El Reglament General de Protecció de dades i les comunitats de propietaris

Juny 2018 – Les comunitats de propietaris són responsables del tractament de dades  i, en cas de tenir administrador de finques, aquest actuarà com encarregat.

Des del passat 25 de maig és aplicable el Reglament General de Protecció de Dades (RGPD), que introdueix nombroses novetats sobre el tractament de dades personals tant en el que es refereix a les obligacions de responsables i encarregats com en els drets dels afectats.

En aquest sentit, els tractaments més comuns solen ser:

  • Propietaris: en el que es tractaran totes les dades relatives dels propietaris en relació amb la gestió de la pròpia comunitat, i atenent al contingut que recull la llei de Propietat Horitzontal.
  • Videovigilància: El seu ús ha de ser autoritzat per la pròpia comunitat seguint les regles que estableix la Llei de Propietat Horitzontal.
  • Treballadors: Si la comunitat té contractat personal per a la realització de feines, com pot ser la porteria.

Quan existeix una relació entre un responsable i un encarregat, el PGPD estableix en el seu article 28 que el tractament que porti a terme l’encarregat s’ha de regir per un contracte o acte jurídic amb un determinat contingut que estableix la llei, per exemple, s’inclourà que tractarà les dades únicament seguint les directrius del responsable o que adoptarà les corresponents mesures de seguretat.

Per tant, un primer efecte de l’aplicació del RGPD és que els contractes signats entre les comunitats de propietaris i els administradors de finques que els hi presten serveis, en relació a la protecció de dades, han d’aparèixer les clàusules que estableix l’article 28.

Aquesta adaptació es pot realitzar de manera progressiva i, en la mida que sigui possible, segons la disposició transitòria de la nova LOPD que s’està tramitant, per als contractes entre responsables i encarregats, s’adaptin en un termini màxim de quatre anys (quan siguin indefinits) o quan es realitzi la primera pròrroga.

Amb el nou RGPD ha desaparegut l’obligació d’inscriure fitxers a l’Agència. No obstant, el que si cal configurar és el denominat Registre d’Activitats de Tractament (per comunitats i per administradors de finques).

Es tracta d’un document intern, que estarà a disposició de l’Agència si aquesta el requerís. En aquesta registre, en el casa de les comunitats, hi figuraran els tractaments que duguin a terme les mateixes, com pot ser els tractaments de propietaris o de videovigilpancia, amb un contingut similar al que anteriorment figuraven en els citats tractaments a efectes de la seva inscripció al registre de l’Agència. Ha d’aparèixer la finalitat del tractament, les categories d’interessats i categories de dades personals, o si existeixen cessions a tercers.

En el cas dels administradors de finques, també hauran de dispoar del seu respectiu registre d’activitats, aquests en relació amb les comunitats de propietaris per a les que prestin els seus serveis.

Existeixen dos aspectes primordials que, atenent a la nova regulació, cal tenir molt clars:

  • El RGPD estableix diferents supòsits que legitimen el tractament de les dades personals: consentiment (que ha de ser mitjançant una acció afirmativa); execució d’un contracte; compliment d’una obligació legal; missió d’interès públic o exercici de poders públics.

En el cas de les comunitats de propietaris, la legitimació per al tractament dels mateixos esdevé d’una obligació legal (Llei de Propietat Horitzontal). Amb l’aplicació del RGPD no s’ha de sol·licitar consentiment dels propietaris per a tractar les seves dades personals, ja que la legitimació prové d’aquest compliment legal.

El mateix succeeix amb l’ús de la videovigilància. Tampoc es tracta d’un supòsit en que operi el consentiment, sinó l’exercici d’una missió d’interès públic, com es garantir la seguretat de persones, bens i instal·lacions.

En el cas de personal contractat per la comunitat, el tractament de les dades tampoc respon al consentiment, sinó a l’execució del contracte.

  • L’article 13 del RGPD ha ampliat el contingut del dret a la informació en la recollida de dades personals, ja que ha de facilitar-se més informació al respecte, com la possibilitat de reclamar davant l’Autoritat de Protecció de dades o el termini de conservació de les dades.

Si en la recollida de dades personals produïda amb anterioritat al RGPD s’hagués donat compliment al dret d’informació de LOPD, no és necessari que ara es torni a informar sobre el contingut que al respecte estableix el Reglament. És a dir, aquest article sobre el dret a la informació en la recollida de dades personals no s’aplica de manera retroactiva.

Si s’haurà de facilitar el nou contingut del dret d’informació d’acord al RGPD, en la recollida de dades personals, a partir del 25 de maig de 2018, que havien estat objecte de tractament fins a aquesta data. També cal actualitzar el cartell de videovigilància i la resta d’informació a facilitar.

Altres qüestions que ha modificat el RGPD és la seguretat, ja que s’ha de fer un anàlisi de riscos dels tractaments i en funció del resultat, adoptar les mesures de seguretat que correspongui. L’Agència ha publicat una guia en relació a aquest tema.

A més, l’Agència ha posat a disposició de les pimes que tractin dades de baix risc una eina que es diu Facilita RGPD amb la finalitat d’ajudar al compliment. Aquesta eina Facilita està pensada per a les pimes, i la documentació està relacionada amb els seus tractament, com clients o proveïdors, aquesta es pot utilitzar per a les comunitats i propietaris, ja que l’eina genera un llistat de mesures de seguretat es puguin adoptar. Entre aquestes es troba la realització de còpies de seguretat, o si s’utilitza un web per gestionar la comunitat de propietaris, entra en la mateixa mitjançant un nom d’usuari i contrasenya.

Per últim, destacar que a les comunitats de propietaris no és obligatòria la designació d’un delegat de protecció de dades.

(Text publicat al web de l’Agència Espanyola de Protecció de Dades – https://www.aepd.es/blog/index.html)