Preguntas y respuestas
sobre protección de datos en comunidades de propietarios

El Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

Al tratarse de la protección de un derecho fundamental (art. 18 de la Constitución Española), están obligados a cumplir con la normativa de protección de datos todos los que traten datos de carácter personal con fines profesionales o comerciales.

En este sentido, tanto el administrador de fincas como la comunidad de propietarios son sujetos de Derecho obligados a cumplir con la normativa de protección de datos; la comunidad de propietarios como responsable del tratamiento y el administrador de fincas como encargado del tratamiento.

Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.

Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, que puede denominarse "gestión de la comunidad de propietarios" o "propietarios", en el que se incluyen los datos personales de los citados propietarios como pueden ser nombre, apellidos, dirección o correo electrónico.

Pueden existir, además, otro tipo de tratamientos como el de "videovigilancia" o "cámaras de seguridad".

Evidentemente, si se quiere girar los recibos de los comuneros a través de cuentas bancarias, también existirá un fichero donde aparezcan las cuentas bancarias de éstos.

Por tanto, y como indicamos al principio, al existir estos tratamientos debe cumplirse lo dispuesto en la normativa de protección de datos personales.

En principio no, aunque sea aconsejable, dado que es la mejor forma, como ya veremos, de cumplir con el principio de responsabilidad proactiva.

Ahora bien, si se trata de una administración de fincas que cuenta con un volumen importante de comunidades de propietarios, con un volumen alto de datos de carácter personal, sí que sería necesario.

También sería necesario si la administración de fincas cuenta con servicios adicionales como servicios jurídicos y servicios de intermediación inmobiliaria, entre otros.

En todo caso, es muy aconsejable que una Administración de Fincas tenga un DPD Certificado en base a lo establecido en el Considerando (81) RGPD, enlazado con lo establecido en el art. 32.3 RGPD y lo que determina el art. 42.1 RGPD. Y me explico.

Considerando (81) RGPD:

“Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable (...).”

Artículo 32 RGPD:

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

(...)

3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo (...)”.

Artículo 42.1 RGPD:

1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas (...).”

Así pues, si el Responsable del Tratamiento (la Comunidad de Propietarios) debe elegir un Encargado del Tratamiento (el Administrador de Fincas) que ofrezca suficientes garantías, y prueba de que las ofrece es tener una certificación, sello o marca en materia de protección de datos, tener un DPD Certificado evidencia el cumplimiento con la normativa de protección de datos; así, por ejemplo la marca de certificación siguiente:

Marca del Esquema AEPD-DPD:

Salvador Zotano Sánchez (DPD Conforme Esquema Certificación 1.4 AEPD-DPD)

En las comunidades de propietarios, éstas serán las responsables del tratamiento de sus datos personales, como ya se ha comentado.

En el caso de que tengan contratado un administrador de fincas, éste actuará como encargado del tratamiento. Es decir, en este caso, se establece la siguiente relación: la comunidad es responsable de los tratamientos y el administrador actúa como encargado de los mismos.

Se trata, en todo caso, de una relación muy especial dado que el Administrador de Fincas desarrolla para la Comunidad de Propietarios una labor tan amplia que, de alguna manera, se ocupa de la práctica totalidad de asuntos que afectan a la comunidad.

Ambos deben someterse a la normativa de protección de datos, que establece al respecto una serie de obligaciones, entre las que podemos citar:

• La creación del/de los registro/s de actividades de tratamiento.
• Cumplir con el derecho de información.
• Atender los derechos de protección de datos.
• Determinar la legitimación de los tratamientos.

Además, el contrato entre la comunidad y el administrador deberá contener las respectivas cláusulas de protección de datos (de hecho, la Disposición Transitoria 5a de la LOPD GDD establece la obligación de adecuar los contratos entre responsables y encargados del tratamiento a la normativa actualizada de protección de datos, a más tardar, el 25 de mayo de 2.022; así pues, deberían estar ya actualizados).

No, con la aplicación del Reglamento General de Protección de Datos (RGPD) ha desaparecido la obligación de inscribir ficheros en la Agencia Española de Protección de Datos.

No obstante, debe configurarse el registro de actividades de tratamiento tanto de la comunidad de propietarios como del administrador de fincas, con el contenido que dispone al respecto el artículo 30 del RGPD.

Dicho registro es de carácter interno, no debe comunicarse a la Agencia, si bien ésta puede requerirlo en cualquier momento.

Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.

En la documentación de la comunidad de propietarios pueden encontrarse numerosas informaciones que incorporan datos personales, tales como datos identificativos y de contacto de los propietarios, números de sus cuentas corrientes, coeficientes de participación, consumos individuales, ingresos efectuados por los propietarios o deudas que estos mantengan con la comunidad, sentido del voto en la adopción de acuerdos, etcétera. Igualmente tendrá dicha consideración cualquier dato personal referido a los empleados que pudiera tener la comunidad de propietarios, como también la tendrán los datos relativos a honorarios de profesionales que abone la comunidad.

Ciñéndonos exclusivamente a los tratamientos de datos personales contenidos en los documentos que emplea la propia comunidad, estos pueden abarcar un amplio espectro de información personal relativa, incluso, a la vida privada y familiar de los afectados, así como a cualquier tipo de actividad desarrollada por una persona, como la referida a sus relaciones laborales o a su actividad económica o social.

La propia LPH habilita diversas comunicaciones de datos personales, que a efectos del RGPD se encontrarían legitimadas en base al cumplimiento de una obligación legal. Así, el artículo 16.2) regula cómo debe efectuarse la convocatoria de las juntas, disponiendo que la convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2. Por su parte, el artículo 19 de la LPH prevé la remisión de las actas a los propietarios, señalando en su número segundo las menciones que deben contener, entre las que figuran diversos tipos de datos de carácter personal (que, en todo caso, serán los mínimos e imprescindibles).

Desde la óptica de la protección de los datos personales, debe señalarse que sin perjuicio de que puedan realizarse estas comunicaciones, se tiene que tener en consideración también los principios del RGPD, sobretodo el principio relativo a la minimización de datos.

En consecuencia, la comunicación de datos deberá limitarse a aquéllos que - en cada caso- resulten "adecuados, pertinentes y limitados" para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al control del buen gobierno de la comunidad.

Así, a título de ejemplo, no cumple el requisito de idoneidad la comunicación de los directorios con los datos de domicilio de los propietarios o sus números de cuenta corriente, ya que en nada contribuyen a la finalidad de control de la buena administración de la comunidad de propietarios. Igualmente, y en lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato. Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de dichos directorios o de las nóminas de personal resultará contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.

El artículo 20 e) de la LPH dispone que corresponde al administrador actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad. Este artículo debe ser interpretado de conformidad con la normativa de protección de datos, de modo que no permite un acceso generalizado a toda la documentación obrante en los archivos de la comunidad que pueda contener datos personales, sino solamente a aquellos datos que sean estrictamente pertinentes, adecuados y limitados en relación con los fines para los que son tratados.

En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá examinarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.

Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.

En cuanto a la obtención de copias, la LPH ordena en ocasiones la remisión de determinados documentos, mientras que en su artículo 20 se refiere a custodiar a disposición de los titulares la documentación de la comunidad. En el caso en que se considerase oportuno facilitar copia de la documentación, con las limitaciones derivadas de la aplicación de la normativa de protección de datos, deberán adoptarse las debidas medidas de seguridad y, especialmente, las relativas a la gestión y salida de soportes y documentos, y traslado de documentación. Además de contar, en todo caso, con una declaración responsable del peticionario por la que se hace responsable de la adecuada conservación de la documentación, de su tratamiento conforme a los fines especificados en la petición y de su destrucción una vez concluida la finalidad.

En lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato.

Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de dichos directorios o de las nóminas de personal resultará contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.

Para la instalación de videocámaras en las comunidades de vecinos, será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.

Las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.

Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

En todo caso, deben tenerse en cuenta los documentos anexos 3, 4 y 5 (Ficha de la AEPD sobre videovigilancia en comunidades de propietarios, extracto de la Guía de la AEPD sobre los Administradores de Fincas referido a la videovigilnacia y cartel indicativo de que existe un sistema de videovigilancia).

El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.

En ningún caso resultarán accesibles a los vecinos mediante canal de televisión comunitaria.

Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes.

Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.

Es muy frecuente que una persona llame a una administración de fincas y se encuentre con varias opciones para poder hablar con distintos departamentos y, al inicio, una alocución que indica que la llamada puede ser grabada al objeto de ofrecer un servicio de calidad.

En estos casos hay que decir que, necesariamente, hemos de aplicar la normativa de protección de datos.

Esto es, al darse la circunstancia de que la llamada puede ser grabada y que la persona que llame puede dar datos de carácter personal, como son su nombre y apellidos, dirección postal, número de teléfono, y cualesquiera otros; hemos de tenerlo presente para aplicar medidas de carácter técnico y organizativo para cumplir con la normativa de protección de datos.

Lo conveniente es ofrecer la posibilidad de marcar una de las opciones para acceder a la política de protección de datos y en ella detallar:

• El nombre del responsable del tratamiento.
• La finalidad por la que la llamada puede ser grabada.
• Cuáles son los derechos y cómo pueden ser ejercidos.

Además, y con independencia de lo anterior, previamente a la puesta en marcha del servicio se ha de realizar el oportuno análisis de riesgos y el registro de actividades de tratamiento específico.

En general, para el uso de sistemas de comunicación vía Smartphone que no se reduzcan al ámbito familiar, doméstico o de amistad, se requiere para incorporar personas a los mismos el consentimiento.

Recordemos que tal consentimiento tiene que ser, como todo consentimiento en materia de protección de datos, toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le concierne.

Lo cierto es que cada vez es más frecuente encontrar modelos de vehículos que tienen incorporados sistemas internos de grabación de imágenes en prevención de que se produzcan accidentes o robos, tanto del vehículo como en el interior de los mismos. Son las denominadas cámaras “on board”.

En estos casos hemos de decir que al grabarse imágenes, y al considerarse las imágenes datos de carácter personal, toda grabación es un tratamiento de datos.

Por lo tanto hemos de tomar todas las medidas necesarias:

• Contar con el visto bueno de la Junta de Propietarios.
• Indicar la existencia del sistema de grabación mediante carteles.
• Realizar un Registro de Actividades de Tratamiento específico.
• Estudiar la legitimidad y los riesgos asociados.
• Y el resto de medidas complementarias.

En el anexo 6 podrá encontrar el Informe Jurídico de la AEPD sobre cámaras on-board:

No. La normativa de protección de datos no es de aplicación cuando se trate de tratamientos mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, como ocurre, por ejemplo, cuando el tratamiento sea efectuado a través de videoporteros.

Sin embargo, sí será de aplicación cuando el servicio se articule mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante.

En consecuencia, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, sujeto a la normativa de protección de datos.

Para poder tomar imágenes es preciso contar con todo lo indicado respecto al tema de la videovigilancia:

• Contar con el visto bueno de la Junta de Propietarios.
• Indicar la existencia del sistema de grabación mediante carteles.
• Realizar un Registro de Actividades de Tratamiento específico.
• Estudiar la legitimidad y los riesgos asociados.
• Y el resto de medidas complementarias.

Por lo que, si no está documentado el fin específico de poder denunciar ese tipo de comportamientos, en ningún caso se podrían usar las imágenes para denunciar el hecho. Esto es, si queremos usar el sistema de videovigilancia para unos fines hay que documentar la legitimidad de dichos fines y desarrollar la documentación correspondiente.

Cuestión similar para prevenir cualquier otro tipo de acto de vandalismo practicado contra instalaciones y bienes de la Comunidad de Propietarios. Esto es, tomar las medidas previas anteriormente enumeradas, en resumen: aprobarlo la Junta de Propietarios y determinar los fines, todo ello con apoyo documental.

Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión ("derecho al olvido"), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones individuales automatizadas (incluyendo la elaboración de perfiles).

Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

Si la entidad tiene nombrado un DPD, también se pueden ejercer ante el DPD (de hecho, lo más adecuado es que se ejerzan ante el DPD; motivo por el cual se hacen públicos los datos de contacto de éste).

Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud.

Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.

Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

Tanto la información que se facilite en virtud de los artículos 13 y 14 del RPGD (derecho de información) como toda comunicación en virtud de los artículos 15 a 22 (derechos de los afectados) y 34 (comunicación de brechas de seguridad) serán a título gratuito.

No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

• a. cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.
• b. negarse a actuar respecto de la solicitud.

En el caso del derecho de acceso, se podrá considerar repetitivo su ejercicio cuando se produzca en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.

En todo caso, el responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.

Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:

• a. los fines del tratamiento;
• b. las categorías de datos personales de que se trate;
• c. los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
• d. de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
• e. la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
• f. el derecho a presentar una reclamación ante una autoridad de control;
• g. cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
• h. la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
• i. cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

Además, el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, sin afectar negativamente a los derechos y libertades de otros.

Por otra parte, el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.

Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

Mediante el ejercicio de este derecho, el afectado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Es el derecho del afectado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

• a. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
• b. el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
• c. el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
• d. los datos personales hayan sido tratados ilícitamente;
• e. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
• f. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Asimismo, cuando se hayan hecho públicos los datos personales y conforme a los supuestos descritos anteriormente proceda la supresión, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

No obstante lo anterior, no se aplicará la supresión cuando el tratamiento sea necesario:

• a. para ejercer el derecho a la libertad de expresión e información;
• b. para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
• c. por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
• d. con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento,
• e. para la formulación, el ejercicio o la defensa de reclamaciones.

Este derecho se configura en una doble vertiente. En primer lugar, cuando se ejercitan los derechos de rectificación u oposición, supone una "suspensión cautelar del tratamiento de los datos". De esta forma, si el afectado ha impugnado la exactitud de los datos, durante el plazo que permita al responsable verificar la exactitud de los mismos, se limita el tratamiento de dichos datos. Igualmente se produce esta limitación, cuando el interesado se haya opuesto en virtud del artículo 21.1 del RGPD, mientras se verifican si los motivos legítimos del responsable prevalecen sobre los del afectado.

En segundo lugar, este derecho de limitación se aplicará en los siguientes supuestos:

• Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
• Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el afectado los necesite para la formulación, el ejercicio o defensa de reclamaciones.

Es el derecho del afectado a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

En este sentido, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

No obstante, este derecho se aplicará cuando:

• a. el tratamiento esté basado en el consentimiento o en la ejecución de un contrato.
• b. el tratamiento se efectúe por medios automatizados.

Este derecho incluye los datos facilitados por el afectado cuando han sido «facilitados por» el afectado de manera consciente y activa, por ejemplo, datos de una cuenta (como dirección postal, nombre de usuario, edad) enviados a través de formularios en línea, pero también cuando se generan y recopilan a partir de actividades de los usuarios, mediante el uso del servicio o del dispositivo.

Por el contrario, los datos personales que se obtienen o deducen de los datos facilitados por el afectado, como un perfil de usuario creado por el análisis de datos en bruto por un sistema de medición inteligente, quedan excluidos del ámbito de aplicación del derecho a la portabilidad de los datos, ya que no han sido facilitados por el interesado, sino creados por el responsable del tratamiento.

Asimismo, el ejercicio de este nuevo derecho no debería afectar negativamente a los derechos y libertades de terceros. Por ejemplo, si el conjunto de datos transferido a petición del interesado contiene datos personales relativos a otras personas, el nuevo responsable del tratamiento debe tratarlos únicamente si existe un fundamento jurídico adecuado para ello. Normalmente, el tratamiento de datos bajo el control único del afectado, como parte de actividades puramente personales o domésticas, se considerará adecuado.

El 28 de junio de 2.023 se publicó en el B.O.E. por parte de la AEPD la Circular 1/2023, sobre el derecho de los usuarios a no recibir llamadas no solicitadas, fijando los criterios de aplicación en relación con el art. 66.1.b) de la Ley 11/2022 General de Telecomunicaciones.

Este artículo es aplicable desde el 29 de junio y recoge el derecho de los usuarios a no recibir llamadas con fines de comunicación comercial no solicitadas, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones o que puedan estar amparadas en otra base de legitimación tal y como recoge el RGPD, por lo que no limita exclusivamente la realización de llamadas con fines de comunicación comercial al consentimiento.

A partir del 29 de junio de 2023, los usuarios podrán recibir llamadas comerciales si han dado previamente su consentimiento o si la empresa que realiza las llamadas puede justificar que su interés legítimo prevalece sobre el derecho de los usuarios a no recibirlas y estos no han ejercido su derecho a oposición.

La Circular indica que para que la empresa pueda justificar su interés legítimo, el usuario debe haber tenido una relación previa con ella habiendo adquirido sus productos o servicios y, además, los productos ofrecidos por la empresa deben ser similares a los que se hubieran contratado con anterioridad. Esta posibilidad solo se refiere a las llamadas de la misma empresa con la que se hubiera tenido relación y no a otras entidades, aunque pertenezcan a su mismo grupo empresarial. Además, si la relación contractual ya no está en vigor y el usuario no ha realizado ninguna otra solicitud o interacción con la empresa durante el último año, no podrá realizar las llamadas.

En cuanto a las llamadas comerciales realizadas a números generados de forma aleatoria, solo podrán realizarse con el consentimiento previo del usuario.

En este caso, dado que prevalece el derecho de los usuarios, la empresa no podrá realizar llamadas amparándose en un interés legítimo.

A continuación, indico los puntos más relevantes de la Circular:

• El consentimiento expreso deberá prestarse de acuerdo al RGPD y la LOPD GDD.
• Interés legítimo del responsable. Se mantiene la obligación de realizar, con carácter previo al inicio del tratamiento y atendiendo a las distintas categorías de afectados, la correspondiente ponderación de los derechos e intereses en conflicto.
• Garantías adicionales. El art. 6 LGT introduce garantías adicionales para el adecuado cumplimiento de los principios de lealtad y transparencia, así como el principio de responsabilidad proactivas contemplados en el art. 5 del RGPD.

La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.

En cuanto a los requisitos, descargar los siguientes anexos:

En primer lugar, la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.

Además, no se podrá captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que:

• Resulte imprescindible para la finalidad que se pretende.
• Resulte imposible evitarlo por razón de la ubicación de las cámaras.

En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos.

Por otra parte, el tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que en primer lugar, hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.

Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:

• Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.
• Mantener a disposición de los afectados el resto de información referida en el artículo 13.

También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo.

Por otra parte, lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del RGPD y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones. Por tanto, la implementación de las medidas de seguridad cuando se lleve a cabo un tratamiento de datos mediante el uso de la videovigilancia dependerá del análisis de riesgo llevado a cabo previamente.

No obstante, cuándo se trate de tratamientos de videovigilancia que entrañen un escaso riesgo, como podría ser el caso de uso en comunidades de propietarios o pequeños establecimientos, puede utilizarse la herramienta de la AEPD denominada FACILITA_RGPD.

Por otra parte, si se encarga a un tercero la gestión de las cámaras, estaremos ante la figura del encargado del tratamiento, quién deberá cumplir los requisitos que regula el artículo 28 del RGPD.

La información se completa con los anexos 3, 4 y 5 que pueden ser descargados a continuación:

La captación y grabación de imágenes de la vía pública con fines de seguridad es una función reservada a las Fuerzas y Cuerpos de Seguridad. Únicamente se permitirá la grabación de aquel espacio de la vía pública que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras.

En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

El principio de minimización del artículo 5 del RGPD requiere que los datos personales tratados sean adecuados, pertinentes y limitados en relación con los fines para los que son tratados.

Así, en el ámbito de la videovigilancia, este principio supone:

• Que el número de cámaras se limite a las necesarias para cumplir la función de vigilancia.
• Que el responsable analice también los requisitos técnicos de las cámaras, ya que el zoom o las denominadas "cámaras domo" pueden afectar y limitar al citado principio de minimización.

Asimismo, los monitores de grabación deben situarse de forma que, en la medida de lo posible, únicamente puedan ser visualizados por aquellos cuya función sea controlar los equipos que realizan las grabaciones, y no estar expuestos al público.

Para más información descargue los siguientes anexos:

En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma.

Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho de información, a los que nos hemos referido anteriormente.

Al tratarse de cámaras simuladas, no captarían imágenes de personas físicas identificadas o identificables, por lo que, al no quedar acreditada la existencia de un tratamiento de datos personales, la cuestión se encuentra al margen de la normativa de protección de datos.

Según la Ley de Propiedad Horizontal será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.

Asimismo, las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.

Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

Para más información descargue los siguientes anexos:

Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en el acta correspondiente.

Por lo demás, y en líneas generales, la instalación de una cámara en una plaza de garaje está sometida a la normativa de protección de datos y, por lo tanto, tiene que cumplir con lo mismo que los sistemas de videovigilancia de las comunidades de propietarios.

Para más información descargue los siguientes anexos:

Estamos ante un caso muy frecuente, la solicitud de documentos por parte de un comunero.

Hay que tener en cuenta que el art. 5.1.f) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, establece que los datos deberán ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

Por lo que la comunicación de datos deberá limitarse a aquellos que, en cada caso, resulten “adecuados, pertinentes y limitados” para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al buen gobierno de la comunidad y a su control, por tanto no se permite un acceso generalizado a la documentación de la comunidad de propietarios.

Si bien es cierto que el derecho a la protección de los datos personales no es absoluto (Considerando 4 del RGPD), como todo derecho fundamental, el TC ha establecido en numerosas Sentencias la necesidad de sometimiento al principio de proporcionalidad cuando entre en colisión con otro principio, el de información como es el caso.

Siendo el Administrador de Fincas aquel sobre el que recae la custodia de los documentos de la Comunidad, sólo podrá entregar copia de los mismos, por imperativo legal, al Presidente de la Comunidad.

Entregar una copia de una gran cantidad de información a un comunero parece abiertamente contrario al principio de proporcionalidad antes indicado y a la normativa de protección de datos.

Si, como es el caso, los datos son solicitados por un comunero, podrá éste consultar los documentos en las oficinas del Administrador de Fincas.

En todo caso, para entregar cualquier tipo de documento que el Administrador de Fincas tenga bajo su custodia, deberá contar con la firma de un documento de Declaración Responsable en el que se indique claramente la finalidad para la que se van a usar los datos y la asunción responsabilidad para el caso de pérdida o mal uso de los datos entregados.

Para mayor abundamiento, en el documento publicado por la AEPD en su página web bajo el epígrafe “¿Puede tener acceso un propietario a los gastos de su comunidad?”, dentro del apartado de “preguntas frecuentes”, en el punto “9. Comunidades de Propietarios”, se nos dice:

“Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.

(...) En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá examinarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.

Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.”

La sentencia de la Audiencia de Granada 155/2007, de 20-4, dice que:

• Los órganos de la comunidad son los encargados de velar por los intereses generales de ésta.
• El comunero no tiene las funciones de un auditor (Tribunal Supremo, sentencia de 28-2-2005).
• El derecho del comunero a tener información de la documentación comunitaria no consiste en ver lo que quiera sin fines concretos. Los propietarios sólo tienen derecho a examinar la documentación en el lugar donde esté a su disposición y a obtener copia según las circunstancias.

La sentencia de la Audiencia de Tenerife de 13-5-2000 dice que la petición de información de los propietarios debe estar relacionada con la intervención y el voto en una junta. Es decir: tienen derecho a estar informados de lo que se va a tratar en ella.

La sentencia de la Audiencia de Madrid de 17-11-2003 justifica los límites del derecho de información del comunero en que éste no puede sustituir a la junta de la comunidad. El control y la fiscalización del administrador deben ejercerlos la junta y el presidente, incluso a petición de un propietario, pero no éste.

La sentencia 472/2013 de la Audiencia de Las Palmas, Sección 3a, reconoce el derecho de información de los comuneros como medio para conocer el funcionamiento de la comunidad y ejercer mecanismos de control. Sin embargo no existe un derecho abstracto de información sino en función de finalidades concretas: votar en la junta o impugnar acuerdos. No hay un derecho de información autónomo del comunero para fiscalizar las cuentas de su comunidad ni un genérico derecho de consulta de la documentación contable.

En ningún caso se pueden poner listados de morosos, y menos en un tablón de anuncios que puede ser visto por cualquier persona.

En el caso concreto de expedientes de morosidad que están judicializados para cumplir el trámite de comunicación previa en los casos en los que deviene imposible poder notificar al interesado se podría utilizar el tablón de anuncios siempre que éste no esté en un lugar de paso de personas ajenas a la comunidad de propietarios y durante el mínimo tiempo posible.

En este caso, hay que tener presente que no se debe poner en el tablón de anuncios si existe una alternativa menos lesiva para los derechos de los interesados; una de esas alternativas puede ser mandarles un sms o un email certificado a través de una de las distintas entidades que tienen ese servicio.

Con la contratación de uno de los tres servicios que ofrece fincatech, protección de datos, CAE o certificados digitales, tienes la posibilidad de enviar emails y sms certificados de manera gratuita.

El Presidente de la comunidad de propietarios tiene la posibilidad de conocer todo lo que ocurre en la comunidad y tiene acceso, como así lo determina la ley, a toda la información que precise.

Aun así, no estaría de más que firmase una Declaración Responsable de retirada de documentación en los casos en los que consideremos que la documentación que se le entrega es especialmente sensible desde el punto de vista de la protección de datos.

El resto de comuneros, vicepresidente incluido, está sometido a las normas generales sobre entrega de documentación comentada en la pregunta correspondiente.

Aquí hay que tener en cuenta una serie de cuestiones:

• a) El Censor de Cuentas se supone que es un profesional sujeto a secreto profesional en sus actuaciones.
• b) Los contratos de la comunidad estarán suscritos con entidades mercantiles o con profesionales individuales prestadores de servicios, ninguno de los cuales, en el ejercicio de sus profesiones, está sujeto a la normativa de protección de datos.

Así pues, sí, se les puede entregar los contratos de la comunidad de propietarios a un censor de cuentas, firmando, eso sí, con anterioridad a la entrega un documento, que puede ser, por ejemplo, una declaración responsable.

No, en ningún caso.

Y en el caso de que se autorice la grabación de la junta de propietarios por todos los asistentes, dicha grabación no se puede usar más que para la finalidad para la que ha sido tomada: redactar el acta.

No, en ningún caso. Los sistemas de videovigilancia deben instalarse siguiendo la normativa de protección de datos (Cfr. la ficha para la instalación de sistema de videovigilancia en las comunidades de propietarios, entre otros documentos).

Un vecino no puede grabar por su cuenta a quien quiera para poder usarlo en su contra si no se cumplen con las garantías con las que debe cumplir la instalación de un sistema de videovigilancia.

Las expresadas en la ficha de videovigilancia en comunidades de propietarios editada por la AEPD y las que aparecen en la guía para Administradores de Fincas.

Para más información descargue los siguientes anexos:

Los aprobados por la AEPD. Aunque es suficiente con colocar un cartel en cada una de las entradas de acceso a la comunidad, es recomendable instalar también un cartel bajo cada una de las cámaras.

Mediante la firma de contratos de cesión de datos entre los distintos administradores se puede resolver jurídicamente la entrega de documentación común entre ellos (Cfr. Anexo 2).

Resuelto ese tema, no hay problema en que compartan información.

Evidentemente se le puede entregar documentación sobre la cuota que paga y si existe algún acuerdo prohibiendo las viviendas vacacionales, siempre y cuando, con anterioridad a la entrega de la documentación, firmen una declaración responsable o documento jurídico similar.

Lo que, en ningún caso, se les puede entregar es información sobre las deudas de los propietarios.

Todas las entidades, Comunidades de Propietarios y Administradores de Fincas incluidos, están obligados a cumplir con el Reglamento General de Protección de Datos. Y, evidentemente cumplir con esa obligación tiene un coste económico tanto para el Administrador de Fincas como para las Comunidades de Propietarios. De hecho, la mejor forma de demostrar una Comunidad de Propietarios que se ha preocupado por cumplir con la normativa de protección de datos es, precisamente, la factura de dichos servicios.

1. Ocurre, además, que la nueva normativa de protección de datos establece que no basta con implantar la normativa sino que hay que mantenerla actualizada permanentemente; por aplicación del principio de responsabilidad proactiva: el Responsable y el Encargado del Tratamiento tiene que cumplir la normativa y, además, poder demostrarlo.
2. En la Guía de Administradores de Fincas publicada por la Agencia Española de Protección de Datos se dice en el apartado 5 que: “Las principales obligaciones establecidas por la normativa de protección de datos recaen sobre el responsable del tratamiento, si bien los administradores de fincas, tanto en el ámbito de su función de asesoramiento y representación de las comunidades de propietarios, como actuando como encargados del tratamiento, deberán facilitar su cumplimiento y participar del mismo.” Esto es, tanto el Responsable del Tratamiento, la Comunidad de Propietarios, como el Encargado del Tratamiento, el Administrador de Fincas, deben facilitar y participar en el cumplimiento de la normativa de protección de datos.
3. A su vez, el art. 32.1. del RGPD establece que: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. Esto es, tanto el Responsable del Tratamiento, la Comunidad de Propietarios, como el Encargado del Tratamiento, el Administrador de Fincas, están obligados a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que, en último término, proteja los derechos y libertades de los interesados.
4. Una vez acreditado que tanto el responsable del tratamiento, la Comunidad de Propietarios, como quien por encargo de esta se ocupa de la gestión de los asuntos ordinarios, el Administrador de Fincas, están obligados a cumplir con el RGPD; se plantea la cuestión de cómo, de qué forma, se puede cumplir con la ley con las mejores garantías. Pues bien, tal y como establece la guía para responsables del tratamiento (Comunidades de Propietarios incluidas) la mejor forma de cumplir con el principio de responsabilidad proactiva es nombrando un Delegado de Protección de Datos.
5. Ahora bien, como, de facto, quien realiza los tratamientos no es la Comunidad de Propietarios, sino el Administrador de Fincas, quien ha de nombrar al Delegado de Protección de Datos es el Administrador de Fincas; y lo hace para poder tratar los datos de cada una de las Comunidades de Propietarios a las que presta servicio dado que cada tratamiento deber ser independiente e individualizado.

Así pues,

• El Responsable del Tratamiento es la Comunidad de Propietarios.
• El Encargado del Tratamiento es el Administrador de Fincas.
• Obligación de cumplir con la Ley la tienen tanto el Responsable del Tratamiento como el Encargado del Tratamiento.
• La aplicación de la normativa de protección de datos no es un acto puntual, sino que por aplicación del principio de responsabilidad proactiva, se ha de extender en el tiempo: mientras haya tratamiento de datos de carácter personal se debe cumplir con la normativa.
• La mejor forma de cumplir con la Ley es nombrar un Delegado de Protección de Datos.

En resumen:

1. La nueva normativa de protección de datos obliga a aplicar el principio de responsabilidad proactiva cuando tratamos datos personales (arts. 5.2 y 24 RGPD).

2. Eso obliga a implantar la protección de datos y actualizarla de forma constante y, además, poder demostrar que lo hacemos.

3. Por esto tenemos que tener una factura de protección de datos todos los años para poder hacer ver que estamos manteniendo la protección de datos actualizada en el tiempo.

Para cumplir con la normativa de protección de datos un grupo de WathsApp para comuneros debe reunir las siguientes condiciones:

Primero. Su puesta en marcha lo debe aprobar la Junta de Propietarios en base a una finalidad justificada.

Segundo. Cada persona que forme parte del grupo ha de contar con una base de legitimación de las enumeradas en el art. 6 RGPD; que, en este caso, no puede ser otra que la de firmar un consentimiento expreso, informado e inequívoco, en caso de los Sres. Comuneros y una Declaración Responsable en caso de trabajadores de la entidad que presta los servicios de seguridad. Si una persona no consiente, no se pueden incluir sus datos en el grupo. Y todos los miembros del grupo que hayan consentido pueden retirar el consentimiento en el momento que quieran.

Tercero. Las intervenciones en el grupo se han de limitar a la finalidad para la que ha sido creado, de forma que no se pueden usar los datos de contacto de ningún integrante del grupo para un fin distinto.

Cuarto. En todo caso, y como norma general, si se pueden obtener los objetivos que se persiguen sin tener que usar un grupo de WhatsApp, pues mejor.

Lo de dejar en manos de terceras personas, como pueden ser los socorristas de una piscina, con todos mis respetos a los mismos, un listado de propietarios de una comunidad de propietarios supone, a mi modo de ver, un riesgo que deberíamos intentar evitar.

Esta cuestión se está solucionando de muchas maneras; una de ellas es la de entregar a cada propietario una pulsera u objeto similar que permita su acceso. El propietario que tiene esa pulsera u objeto entra y el que no, pues no entra.

Lo que te digo es que intentemos conseguir el objetivo perseguido minimizando los riesgos de protección de datos; esto es, usando cuanto menos datos, mejor.

En todo caso, si tenemos que entregar a una persona datos personales de los comuneros es importante que:

1. Sean los menos datos posibles (principio de minimización de datos).
2. Tengamos el consentimiento de los propietarios para hacerlo.
3. Previamente nos haya firmado la persona que reciba los datos un documento de Declaración Responsable en el cual se hace responsable del cuidado y mantenimiento de los datos entregados.

Como norma habitual, a un nuevo administrador se le tiene que entregar toda la información que le pueda ser útil para la gestión de la comunidad de propietarios.

En todo caso sí es conveniente tener un modelo específico para cambio de administrador para tener constancia firmada de la retirada de la documentación por parte del administrador entrante.

Respecto a la protección de datos, puede servir como base el documento de declaración responsable.

Listados de morosos, lo que se dice listados de morosos, no se pueden publicar de ninguna forma. Ni limitando el tema a la dirección del inmueble ni de ninguna otra forma.

Otra cosa es la comunicación previa a la vía judicial en caso de haber sido imposible contactar con el propietario, necesaria para comenzar la tramitación judicial del asunto. En este caso se pude usar el tablón de anuncios de la comunidad como una especie de tablón edictal durante el tiempo mínimo posible y siempre y cuando dicho tablón esté situado de forma que sólo puedan verlo los vecinos de la CP. Dicho esto, se han de tomar todas las precauciones posibles, de hecho lo más adecuado es intentar la notificación directa por cualquier otro medio (así, en la actualidad los Juzgados y Tribunales aceptan la comunicación certificada vía email o vía SMS, por ejemplo y existen entidades especializadas que pueden certificar dichos envíos hasta con actas notariales).

Se trata de un tema complejo, pero hay dos opciones:

1. Mandar el Burofax al Sr. Propietario del inmueble, del cual tenemos los datos, y dejar bajo su responsabilidad la gestión del incidente. Al fin y al cabo es él el responsable del inmueble ante la Administración de Fincas y ante la Comunidad de Propietarios.
2. Considerar que para la adecuada gestión de la CP el Administrador de Fincas considera ineludible ponerse en contacto con el arrendatario del inmueble, el Sr. Inquilino, poseedor de facto del mismo. En este caso lo podríamos legitimar en base al art. 6.1.f) del RGPD que establece que se puede efectuar un tratamiento de datos cuando existe un "interés legítimo" del Responsable del Tratamiento (la Comunidad de Propietarios), siempre y cuando no se conculquen los Derechos y Libertades de los interesados. En ese caso concreto más que conculcar los derechos de protección de datos lo que se hace es poner en su consentimiento que va a ser denunciado para, así, poder evitar tener que responder ante la justicia. Y poniendo en contraposición el derecho a la protección de datos frente al derecho a ser informado, en este caso concreto, parece razonable y proporcionado priorizar el derecho a la información.

Las dos alternativas son válidas.

El derecho a la información de un comunero es un derecho limitado; dado que son los órganos rectores de la CP los que tienen, verdaderamente, la facultad de controlar la gestión de la Comunidad.

Dicho esto, si se trata de una información de una obra concreta y la documentación no contiene datos de carácter personal, se le puede dar traslado de la información.

Si tiene algún dato de carácter personal, se ha de tachar.

Otra opción es que lo consulte en la oficina de la Administración de Fincas.

En todo caso lo contenido en los presupuestos de unas obras serán datos de entidades mercantiles o de profesionales, por lo que, en puridad, no es materia de protección de datos.

Para contestar a esta pregunta, es necesario tener en cuenta lo siguiente:

1. De conformidad con la LPH el Presidente de la C.P. representa a esta y, en principio, debe tener acceso a toda la información de la misma.
2. El Administrador de Fincas es quien debe custodiar la documentación de la C.P. y, en consecuencia, preservarla.
3. Desde el punto de vista estricto de la protección de datos y de conformidad con el art. 5.1.f) RGPD, los datos deben ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

Teniendo en cuenta que el Responsable del Tratamiento, la C.P., nombra a un Encargado del Tratamiento, el Administrador de Fincas, precisamente porque su ejercicio profesional puede hacer más factible que se garantice una seguridad adecuada de los datos personales, dejar en manos de una persona física, aunque sea el Presidente, determinados datos de las personas que conforman la comunidad puede resultar arriesgado, de forma que se pongan en peligro los principios de integridad y confidencialidad de los datos.

En este punto, lo esencial es conocer la finalidad para la cual el Sr. Presidente necesita esos datos, esto es, el para qué. Y el Encargado del Tratamiento, el Administrador de Fincas, debe ponderar si la finalidad pone en riesgo los datos o no.

En todo caso, en caso de conflicto entre el derecho a la información y el de protección de datos, siempre se ha de realizar el denominado juicio de proporcionalidad, que incluye, entre otras cuestiones, verificar si existe otro modo de conseguir los fines de forma menos arriesgada para el tratamiento de los datos.

En este caso concreto existe la posibilidad de que el Sr. Presidente consulte los datos en las oficinas del Administrador de Fincas, por ejemplo, y esta puede ser una alternativa que deviene más adecuada para conservar los datos.

Con independencia de todo lo anterior y en todo caso, el Sr. Presidente debería firmar una declaración responsable (cfr. Anexo 1) indicando para qué quiere los datos y haciéndose responsable de su conservación adecuada y de no usar esos datos para un fin distinto del indicado en la solicitud.

En conclusión: el Presidente tiene derecho, pero no es un derecho absoluto, en tanto que el Administrador de Fincas está obligado a garantizar la integridad y confidencialidad de los datos; por lo que entregar determinados datos al Presidente depende de la valoración concreta sobre los riesgos concretos que se realice.

Las imágenes sólo pueden ser visualizadas por quien haya sido designado por la Comunidad de Propietarios.

Si un vecino ha sufrido un daño en su coche estando el mismo aparcado en el garaje comunitario, puede solicitar que la persona designada para ver las imágenes las revise. Una vez localizado el incidente, se le puede entregar copia de las imágenes al vecino que lo solicita teniendo presente lo indicado en el Informe Jurídico del Gabinete Jurídico de la AEPD sobre “interés legítimo videovigilancia” (Cfr. Anexo 8) que determina que se pueden entregar dichas imágenes siempre y cuando se aplique el principio de minimización de datos (solo se pueden entregar las imágenes referidas al incidente) y la finalidad sea la de reclamar al seguro del vehículo.

Además de esto, el solicitante debe solicitar las imágenes por escrito mediante Declaración Responsable de cumplimiento con la normativa de protección de datos (Cfr. Anexo 1).

En la póliza de seguro de la comunidad no aparecen datos de carácter personal. Se trata de un documento que expresa la relación contractual entre la comunidad y el prestador de servicios de seguros.

En este sentido, si el Administrador considera adecuado que el comunero tenga copia de la misma, desde el punto de vista de la normativa de protección de datos, no habría ningún problema.

En la cesión de datos es muy importante tener en cuenta la finalidad y la legitimidad. En este sentido, y con carácter general, NO debe entregarse una lista con los datos personales del resto de vecinos a un vecino de la comunidad.

Detallamos la respuesta.

Primero. Ateniéndonos al art. 5.1.f) del RGPD, los datos deberán ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

Por lo que la comunicación de datos deberá limitarse a aquellos que, en cada caso, resulten “adecuados, pertinentes y limitados” para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al buen gobierno de la comunidad y a su control. Por lo tanto, y en consecuencia, no se permite un acceso generalizado a los datos de los comuneros a un tercero, aunque se trate de un comunero.

Siendo el Administrador de Fincas aquel sobre el que recae la custodia de los documentos de la Comunidad, sólo podrá entregar copia de los mismos, por imperativo legal, al Presidente de la Comunidad y previa firma, por parte de éste, de Declaración Responsable en la que aparezca que se hace cargo de la custodia de los datos personales que aparezcan en el documento, que sólo podrá tratarlos para la finalidad especificada en la Declaración Responsable y aplicando, en todo momento, el principio de minimización de datos.

Segundo. Si, como es el caso, los datos son solicitados por un comunero, podrá éste consultar el documento en las oficinas del Administrador de Fincas, cuestión esta que parece la más razonable y la que pone en menor medida en riesgo los datos de carácter personal.

Porque cierto es que el derecho a la protección de datos, como todo derecho fundamental, no es un derecho absoluto (Considerando 4 del RGPD) y que dicho derecho puede entrar en colisión con el derecho a la información del comunero.

Ahora bien, conforme a la reiterada jurisprudencia del Tribunal Supremo, en caso de colisión de derechos fundamentales se ha de aplicar el principio de proporcionalidad; y, en este caso, y de conformidad con el Gabinete Jurídico de la AEPD (confer, entre otros, “informe sobre interés legítimo”) la aplicación del principio de proporcionalidad ha de traducirse en el interés legítimo y en la aplicación, a su vez, del principio de minimización de datos.

Existiendo una alternativa, como representa el hecho de que el Sr. Comunero puede consultar la documentación en las oficinas del administrador de fincas, parece ésta la más adecuada a fin de preservar los derechos y libertades de los interesados.

Tercero. Si el Presidente de la Comunidad decide, por iniciativa propia y bajo su responsabilidad (cuestión ésta que no es aconsejable), darle traslado de copia del documento al comunero, deberá, como se ha dicho, con carácter previo, firmar la Declaración Responsable comentada.

Así pues, y en conclusión:

Parece abiertamente contrario a la normativa de protección de datos entregar copia de datos de forma generalizada a un comunero.

Por lo que se recomienda, al objeto de preservar los derechos y libertades de los interesados, que el comunero peticionario consulte el documento en las oficinas del Administrador de Fincas.

No. No es posible dar ningún dato de carácter personal a un tercero si no se tiene una base legítima para hacerlo.

El camino inverso sí que es posible; esto es, podemos pedirle al comunero el consentimiento para darle su número al Sr. Presidente e indicarle que quiere hablar con él.

El teléfono del Presidente de la Comunidad de Propietarios es un dato personal, que no se puede compartir con nadie sin su consentimiento previo, expreso e inequívoco.

Precisamente dentro de las funciones del Administrador de Fincas está atender las demandas de los comuneros; será a éste a quien se tenga que llamar.

En este sentido es muy claro el art. 32 RGPD, que establece lo siguiente:

"Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (...)".

Esto es, debemos establecer medidas de seguridad para evitar los riesgos de exposición de datos personales; como el teléfono del Presidente es un dato de carácter personal, debemos tomar medidas técnicas y organizativas para evitar exponerlo a un mal uso, y entre ellas se encuentra no darlo a un tercero sin su consentimiento.

Con carácter general SÍ, dado que el Sr. Presidente está legitimado por Ley para conocer cualquier dato que se relacione con la gestión de la comunidad, aunque no es aconsejable exponer los datos a riesgos innecesarios.

En este sentido a la hora de ceder datos hemos de tener en cuenta no sólo la legitimidad sino también la finalidad; esto es, para qué quiere esos datos; dado que si es para realizar una gestión ordinaria, corresponde al Administrador realizarla.

Por lo tanto sí que el Sr. Presidente tiene derecho a conocer esos datos, aunque es más conveniente que la gestión que se pretenda hacer con ellos la haga el Administrador, evitando, con ello, riesgos innecesarios. Por eso es conveniente que el Sr. Presidente firme una solicitud por escrito en forma de declaración responsable (Cfr. Anexo 1).

Ampliamos la respuesta.

Primero. La normativa de protección de datos es de obligado cumplimiento tanto por la Comunidad de Propietarios como por el Administrador de Fincas; por lo que ambos han de velar por la protección de datos de carácter personal de los interesados, que, en este caso, son los comuneros.

Segundo. Conforme al art. 32 RGPD es necesario tomar las medidas técnicas y organizativas necesarias para adecuar la seguridad al riesgo; esto es, hemos de evitar, en lo posible, poner en riesgo los datos personales.

Tercero. La mejor forma de evitar dichos riesgos es utilizar los canales que tenga el Administrador de Fincas para trasladar lo que desee el Sr. Presidente de la Comunidad de Propietarios a los comuneros. Y que sea el propio Administrador de Fincas quien lo haga, evitando un trasiego innecesario de datos personales y reduciendo notablemente con ello los riesgos de vulneración de los Derechos y Libertades de los interesados.

Por todo ello, lo que resulta de mayor conformidad con la normativa de protección de datos es que el Sr. Presidente traslade al Administrador/a lo que quiera transmitir a los vecinos y sea éste último quien lo haga.

La propia Ley confiere al Sr. Presidente el acceso a todos los datos relacionados con la gestión de la comunidad. Aunque es deseable que le firme al Administrador, que es quien tiene que custodiar los datos, una solicitud en forma de declaración responsable (Cfr. Anexo 1), al objeto de que quede constancia.

En cuanto si se le puede entregar el listado de morosos, específicamente, al censor de cuentas, hay que tener en cuenta una serie de cuestiones:

• a) El Censor de Cuentas se supone que es un profesional sujeto a secreto profesional en sus actuaciones.
• b) En su calidad de censor de cuentas deberá contar con toda la documentación que necesite para desarrollar su labor.

Así pues, sí, se les puede entregar la documentación que necesite un censor de cuentas, incluido un listado de morosos, siempre y cuando esté relacionado con la finalidad de su trabajo como censor de cuentas y firmando, eso sí, con anterioridad a la entrega un documento, que puede ser, por ejemplo, una declaración responsable (Cfr. Anexo 1).

Partiendo del hecho de que la dirección de correo electrónico se considera un dato de carácter personal, se debe enviar SIEMPRE en CCO, con copia oculta; de forma que quien recibe el correo no pueda visualizar los correos electrónicos de los demás.

En el ámbito interno de la entidad, los correos corporativos se pueden considerar de uso exclusivo para temas de la propia entidad y, en consecuencia su uso no debe ser personal, por lo que, de forma habitual podemos poner en CC a los miembros de la organización a los que queramos mantener informados.

En este sentido, la evolución de las TIC y de la normativa de protección de datos ha hecho que el correo electrónico sea considerado un dato de carácter personal y, en consecuencia, deba ser protegido (y la propia AEPD ha sancionado en varias ocasiones a entidades por vulnerar ese principio).

En todo caso, hay que tener en cuenta que la normativa de protección de datos se refiere a un Derecho Fundamental que tiene que ser desarrollado a través de las Sentencias del Tribunal Constitucional y de la Jurisprudencia del Tribunal Supremo. Esto es, no sólo ha evolucionado sino que seguirá evolucionando; por lo tanto debemos estar abiertos a nuevos cambios como consecuencia de la aplicación de la normativa de protección de datos. Y cuando tales cambios se produzcan, como no puede ser de otra forma, los implementaremos.

A resultas de todo lo anterior, insisto, NUNCA se deben mandar correos electrónicos dirigidos a varios comuneros en copia abierta, por tanto, SIEMPRE SE DEBEN ENVIAR EN CCO.

En principio, el uso de las mirillas digitales estaría excluido en la aplicación de la normativa de protección de datos aplicando la excepción doméstica, siempre y cuando su uso se limite a de verificar la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda. Sin embargo, si este tipo de mirillas reproducen y/o graban imágenes, resultará de plena aplicación el RGPD.

Así pues, tenemos dos opciones en función de cómo sea la mirilla digital:

• a) Si la mirilla digital no graba, su uso es el mismo del de una mirilla tradicional, por lo que no está sujeto a la normativa de protección de datos y, en consecuencia, no hay que pedir permiso a la comunidad para poder instalarla.
• b) Si la mirilla digital graba, le es de aplicación la normativa de protección de datos respecto a la videovigilancia en comunidades de propietarios y, en consecuencia: ha de pedirse permiso a la comunidad, se debe colocar un cartel indicativo de que le mirilla le está grabando, se ha de realizar el Registro de Actividades de Tratamiento y, en fin, todas las medidas aplicables en ese sentido.

Con carácter general, y con independencia de la normativa de protección de datos, ningún comunero puede instalar ningún tipo de elemento en las zonas comunes de una comunidad de propietarios sin permiso de la propia comunidad.

Hay que tener en cuenta, por una parte, que la finalidad deber ser la protección de los bienes comunitarios y de las personas, y que no se pueden visualizar las imágenes captadas salvo que se haya producido un incidente.

Por lo demás, se prevé la posibilidad de instalar cámaras en las piscinas de las comunidades propietarios, al ser una zona común, siempre que se adopte de conformidad con lo establecido en la Ley 49/1960, de 21 de julio, sobre propiedad horizontal. También se pueden instalar en piscinas y spas con fines de garantía de calidad sanitaria y de seguridad de las personas.

Tratándose de la captación de imágenes en zonas o elementos comunes de comunidades de propietarios, como puede ser la piscina comunitaria, la adopción de esta medida, requiere el acuerdo de la junta de propietarios en los términos previstos en la Ley de Propiedad Horizontal.

Sería conveniente que el acuerdo reflejara las características del sistema de videovigilancia, número de cámaras y espacios que captan.

Cumplido este requisito, la comunidad de propietarios como responsable del tratamiento, estará sujeta a las restantes obligaciones impuestas por la normativa de protección de datos. Las cámaras sólo podrán captar las zonas comunes de la comunidad, no siendo factible la grabación de imágenes de la vía pública, a excepción de una franja mínima de los accesos al inmueble. Tampoco se podrá realizar la captación de imágenes de terreros y viviendas colindantes o de cualquier otro espacio ajeno. En este último caso, si se usan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar esta grabación.

Por otra parte, deberá prestarse especial consideración a lo siguiente:

• Se instalarán en los distintos accesos a la zona videovigilada y, en lugar visible, uno o varios carteles que informen de que se accede a una zona videovigilada.
• El cartel indicará de forma clara la existencia del tratamiento, la identidad del responsable, la posibilidad de ejercitar los derechos del artículo 15 a 22 del RGPD y una referencia a dónde obtener más información sobre el tratamiento de los datos personales.
• La AEPD dispone de un modelo de cartel. El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.
• En ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria. Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes. Y sólo, además, si se ha producido un incidente.
• Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
• Se pondrá a disposición de los afectados la restante información que exige el artículo 13 del RGPD. La información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.
• La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.

Si las Fuerzas de Seguridad el Estado solicitan por escrito el acceso a las imágenes del sistema de videovigilancia, se les debe hacer entrega de las mismas a la mayor brevedad posible.

Las cámaras tienen por finalidad, conforme a la normativa de protección de datos, proteger los bienes y las personas.

A tener en cuenta lo siguiente:

1. Se han de poner a disposición de las Fuerzas y Cuerpos de Seguridad del Estado a la mayor brevedad posible.
2. Sólo se pueden entregar las imágenes del incidente (principio de minimización de datos).
3. Quien tiene que ver las imágenes y sacar la copia de las mismas es la persona que esté habilitada para ello (o la empresa correspondiente, si es el caso).

1. La exposición pública de listas de morosos constituye una vulneración de la normativa de protección de datos.
2. La normativa de protección de datos es de obligado cumplimiento tanto por parte del Administrador de Fincas como por parte de la Comunidad de Propietarios.
3. Los comuneros pueden tener conocimiento del volumen total de la deuda, decidir sobre la resolución de la misma e instar procedimientos sobre su cobro, pero preservándose, en todo momento, los datos de carácter personal. No se pueden hacer públicos datos personales a través de cualquier sistema que pueda dar lugar a que una persona sea identificada o identificable. Y, como consecuencia de ello, puedan verse vulnerados sus derechos.
4. En todo caso, el derecho a la información sobre la gestión de la Comunidad de Propietarios debe ejercerse de forma compatible con el derecho a la protección de los datos de carácter personal.

Se ha de tener en cuenta lo siguiente:

1. Las grabaciones de Juntas de Propietarios se realizan con la única finalidad de ayudar a la redacción del acta de celebración de la misma, y los datos, de todo tipo, que aparecen en ellas se toman en relación a esa finalidad, y a ninguna otra. Previamente a la grabación, además, se ha de obtener el consentimiento de todas las personas que vayan a ser grabadas.
2. El Administrador ha de custodiar dichas grabaciones tomando las medidas técnicas y organizativas necesarias para preservar su seguridad, sólo puede entregarlas a requerimiento de la autoridad competente, y deben ser eliminadas en el plazo máximo de un mes.
3. Por defecto, se han de proteger los derechos y libertades de los comuneros individuales.
4. Así pues, es contrario a la ley la grabación de una Junta de una Comunidad de Propietarios si no es a los solos efectos de redactar el acta y en las condiciones comentadas.

Los datos contenidos en procedimientos judiciales deben estar sometidos a especial protección por lo que no pueden ser compartidos con personas ajenas a dichos procedimientos.

Se puede dar información, si se estima conveniente, de forma muy generalizada, del tipo: en la actualidad están incoados en sede judicial tal número de procedimientos de reclamación de cantidad que afectan a tal número de propietarios. Y comentar los aspectos generales, porqué se decidió incoar los procedimientos (si es en base a una cantidad mínima de deuda o de tiempo de la deuda) y cuestiones similares.

En ningún caso se deben compartir datos de procedimientos judiciales concretos con personas ajenas a los mismos.

En todo caso, el Sr. Presidente tiene por ley la potestad de conocer todo, pero, como no viene de más, antes de proporcionarle la información, deberá rellenar la solicitud de esos datos conforme al modelo de declaración responsable (cfr. Anexo 1); así, si un tercero sabe del tema por él, no será responsable la Administración de Fincas.

En ningún caso se puede autorizar el visionado de imágenes del sistema de videovigilancia instalado por la Comunidad de Propietarios a través de un teléfono móvil. Dado que la exposición de los datos tratados sería muy grande y no seríamos capaces de poder mitigar el riesgo lo suficiente como para eliminar la posibilidad de que hubiera una fuga de datos.

Los sistemas de videovigilancia se instalan "con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones" (art. 22.1. LOPD GDD) y no pueden ser visionadas las imágenes captadas salvo para denunciar un incidente relacionado con la seguridad de las personas, bienes e instalaciones; además, en ese caso, se ha de aplicar el principio de minimización de datos del art. 5.1.c) RGPD; esto es, sólo se pueden incorporar a la denuncia las imágenes en las que aparece el incidente.

1. La obligación de que consten los nombres de los asistentes es una obligación legal establecida en el art. 19.2.d) de la Ley 49/1960, de 21 de julio, sobre propiedad horizontal, que establece que: "El acta de cada reunión de la Junta de propietarios deberá expresar, al menos, las siguientes circunstancias: (...) d)Relación de todos los asistentes y sus respectivos cargos, así como de los propietarios representados, con indicación, en todo caso, de sus cuotas de participación.
2. En el caso de tratamiento de datos de los comuneros la base de legitimación no es el consentimiento sino la establecida en el art. 6.1.b) RGPD que nos dice que el tratamiento es lícito cuando "el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales".
3. Por otra parte, y de conformidad con el Considerando (4) RGPD: "(...) El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad (...)".

Así pues, y en conclusión, los datos de los asistentes a las Juntas de Propietarios deben aparecer en el acta de las mismas por imperativo legal; es obligación del Administrador de Fincas y de los comuneros cumplir con los principios de protección de datos, el Administrador de Fincas debe custodiar las actas y no remitirlas a un tercero, ajeno a la propia comunidad de propietarios, salvo que de ella se eliminen los datos personales y esté suficientemente justificado.

A pesar de todo lo comentado, si alguien distinto al Administrador solicita copia del acta, sería deseable cambiar el nombre completo de las personas asistentes por sus iniciales junto a la finca de la que son propietarios.

1. El art. 22.5. de la LOPD GDD establece que "al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio."

Esto es, si las imágenes que se captan por el sistema de videovigilancia son exclusivamente del interior del domicilio, no es de aplicación la normativa de protección de datos al tratarse de un uso "familiar y doméstico".

2. Por su parte, en la ficha de videovigilancia que bajo el epígrafe "cámaras para vigilar la vivienda" ha editado y publicado la AEPD (cfr. Anexo 9) se dice: "Las imágenes captadas por las cámaras se limitarán a la vivienda de la que se sea titular. No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos a la vivienda y siempre que resulte imprescindible para su finalidad. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno."

Evidentemente, se trata de un texto tremendamente clarificador respecto a la cuestión que estamos comentando: no podrán captarse imágenes de la vía pública y menos aún de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

Así pues, en el caso que nos ocupa, se ha de comunicar al vecino en cuestión que ha de retirar la cámara que capta imágenes de la propiedad de otro vecino por ser contrario a la normativa de protección de datos.

Respecto al sistema de control de los inquilinos tenemos que ser extremadamente prudentes, y, por encima de cualquier otra cosa, proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el consentimiento expreso de los interesados. Entendiendo éste como una manifestación de voluntad libre, específica, informada e inequívoca.

El consentimiento expreso deberá contener el proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el mínimo de datos posible del interesado, aplicando el principio de minimización de datos, atendiendo a la finalidad pretendida. Asimismo, deberá contener, además de la información de contacto del Responsable del Tratamiento, en este caso, los datos de contacto del Encargado del Tratamiento y, en su caso, de su DPD.

Será absolutamente necesario que se informe de la finalidad del tratamiento (proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el para qué queremos sus datos, y que dicha finalidad sea lícita, leal y transparente; además, dicha finalidad no puede ser genérica, los datos deben ser recogidos con proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines –principio de limitación de la finalidad-), el plazo de conservación de los datos, la posibilidad de ejercer los derechos ante el Responsable o ante la autoridad de control, en este caso la AEPD, y las casillas de consentimiento expreso donde quede reflejada la clara acción afirmativa de los interesados.

Todas estas cuestiones, evidentemente, necesitarían la aprobación de los órganos legítimos de la propia Comunidad de Propietarios.

Será necesario, también, elaborar el proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el Registro de Actividades de Tratamiento específico.

Un modelo de consentimiento expreso que tendrían que firmar los interesados (el arrendatario o inquilino, en este caso) se puede encontrar en el Anexo 10.

Uno de los puntos más importantes a la hora de hacer una gestión adecuada de la protección de datos es la cuestión de cómo hemos de dar la información.

A este respecto, el Considerando (58) RGPD nos dice:

“El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice.”

A su vez el art. 12.1. RGPD, bajo el epígrafe “Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado”, especifica:

“El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.”

Así pues, cuando cualquier interesado/comunero nos solicite alguna información relativa a la protección de datos, se la hemos de trasladar en un lenguaje inteligible, transparente, claro y sencillo.

Hemos de desterrar para siempre los avisos de protección de datos extensos, farragosos e ininteligibles, que parece que lo que buscan es que nadie los lea.

Trasparencia, claridad y sencillez, ese es el camino que el RGPD marca para cumplir adecuadamente con la normativa de protección de datos.

En esta cuestión debemos partir del hecho de que el vínculo jurídico del Administrador de Fincas es con la Comunidad de Propietarios; que, como su propio nombre indica, está formada por los propietarios de los bienes inmuebles que forman parte de la Comunidad.

Con independencia de esa relación jurídica, en muchos casos el Sr. Propietario tiene un contrato de arrendamiento de la vivienda de su propiedad con un inquilino o arrendatario. Dicho contrato vincula a las partes firmantes; esto es, al arrendador y al arrendatario, y en ningún caso supone la sustitución del propietario en su posición en el seno de la Comunidad de Propietarios.

Así pues, en ningún caso podemos entregar los actas, informes, teléfono de un presidente, deudores y otros datos personales a un inquilino o arrendatario.

Siendo mucho lo que se ha escrito sobre este tema, lo cierto es que resulta determinante el documento que el 23 de noviembre de 2023 se ha publicado en la página web de la Agencia Española de Protección de Datos en relación a la puesta a disposición de una nueva guía sobre la utilización de datos biométricos para el control de presencia y acceso.

Se trata de un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que habrá que tener en cuenta para que el tratamiento de datos personales que utilice esta tecnología cumpla con el Reglamento General de Protección de Datos (RGPD).

La Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Según el RGPD, para poder realizar el tratamiento de estas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.

Para el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el art. 9.2 b) del RGPD, el Responsable debe contar con una norma con rango de ley que autorice el específicamente el uso de datos biométricos para dicha finalidad. La Agencia indica que, en el marco de estos tratamientos, el consentimiento expreso no podrá levantar la prohibición o ser una base para determinar la licitud del tratamiento, al existir un desequilibrio entre la persona a la que se somete el tratamiento y quien lo está llevando a cabo.

En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (art. 35. 7 b) RGPD).

La nueva guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de forma similar.

Así pues, la guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos en las que, entre otros aspectos, se acredite la superación del tripe análisis de idoneidad, necesidad y proporcionalidad estricta del tratamiento.

Por último, la Agencia añade un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:

• Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
• Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
• Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
• Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
• Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
• Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
• Implementar la protección de datos desde el diseño.
• Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.

Podréis acceder a la guía a través del siguiente enlace: https://www.aepd.es/documento/guia-control-presencia-biometrico-nov-2023.pdf

Una vez reviséis la nueva guía en todo su contenido, seguramente llegaréis a la conclusión a la que yo he llegado; esto es, que dado el número de requisitos que se deben cumplir para poder implementar un tratamiento que contenga datos biométricos (el de la huella digital, por ejemplo) y la complejidad de los mismos, es desaconsejable contar con este tipo de herramientas por el alto riesgo que puede suponer para los Derechos y Libertades de los interesados y, con ello, el riesgo real de incumplir la normativa actualizada de protección de datos.

Se puede decir que, desde la publicación de la guía mencionada (23 de noviembre de 2023), ha cambiado sustancialmente la percepción de la AEPD sobre este tema.

Sobre la posibilidad de grabar una conversación un propietario en una Junta de Propietarios sin tener permiso para ello, podemos considerar lo siguiente:

Primero. Aunque existía un cierto consenso en la jurisprudencia sobre la validez de estas grabaciones basado en la premisa de que no puede existir secreto para la persona a la que se dirige la conversación, ni se produce una vulneración de la intimidad. Esto se debe a que (conforme a la STS que cito más abajo) cuando una persona comparte voluntariamente una opinión o un secreto con su interlocutor, está renunciando a su privacidad al permitir que terceros conozcan el contenido de la conversación, sin que ello constituya una violación o infracción.

Este principio legal fue respaldado por una sentencia del Tribunal Supremo en 2016 (STS 3585/2016) que estableció lo siguiente: "La presentación al proceso de grabaciones de conversaciones particulares efectuadas por uno de sus protagonistas no infringe el derecho al secreto de las comunicaciones, pues este derecho no puede utilizarse frente a los propios intervinientes en la conversación".

Segundo. Sin embargo, esa STS es de 2016 y el RGPD entra en vigor en 2018, cambiando notablemente el panorama. En este sentido, hay que tener en cuenta que la STC 11/1998 estableció con claridad que la protección de datos es un Derecho autónomo e independiente del Derecho a la intimidad. Recogidos ambos en el art. 18 CE. Y la STS 3585/2016 se refiere al Derecho a la intimidad más que al Derecho a la protección de datos.

Tercero. El RGPD y el Derecho a la protección de datos está sujeto a las decisiones jurisprudenciales que el Tribunal Supremo va tomando, y, hay que tener en cuenta en este sentido, que no ha pasado tiempo suficiente todavía para que se pronuncie sobre muchas cuestiones. No obstante esto, nos puede servir de guía en esta cuestión, al menos por aplicación del principio de analogía, el documento elaborado por el Gabinete Jurídico de la AEPD titulado "informe_juridico_rgpd_grabacion_de_imagenes_y_voz_proporcionalidad" (Cf. Anexo 11); en el que se insiste en la idea de que las grabaciones de voz suponen una medida intrusiva, resulta una medida desproporcionada, y, por lo tanto, atenta contra el Derecho a la protección de datos.

Cuarto. Además, hay que tener en cuenta que cualquier tipo de tratamiento de datos personales, y la voz es un dato personal, se ha de realizar contando con una base de legitimación; en este caso concreto la única a la que podemos apelar es a la legitimación a través del art. 6.1.f) interés legítimo del responsable del tratamiento. Ahora bien, hemos de tener en cuenta que el interés legítimo se puede utilizar como base legitimadora siempre y cuando no atente contra los Derechos y Libertades de la persona.

Quinto. Así pues, sólo cable aplicar el denominado "juicio de proporcionalidad", tal y como establece el Tribunal Supremo. Pues bien, aplicando tal principio y teniendo en cuenta todo lo comentado, conforme a mi leal saber y entender y en lo referente al Derecho a la protección de datos, grabar una conversación sin consentimiento de la persona a la que se graba resulta abiertamente desproporcionado, supone una intrusión y atenta contra la normativa de protección de datos.