GDPR administradores de fincas ¿en serio? La nueva ley también afecta (y mucho) a las comunidades y administraciones de fincas y propiedades. Junta directiva, socios, propietarios de viviendas y gerentes deben cumplir una normativa en protección de datos muy exigente. En este artículo verás un resumen y las bases de GDPR. No obstante, si utilizáis TokApp os recordamos que para cualquier pregunta específica tenéis a vuestra disposición nuestro servicio de asesoramiento jurídico gratuito.
En una comunidad de propietarios, el tratamiento de los datos lo asume el propio presidente. Los Administradores de fincas asumen las funciones de asesoramiento y consultoría, que se aplican también a la protección de datos de la comunidad. Los administradores están legitimados por el contrato de prestación de servicios. Por la Ley de Propiedad Horizontal para tratar y disponer de la información de los propietarios necesaria para la gestión ordinaria de los asuntos de la comunidad.
Según la AEPD, los administradores de fincas se encargan del tratamiento en relación a los datos de las comunidades de propietarios.
Con el nuevo Reglamento Europeo de Protección de Datos, las comunidades de propietarios no tendrán que nombrar un Delegado de Protección de Datos (DPO. Tampoco realizar evaluaciones de impacto sobre la protección de datos (DPIA). Estas medidas están reservadas a entidades que hagan un tratamiento de datos que conlleve riesgos para los derechos y libertades de los interesados, que no es lo habitual en las comunidades de propietarios.
RGPD y Administradores de fincas: bases
Estas son las bases del nuevo Reglamento de Protección de Datos con respecto a los administradores de fincas:
- El administrador de fincas tendrá acceso a los datos con la finalidad de prestar servicio al responsable del fichero.
- El administrador de fincas tratará los datos según las instrucciones de la comunidad de propietarios, y no los aplicará o utilizará con fin distinto al establecido en el contrato, ni los comunicará o cederá a terceras personas.
- Al término de la relación contractual, el administrador deberá devolver a la comunidad de propietarios todos los soportes y/o documentos en los que aparezcan datos personales objeto de tratamiento.
- El administrador podrá conservar, debidamente bloqueados, los datos personales objeto de tratamiento, de los que puedan derivarse responsabilidades en relación al servicio prestado a la comunidad de propietarios.
- Las medidas de seguridad adoptadas por el administrador de fincas deben ser las mismas exigidas al responsable del tratamiento.
- En el caso de incumplir cualquiera de los puntos anteriores, el administrador podrá ser considerado responsable del tratamiento, correspondiéndole las infracciones en las que pudiera haber incurrido personalmente.
REGISTRO DE ACTIVIDADES DE TRATAMIENTO
En referencia al artículo 30.2 del RGPD, los administradores de fincas tendrán que hacer su propio registro de actividad. Éste debe contener todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable.
Como mínimo debe contener:
- Nombre y datos de contacto del encargado/s y de cada responsable que actúe a cuenta del encargado y, en su caso, de los representantes y del DPO.
- Las categorías de actividades de tratamiento efectuadas por cuenta de cada responsable, y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad implementadas en relación con el tratamiento de datos realizado.
- Estos registros constarán por escrito y pueden ser en formato electrónico.
- El encargado de tratamiento, y en caso su representante, pondrán el registro a disposición de la Agencia Española de Protección de Datos si ésta lo solicita.
OBLIGACIONES DE LOS ADMINISTRADORES DE FINCAS DERIVADAS DE SU SERVICIO A LAS COMUNIDADES DE PROPIETARIOS
Deber de información. Se debe informar a los titulares de los datos personales, generalmente en el momento de recogida de los datos.
Deber de secreto. Los administradores que intervengan en cualquier fase de tratamiento, deben garantizar el cumplimiento del deber de secreto. No pueden revelar ni dar a conocer los datos, y la obligación de secreto subsistirá aún después de finalizar sus relaciones con la comunidad de propietarios.
Calidad de los datos. Todos los implicados en el tratamiento de los datos deben asegurarse de que los datos personales son adecuados y veraces, obtenidos lícita y legítimamente y tratados en función a la finalidad para la que fueron recabados.
Supresión de los datos de los comuneros de oficio, cuando ya no sean necesarios para la finalidad para la que se recogieron
Deberán establecerse mecanismos de actualización de la información y verificación de dicha actualización
Deberán definirse los plazos de conservación de los datos personales de los propietarios afectados, y establecerse procedimientos para determinar que se han alcanzado los plazos máximos de conservación.
Se deberá informar a los copropietarios del tratamiento de los datos y la finalidad a la que se destinarán los datos, y si se han habilitado procedimientos para gestionar la renovación del consentimiento.
Principio de responsabilidad proactiva. Actitud consciente, diligente y proactiva por parte de la comunidad de propietarios y por los administradores de fincas frente a los tratamientos de datos personales que se lleven a cabo. Este principio requiere que se analizan qué datos se tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
A partir de esta información, deben determinar explícitamente la forma en que aplicarán las medidas técnicas y organizativas que el RGPD prevé, para demostrar que el tratamiento es conforme al Reglamento.
En cuanto a las medidas técnicas y organizativas de seguridad, el RGPD establece que deben ser las apropiadas para garantizar un nivel adecuado al riesgo, teniendo en cuenta:
- Estado de la técnica y costes de la aplicación
- La naturaleza, alcance, contexto y fines del tratamiento
- Los riesgos para los derechos y libertades de las personas
COMUNICACIÓN: RESPETAR LA PROTECCIÓN DE DATOS
No sólo se debe aplicar el reglamento al tratamiento de los datos, si no también a las comunicaciones con las personas.
Los mensajes que enviemos o recibamos deben cumplir la normativa actual, así como contar con el consentimiento de los receptores del mensaje sobre el uso de sus datos de contacto. Aquellas comunicaciones que la incumplan se expondrán a multas y a demandas judiciales.
Existen herramientas de comunicación específica para colectivos. Una de ellas es TokApp, creada con el objetivo de respetar la privacidad del usuario y por consiguiente, de cumplir todo reglamento GDPR. La mensajería y notificaciones de avisos es tan vital como sensible con la nueva normativa, por ello la comunicación a través de TokApp cumple dos pilares básicos: el consentimiento expreso y la no exposición pública de información sensible como el número de teléfono. Cumpliendo con el consentimiento expreso y explícito, la comunicación a través de esta plataforma permite eliminar todo el ruido de desinformación de grupos generales de mensajería, fomentando a su vez la información oficial y veraz, ya que proviene de un solo medio: el oficial. TokApp puede acreditar incluso ante un tribunal la veracidad del mensaje, el tiempo de entrega y recepción.
Si quieres recibir más información acerca de cómo comunicar vuestros avisos respetando el GDPR, ponte en contacto con nosotros o infórmate en la web. Recuerda que ofrecemos asesoramiento jurídico gratuito a todos nuestros clientes.