizando una seguridad adecuada de los datos personales, evitando el tratamiento no autorizado o la pérdida, destrucción o daño accidental, mediante medidas técnicas u organizativas apropiadas.

Véase como ejemplo de incumplimiento del deber de confidencialidad por el administrador de fincas:

PS 00166/2020, de 1 de septiembre de 2020 (AEPD)

Comunicación, a un tercero, por parte del administrador de la comunidad de propietarios de los datos relativos a un propietario sobre deudas comunitarias y costas relativas al procedimiento judicial en el que estaba incurso. Este tercer sujeto mantenía un contrato de opción de compra sobre la vivienda titularidad del reclamante en la comunidad de propietarios en la que el reclamado ejerce como administrador. En este caso, se está vulnerando el deber de confidencialidad, tal y como dispone la AEPD:

«(...) la difusión de un vecino deudor podrá publicarse únicamente en el supuesto recogido en el artículo 9 de la Ley de Propiedad Horizontal apartado h) párrafo segundo, "Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto". Además, para proceder de esta forma deberán acreditarse los intentos de notificación. Sin embargo, en el presente caso el tratamiento llevado a cabo por el administrador no es encajable en ninguna de las causas legitimadoras contempladas en la norma y materializado, como anteriormente se señalaba, en la comunicación de las deudas comunitarias y costas relativas a un procedimiento judicial, a un tercero con el que el reclamante había suscrito un contrato de opción de compra sobre la vivienda de su titularidad en la que el reclamado ejerce como Administrador. El respeto al principio de licitud de los datos exige que conste acreditado que existe una causa legitimadora para el tratamiento de los datos y desplegar una razonable diligencia imprescindible para acreditar ese extremo. De no actuar así el resultado sería vaciar de contenido el principio de licitud».

Subencargado del tratamiento

El artículo 28, apartado 4, del RGPD indica que para el caso de que el encargado recurra a otro encargado para realizar determinadas actividades de tratamiento por cuenta del responsable, este «subencargado» estará sujeto a las mismas obligaciones en materia de protección de datos que las que se hubieran establecido en su momento en el contrato celebrado entre el responsable y el primer encargado. Así mismo, debe destacarse en estas designaciones que:

• Es necesario celebrar un contrato o acto jurídico con arreglo al derecho de la UE o de los Estados miembros donde se establezcan obligaciones en protección de datos.
• El subencargado deberá prestar las garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas para que el tratamiento sea conforme al RGPD.
• El encargado inicial del tratamiento responde por los incumplimientos del otro encargado frente al responsable.
• El contrato debe constar por escrito inclusive en formato electrónico.
• El contrato puede basarse, total o parcialmente, en las cláusulas contractuales tipo fijadas por la Comisión o autoridad de control.

¿Qué obligaciones le son propias al administrador de fincas como encargado del tratamiento?

El administrador de fincas asesora y representa a las comunidades de propietarios, actuando como encargado del tratamiento, por lo que se presume como función propia, o como obligación, ayudar al responsable del tratamiento en el cumplimiento de la normativa en protección datos, así como adoptar todas las medidas necesarias para cumplir adecuadamente con la misma.

Acudiendo a la mencionada Guía sectorial sobre protección de datos de la AEPD, así como al RGPD y LOPDGDD, deben relacionarse una serie puntualidades sobre el tratamiento de datos por parte de los administradores de fincas. Así, entre sus obligaciones estarán:

• Debe facilitar a las comunidades de propietarios toda la información que precisen para adecuar sus tratamientos de datos de carácter personal a la normativa de protección de datos. Dicha información y asesoramiento debe referirse tanto a la actividad interna y ordinaria de la comunidad, como a la relativa a la contratación de obras, bienes y/o servicios provenientes de terceros.
• Adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado (art. 32 del RGPD), que incluirá entre otros: la seudonimización y el cifrado de datos, la garantía de confidencialidad, la integridad, la disponibilidad y la resiliencia, la garantía de la disponibilidad y el acceso a datos y el proceso de verificación, evaluación y valoración de la eficacia de las medidas.
• Elaborar un registro de actividades de tratamiento (RAT) en relación con las comunidades de propietarios a las que prestan su servicio (art. 30.2 del RGPD). Este registro debe incluir:
  • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, de los representantes y del delegado de protección de datos.
  • Las categorías de tratamientos efectuados por cuenta de cada responsable; cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad implementadas en relación con los tipos de tratamientos de datos realizados.
  • En su caso, las transferencias internacionales a un tercer país que, aunque no sean frecuentes, se pueden producir, por ejemplo, si se contratan servicios de cloud computing con servidores fuera del Espacio Económico Europeo, así como las garantías para el supuesto excepcional recogido en el artículo 49.1 segundo párrafo del RGPD, si es que tuviera lugar.
  • Estos registros constarán por escrito, inclusive en formato electrónico.
  • El encargado del tratamiento y, en su caso, su representante, pondrá el registro a disposición de la AEPD si esta lo solicita.
• Notificar al responsable las violaciones de seguridad de las que tenga conocimiento (art. 33.2 del RGPD).
• Cooperar con la autoridad de control (art. 31 del RGPD).
• Elaborar, modificar o ampliar códigos de conducta (art. 40.2 del RGPD).

Régimen sancionador aplicable al administrador de fincas como encargado del tratamiento

Como indica el artículo 28, apartado 10, del RGPD:

«10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento».

Así mismo, el artículo 70, apartado 1 b), de la LOPDGDD establece que los encargados del tratamiento están sujetos al régimen sancionador del RGPD. A tales efectos, debe saberse al respecto, y de manera genérica:

1. Son infracciones muy graves por el encargado del tratamiento (art. 72 de la LOPDGDD):

- La vulneración del deber de confidencialidad del artículo 5 del RGPD.

- Uso de datos para fines no compatibles con la finalidad para la que fueron recogidos sin consentimiento del afecto.

- Obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

2. Son infracciones graves por el encargado del tratamiento (art. 73 de la LOPDGDD):

- La falta de atención a las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

- La contratación de otro encargado sin contar con la autorización previa del responsable o sin informarle sobre los cambios producidos en la subcontratación cuando fueran exigibles legalmente.

- Infracción de lo dispuesto en el RGPD y la LOPDGDD al determinar los fines y medios del tratamiento, conforme al artículo 28.10 del RGPD.

- No notificar las violaciones de seguridad al responsable del tratamiento.

3. Son infracciones leves por el encargado del tratamiento (art. 74 de la LOPDGDD):

- No informar al responsable sobre la posible infracción por una instrucción recibida de aquel.

- Incumplimiento de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable, salvo que esté obligado a ello por el propio RGPD o la LOPDGDD o si fuera necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiera advertido de ello al responsable o encargado del tratamiento.

CUESTIONES

1. ¿Qué plazo de prescripción rige en estas infracciones? ¿Puede interrumpirse este plazo?

El plazo de prescripción de las infracciones es el siguiente:

- Infracciones muy graves: 3 años.

- Infracciones graves: 2 años.

- Infracciones leves: 1 año.

Por norma general, como recoge el artículo 75 de la LOPDGDD, estos plazos pueden interrumpirse por la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo si el expediente sancionador estuviere paralizado durante más de 6 meses por causas no imputables al presunto infractor.

2. ¿Qué sanciones pueden imponerse?

Si bien el artículo 58, apartado 2, letra b) del RGPD otorga poder a la AEPD o a la autoridad competente para dirigir al encargado un apercibimiento si el tratamiento infringe el RGPD, en el artículo 83, en sus apartados 4 y 5, del mismo cuerpo legal se regulan sanciones muy severas y de naturaleza pecuniaria, como son:

- Multas administrativas de hasta 10.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 por ciento como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía para aquellas infracciones relativas a las obligaciones del encargado.

- Multas administrativas de hasta 20.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 por ciento como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, para aquellas infracciones relativas a los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, a los derechos de los interesados, o al incumplimiento de una resolución de una autoridad de control o de otras obligaciones impuestas en virtud de la LOPDGDD.

3. ¿Qué plazo de prescripción se establece para las sanciones? ¿Puede interrumpirse este plazo?

Establece el artículo 78 de la LOPDGDD que el plazo de prescripción de las sanciones empieza a contar desde el siguiente al que sea ejecutable la resolución por la que se impone la sanción o transcurriera el plazo para recurrir tal resolución, y se computará de la siguiente forma:

- Las sanciones por importe igual o menor a 40.000 euros: 1 año.

- Las sanciones por importe 40.001 euros a 300.000 euros: 2 años.

- Las sanciones por importe mayor a 300.000 euros: 3 años.

Estos plazos pueden interrumpirse por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, reiniciándose si el proceso se encuentra paralizado durante más de 6 meses por causa no imputable al infractor.