(Según el Esquema de la Agencia Española de Protección de Datos)
En este sentido, los tratamientos más comunes suelen ser:
Propietarios: en el que se tratarán todos los datos relativos de los propietarios en relación con la gestión de la propia comunidad, y atendiendo al contenido que recoge la Ley de Propiedad Horizontal
Videovigilancia: cuyo uso debe ser autorizado por la propia comunidad siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal
Trabajadores: en el supuesto de que la comunidad tenga contratado personal para la realización de trabajos, como puede ser la portería
Cuando existe una relación entre un responsable y un encargado, el Reglamento General de Protección de Datos establece en su artículo 28 que el tratamiento que lleve a cabo el encargado se debe regir por un contrato o acto jurídico con un determinado contenido que establece la citada norma.
Por ejemplo, se incluirá que tratará los datos únicamente siguiendo las instrucciones del responsable, o que adoptará las correspondientes medidas de seguridad.
Por tanto, un primer efecto de la aplicación del Reglamento General de Protección de Datos es que en los contratos firmados entre las comunidades de propietarios con los administradores de fincas que les prestan sus servicios, en lo relativo a la protección de datos, deben aparecer las cláusulas que contempla el artículo 28 anteriormente citado.
Esta adaptación se puede realizar de manera progresiva y, en la medida que sea posible, ya que en la nueva Ley Orgánica de Protección de Datos que se está tramitando en las Cortes Generales se ha introducido una disposición transitoria para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.
Por otra parte, con el RGPD ha desaparecido esta obligación de inscribir ficheros en la Agencia. No obstante, lo que sí debe configurarse es el denominado Registro de Actividades de Tratamiento, tanto por parte de las comunidades de propietarios como por parte de los administradores de fincas. Se trata de un documento interno, que no debe ser enviado a la AEPD, pero que estará a disposición de la misma por si se requiriese.
En el Registro de Actividades de Tratamiento figurarán, en el caso de las comunidades, los tratamientos que lleven a cabo las mismas, como pueden ser los tratamientos de “propietarios” o “videovigilancia”, con un contenido muy similar al que anteriormente figuraban en los citados tratamientos a efectos de su inscripción en el registro de la Agencia. De esta forma, deben reflejarse, por ejemplo, los fines del tratamiento, las categorías de interesados y categorías de datos personales, o si existen cesiones a terceros.
En el supuesto de los administradores de fincas, también deberán contar con su respectivo registro de actividades, éstos en relación con las comunidades de propietarios a las que presten sus servicios.
Existen dos aspectos primordiales que atendiendo a la nueva regulación es necesario clarificar:
En primer lugar, el RGPD establece varios supuestos que legitiman el tratamiento de los datos personales: consentimiento (que debe ser mediante una acción afirmativa); ejecución de un contrato; cumplimiento de una obligación legal; misión de interés público o ejercicio de poderes públicos.
En el caso de las comunidades de propietarios, la legitimación para el tratamiento de los mismos no deriva de la existencia de que hayan prestado el consentimiento previo, sino con base en el cumplimiento de una obligación legal (el contenido de la Ley de Propiedad Horizontal). Es decir, con la aplicación del RGPD no hay que solicitar consentimiento de los propietarios para tratar sus datos personales, ya que la legitimación deviene de ese cumplimiento legal que se ha citado anteriormente. Igual ocurrirá con el uso de la videovigilancia. Tampoco se trata de un supuesto en que opere el consentimiento sino el ejercicio de una misión de interés público como es garantizar la seguridad de personas, bienes e instalaciones.
O, en el caso de que existan tratamientos en relación a personal contratado por la comunidad (por ejemplo la portería), el tratamiento de los datos tampoco opera el consentimiento, sino la ejecución de un contrato.
En segundo lugar, el RGPD, en su artículo 13, ha ampliado el contenido del derecho de información en la recogida de los datos personales, ya que debe facilitarse más información al respecto, como la posibilidad de reclamar ante la Autoridad de Protección de Datos o el plazo de conservación de los datos. Si en la recogida de datos personales producida con anterioridad al RGPD se hubiese dado cumplimiento al derecho de información de la LOPD, no es necesario que ahora se vuelva a informar con el contenido que al respecto establece el Reglamento. Es decir, este precepto relativo al derecho de información en la recogida de datos personales no se aplica de forma retroactiva.
Sí deberá facilitarse el nuevo contenido del derecho de información acorde al RGPD, en la recogida de datos personales, a partir del 25 de mayo de 2018, que habían sido objeto de tratamiento hasta la fecha. También debe actualizarse el cartel de videovigilancia y el resto de información a facilitar.
Otra de las cuestiones que ha modificado el RGPD es la seguridad, ya que se parte de la realización inicial de un análisis de riesgos de los tratamientos, y en función de su resultado, adoptar las medidas de seguridad. Para ayudar a realizar este análisis, la Agencia ha publicado esta Guía.
Por último, indicar que en las comunidades de propietarios no es obligatoria la designación de un delegado de protección de datos.