Última revisión
horizontal
1470 - ¿Qué obligaciones debe llevar a cabo una comunidad de propietarios para la protección de los datos personales?
Relacionados:
Vademecum: Horizontal
Fecha última revisión: 03/06/2024
Resumen:
La protección de datos personales por parte de una comunidad de propietarios se justifica asegurando el correcto desenvolvimiento de la misma. Esto significa que el tratamiento de datos conlleva una serie de obligaciones como la llevanza de un registro de actividades de tratamiento, la adopción de medidas para garantizar un nivel de seguridad adecuado, notificar las violaciones de seguridad, elaborar una evaluación de impacto de protección de datos, y cumplir con las solicitudes de derechos por los interesados. Estas obligaciones se basan en los principios establecidos en el RGPD y en la LOPDGDD, como la licitud, lealtad y transparencia, limitación de finalidad, minimización de los datos, exactitud, limitación del plazo de conservación e integridad y confidencialidad.
La base principal sobre la que se justifica el tratamiento de datos por parte de una comunidad de propietarios es asegurar el correcto desenvolvimiento de la comunidad. A su vez, este tratamiento de datos por la comunidad tiene como finalidad garantizar un ejercicio adecuado de los derechos que correspondan a los comuneros y a los «terceros» en la comunidad, así como, asegurar el cumplimiento por parte de los propietarios de las obligaciones que les son impuestas en la LPH.
La categoría de responsable del tratamiento de datos conlleva una serie de obligaciones como son:
- Llevanza de un registro de actividades de tratamiento.
- Adopción de medidas técnicas y organizativas orientadas a garantizar un nivel de seguridad adecuado al riesgo.
- Notificar las violaciones de seguridad de los datos personales (brechas de seguridad).
- Elaboración de una evaluación de impacto de protección de datos (EIPD).
- Cumplimiento de las solicitudes de derechos por los interesados.
El cumplimiento de estas obligaciones en ocasiones viene determinado por la ley y, en otros casos, aunque el cumplimiento no sea preceptivo, puede darse como conducta proactiva hacia el cumplimiento de la LOPDGDD por parte de los responsables del tratamiento.
Deberes de la comunidad de propietarios en el tratamiento de datos
Acudiendo a los artículos 5 y siguientes del Reglamento General de Protección de Datos y artículos 4 y siguientes de la LOPDGDD, encontramos los principios aplicables a la protección de datos. Es interesante partir de la premisa del artículo 5, apartado 1, del RGPD que indica que los datos personales serán:
- Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»).
- Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines («limitación de la finalidad»).
- Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).
- Exactos y, si fuera necesario, actualizados, debiendo eliminarse o rectificarse los datos personales inexactos con respecto a los fines para los que tratan («exactitud»).
- Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales, a excepción de que puedan conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas como la limitación del plazo de conservación («limitación del plazo de conservación»).
- Tratados garantizando una seguridad adecuada de los datos personales («integridad y confidencialidad»).
CUESTIÓN
La práctica requiere un tratamiento de datos de calidad por parte de la comunidad de propietarios, pero ¿a qué se refiere con calidad de datos?
Lo que se pretende en el tratamiento de datos, sea cual sea el responsable del mismo, es la calidad de los datos; es decir, que se recopilen los datos que sean necesarios para el tratamiento, pero única y estrictamente los indispensables para el desempeño del buen funcionamiento de la comunidad de propietarios y para el cumplimiento de las obligaciones que también recoge la LPH.
1. Tratamiento lícito de los datos personales
El artículo 6 del RGPD indica que el tratamiento se presume lícito cuando:
- El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
- El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Por tanto, dentro de lo que establece el artículo 6 del RGPD, el tratamiento de datos por la comunidad de propietarios se entiende lícito ya que se da en cumplimiento de las obligaciones y otras disposiciones de la Ley de Propiedad Horizontal (LPH).
CUESTIÓN
Si se convoca una junta al amparo del artículo 16 de la LPH, por petición de la cuarta parte de los propietarios o por petición de aquellos comuneros que representen el 25 % de las cuotas de participación, ¿es lícito el tratamiento de datos para la convocatoria de los demás comuneros?
En atención al artículo 6 del RGPD, se interpreta que en estos casos el tratamiento de datos es lícito al estar amparado por la propia normativa.
2. Consentimiento para el tratamiento de datos (art. 7 del RGPD y art. 6 de la LOPDGDD)
Conforme al artículo 4, apartado 11, del RGPD, se considera consentimiento del interesado:
«Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».
Para que el consentimiento justifique la licitud en el consentimiento, ha de tenerse en cuenta que:
- El responsable debe ser capaz de demostrar que el interesado consintió el tratamiento.
- Si el escrito de consentimiento incluye otros asuntos, la solicitud debe ser clara y distinta del resto del documento, inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
- El consentimiento puede ser retirado en cualquier momento.
- Si el consentimiento se da para una pluralidad de finalidades, debe constar de manera precisa e inequívoca que se otorga a tales fines.
CUESTIÓN
En el caso de interesados que sean menores de edad, ¿cómo procede el consentimiento para el tratamiento de datos?
El artículo 7 de la LOPDGDD indica que el tratamiento de datos personales será lícito si es basado en el consentimiento del menor cuando sea mayor de 14 años, salvo los supuestos en los que la ley exija asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
Si el menor tuviera menos de 14 años, debe darse consentimiento por el titular de la patria potestad o de la tutela sobre el menor y alcanzará hasta donde se autorizó.
3. Transparencia de la información
Recoge el preámbulo de la LOPDGDD que en la regulación de los derechos de los interesados la ley intenta normativizar la denominada «información por capas», ya aceptada en ámbitos como el de la videovigilancia o el de la instalación de dispositivos de almacenamiento de datos. Se intenta facilitar al afectado la información básica indicando una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
Como ya recogía el considerando (39) del RGPD, el principio de transparencia «exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento».
Conforme al artículo 12 del RGPD, la comunicación relativa al tratamiento debe darse de manera concisa, transparente, inteligible y de fácil acceso, con lenguaje claro y sencillo, con especial atención si el interesado se trata de un menor.
Así mismo, debe destacarse:
- La información será facilitada por escrito o por otros medios, incluidos medios electrónicos.
- Se facilitará verbalmente si así lo solicita el interesado.
- La información se debe facilitar por el responsable del tratamiento sin dilación indebida, y en plazo de un mes a partir de la recepción de la solicitud. Este plazo podrá prorrogarse otros dos meses según la complejidad y el número de solicitudes, debiendo comunicarlo al interesado en el plazo de un mes a partir de la recepción de la solicitud e indicando los motivos de dilación.
- El responsable puede establecer un canon razonable en función de los costes administrativos o negarse a actuar respecto de la solicitud cuando la considere infundada, excesiva o repetitiva.
Por su parte, el artículo 11 de la LOPDGDD establece, sobre este principio en el tratamiento de datos cuando los datos fueran obtenidos directamente del afectado, que el responsable de tratamiento ha de facilitar al afectado información básica e indicarle una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. Tal información básica debe incluir:
- La identidad del responsable del tratamiento y de su representante, en su caso.
- La finalidad del tratamiento.
- La posibilidad de ejercer los derechos que le son propios al interesado conforme a los artículos 15 a 22 del RGPD.
- Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia.
Y para el caso de que se trate de datos no obtenidos del afectado, la información básica también debe incluir:
- Las categorías de datos objeto de tratamiento.
- Las fuentes de las que procedieran los datos.
4. Confidencialidad y el deber de secreto
Como indica el artículo 5, apartado 1, letra f), del RGPD, los datos personales deben ser «tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad")».
Desarrolla la LOPDGDD en su artículo 5 que el deber de confidencialidad es complementario del deber de secreto profesional, obligación que persiste una vez finalizada la relación del obligado con el responsable o encargado del tratamiento.
¿Qué sanciones pueden imponerse por la autoridad de control por incumplimiento de las obligaciones en materia de protección de datos?
El régimen sancionador se regula a lo largo de los artículos 70 a 78 de la LOPDGDD estableciéndose unas condiciones generales para la imposición de multas de carácter administrativo en el artículo 83 del RGPD.
De manera ejemplificativa, podemos citar algunas de las infracciones más comunes y sus posibles sanciones:
1. El impedimento o la obstaculización o no atención reiterada del ejercicio de los derechos de los interesados (recogidos a lo largo de los artículos 15 a 22 RGPD). El artículo 72, apartado 1, letra k) de la LOPDGDD tipifica esta conducta como infracción muy grave.
CUESTIONES
1. ¿Cuándo prescriben este tipo de infracciones?
Atendiendo a lo establecido en el art. 72 de la LOPDGDD, las infracciones muy graves prescriben a los tres años.
2. ¿Qué sanción puede imponerse por este tipo de infracción?
Se podrá imponer multa administrativa de hasta 20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (art. 83.5 del RGPD).
3. ¿Puede prescribir la sanción?
Tal y como dispone el art. 78 de la LOPDGDD, el plazo de prescripción comienza a contarse desde el día en que la resolución sancionadora sea ejecutable o transcurriera el plazo para recurrirla, y la regla es la siguiente:
- Las sanciones por importe igual o inferior a 40.000 euros prescriben en el plazo de un año.
- Las sanciones de importe comprendido entre 40.001 euros y 300.000 euros prescriben en el plazo de dos años.
- Las sanciones con importe superior a 300.000 euros prescriben a los tres años.
2. No disponer de un registro de actividades. Se tipifica como infracción grave, al amparo del artículo 73 n) de la LOPDGDD.
CUESTIONES
1. ¿Cuándo prescriben este tipo de infracciones?
Conforme a lo dispuesto en el art. 73 de la LOPDGDD, las infracciones graves prescriben a los dos años.
2. ¿Qué sanción puede imponerse por este tipo de infracción?
Podrá imponerse multas administrativas de hasta 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (art. 83.4 del RGPD).
3. ¿Puede prescribir la sanción?
Sí, en los mismos plazos y términos que indica el artículo 78 de la LOPDGDD.
3. Incumplimiento del principio de transparencia. El artículo 74 a) de la LOPDGDD califica como infracción leve el incumplimiento de este deber. Esta infracción prescribe en el plazo de un año.
A TENER EN CUENTA. Respecto al tipo de sanciones, plazos de prescripción o interrupción, atenderemos, como en los casos anteriores, a los artículos 83, apartados 4 y 5, del RGPD y artículo 78 de la LOPDGDD.