Comunidades de Propietarios y el RGPD

Son ya varios los meses que han transcurrido desde que el pasado día 25 de mayo de 2018 finalizó el periodo de dos años para adaptarnos al Reglamento General de Protección de Datos del Parlamento Europeo y del Consejo, pues, a pesar de que la fecha más sonada en relación con esta nueva normativa fue el 25 de mayo de 2018, la realidad es que entró en vigor dos años antes, el 25 de mayo del año 2016.

A pesar de este periodo de adaptación, parece que el RGPD irrumpió “de pronto” en nuestras vidas el 25 de mayo de 2018, sin que hubiéramos tenido tiempo a prepararnos para ello, sin saber exactamente a que datos y a quienes afectaba, qué cambios debíamos introducir, etc., entre muchas otras dudas.

Dudas éstas que, a pesar de llevar ya más de siete meses siendo totalmente aplicable el RGP en nuestro país, siguen estando a la orden del día, como por ejemplo es el caso de las Comunidades de Propietarios, las cuales es frecuente que se realicen preguntas como ¿debemos de adaptarnos y cumplir con el RGPD? ¿por qué debemos hacerlo si no somos una empresa? ¿debemos designar un delegado de protección de datos? ¿es preciso que realicemos alguna comunicación a la AEPD?

En efecto, las Comunidades de Propietarios deben adaptarse y cumplir con el RGPD ya que, a pesar de que muchos, cuando pensamos en las Comunidades de Propietarios, tengamos en mente a nuestros queridos vecinos con los que compartimos conversaciones banales en el ascensor, o quizás esos vecinos que ya se han convertido en amigos, o incluso nos venga a la memoria la “adorable” Comunidad de Mirador de Montepinar, no debemos olvidar que las Comunidades de Propietarios son en realidad entidades jurídicas, las cuales, además, tratan datos personales de personas físicas, como es el caso de todos los propietarios que la conforman.

Y ¿qué datos personales son los que tratan las Comunidades de Propietarios? Por regla general se suelen tratar aquellos datos propios de los comuneros, como el nombre completo, DNI, dirección de correspondencia, teléfono, correo electrónico y número de cuenta bancaria, pero no existe ninguna limitación legal para que cada Comunidad de Propietarios recabe aquellos datos que desee, siempre debiendo tener presente el principio de “minimización de datos” recogido en el artículo 5.1 c) del Reglamento.  Además es posible que, en función del tipo de Comunidad de Propietarios, también se traten datos relativos a los trabajadores de la misma.

Hay que tener claro que el propio RGPD establece una serie de supuestos en los que es legítimo el tratamiento de los datos personales, en el caso de las Comunidades de Propietarios no es necesario para que exista esta legitimación que el comunero haya prestado su consentimiento expreso, sino que la misma viene marcada por el cumplimiento de una obligación legal. Al igual que en el caso de los trabajadores de la Comunidad dicha legitimación se basa en la ejecución de un contrato.

Pero ¡cuidado! el hecho de que no sea necesario solicitar el consentimiento expreso a comuneros no exime a la Comunidad de otra serie de obligaciones que le vienen marcadas por el Reglamento como es el comunicar a todos los comuneros que dicho tratamiento se está llevando a cabo, o informarles de los derechos que les asisten en relación con el mismo, como el derecho de acceso, supresión, etc.

También es importante identificar las figuras del responsable y del encargado del tratamiento, siendo así que el presidente será el responsable del tratamiento, además del encargado, excepto en el caso de aquellas Comunidades que cuenten con un Administrador de Fincas en cuyo caso, será éste último el encargado del tratamiento, debiendo regularse la relación entre ambas partes mediante un contrato y teniendo en consideración todo aquello estipulado en el artículo 28 del Reglamento.

En cuanto a la obligación de nombrar un delegado de protección de datos la realidad es que en el RGPD no se establece la misma, pero dicho nombramiento puede tener carácter voluntario por lo que, si la Comunidad así lo estipula, no habría inconveniente en que se nombrase un delegado de protección de datos, debiendo ser comunicado dicho nombramiento, eso si, a la Agencia Española de Protección de Datos.

Recordar que con la entrada en vigor del RGPD ha desaparecido la obligación de inscribir los ficheros en la Agencia Española de Protección de Datos, debiendo ser necesario, en determinados supuestos reflejados en el artículo 30 del Reglamento, llevar a cabo un registro de actividades del tratamiento. Este registro debe ser realizado por el responsable del tratamiento y no deberá ser enviado a ninguna autoridad de control si no es solicitado por ella, por lo que si deberá conservarse, siendo recomendable que sea en formato electrónico, aunque nada impide que, si se prefiere, dicho registro se lleve a cabo en papel. Por el tipo de datos que tratan las Comunidades de Propietarios no es obligatorio que lleven a cabo este registro de actividades del tratamiento pero, al igual que sucede con el nombramiento del delegado de protección de datos, si la Comunidad lo considera oportuno, podrán llevar a cabo el citado registro de actividades.

Por último, recordar que en la propia página web de la Agencia Española de Protección de Datos, podemos encontrar un apartado de FAQS en las que se nos ofrecen respuestas a varias de las cuestiones habituales que plantean estas entidades jurídicas.

Cristina López (Abogada/DPD).