Parece que nunca nos vamos a enfrentar a ello y que todo nos toca de lejos, salvo que nos adentremos en el proceloso mundo empresarial e iniciemos ese deporte de riesgo que es crear una empresa. Esto es así mayoritariamente, pero podemos encontrarnos en el caso de tener la fortuna de ser nombrados Presidente de nuestra Comunidad de Vecinos, y que ésta no esté adecuada a la normativa en materia de protección de datos personales, hipótesis nada desdeñable.
Aunque este problema se suele dejar en manos del Administrador, hay Comunidades de Propietarios pequeñas en las que no existe esta figura, y las cuales por supuesto también tienen la obligación de cumplir la LOPD. Así que tanto para aquellos Presidentes de Comunidad accidentales como para Administradores de Fincas no duchos en esta materia, pasamos a exponer las principales cuestiones que plantea adecuar las Comunidades de Propietarios (en adelante CP) a la Protección de Datos en España.
Como hemos advertido, las CP están obligadas a cumplir con la legislación en materia de Protección de Datos, pues tratan datos personales – como mínimo de los propietarios de las viviendas -, y además pueden contratar con proveedores, prestadores de servicios, incorporar cámaras de videovigilancia, etc. La AEPD ha impuesto no pocas sanciones a CP, precisamente por el desconocimiento general de la normativa, y la asimilación de usos y costumbres que atentan contra la ley pero que están ciertamente arraigados.
Cuando la Comunidad contrata los servicios de un Administrador de Fincas, éste (salvo excepciones) será Encargado de Tratamiento (tercero con acceso a datos) de los datos personales por cuenta del Responsable de Tratamiento, la CP. Esta relación debe figurar en un contrato (con independencia del contrato mercantil de prestación de servicios), que ha de contener las cláusulas establecidas en el artículo 12 de la LOPD. Se trata de un aspecto fundamental y prioritario a la hora de conseguir una correcta adecuación a la Ley, y sobre todo para delimitar responsabilidades y evitar posibles sanciones por actuaciones de terceros.
Una vez aclarados estos dos puntos, vamos a señalar las principales controversias que se plantean en la práctica, y las soluciones legales a las mismas:
Utilización de los datos personales de la CP para actividades de prospección comercial de empresas que trabajan principalmente con comunidades de propietarios.
Aquí se estarían tratando los datos personales de los propietarios con una finalidad distinta para la que fueron recabados, y comunicándose a terceros dichos datos, por lo que en ambos casos se requeriría el consentimiento de los afectados, que de no producirse podría constituir una infracción muy grave, sancionada hasta con 600.000 €. En principio la multa recaería sobre la CP, como Responsable del Tratamiento, pero si se cuenta con los servicios de un Administrador de fincas, y está firmado el preceptivo contrato de acceso de datos por cuenta de terceros citado anteriormente, la responsabilidad podría afectar a dicho Administrador si queda acreditada la existencia de un incumplimiento del contrato en el tratamiento y utilización de los datos, resultando la CP eximida de tal responsabilidad.
Publicación de datos de propietarios morosos en el tablón anuncios de la comunidad.
Es éste un supuesto bastante habitual sobre el que se ha pronunciado la AEPD en varias ocasiones. Siempre que se produzca esa publicación, habría una comunicación de datos personales, esto es, una revelación a persona distinta del interesado, la cual requiere el consentimiento del afectado, si bien será posible la cesión no consentida de los datos en caso de que la misma se encuentre fundamentada en lo establecido por una norma con rango de Ley (artículo 11.2.a LOPD).
Así lo manifiesta la Agencia en su Informe Jurídico 0548/2009, que entiende que este supuesto se encuentra amparado por la Ley de Propiedad Horizontal, que en su artículo 16.2 establece que la convocatoria de la Junta de Propietarios “contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2”, lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos.
Además, el artículo 9.1 h) señala la obligación de los propietarios de comunicar “el domicilio en España a efectos de citaciones y notificaciones de toda índole relacionadas con la comunidad (…) Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto”.
En consecuencia, siempre que la publicación obedezca al hecho de que la convocatoria de la Junta no haya podido ser notificada a alguno de los propietarios en su domicilio, la cesión que implica la publicación de la convocatoria en el tablón de anuncios se encontrará amparada por el artículo 11.2.a) de la LOPD.
Cesión de datos a vecinos por la Comunidad de propietarios para el control de gestión de las cuentas
La AEPD sigue el criterio indicado en el apartado anterior, y en su Informe 2009/0333 afirma que estaríamos ante otro caso de cesión de datos sin el consentimiento del interesado pero amparado por la Ley, y por tanto que excepciona la prestación del consentimiento, de acuerdo al artículo 11.2.a) de la LOPD. En esta ocasión, el precepto legal es el artículo 20 de la citada LPH, que enumera entre las obligaciones del Administrador las de “actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad”. Por tanto, la Ley establece que la documentación de la comunidad estará “a disposición” de los titulares, siendo lícita la transmisión de los datos cuando la finalidad que justifique la comunicación de dicha documentación a los propietarios solicitantes se encuentre amparada por la Ley de Propiedad Horizontal.
En definitiva, las obligaciones que impone la LOPD y su Reglamento son de plena aplicación para las CP, que tienen la necesidad de adaptarse a las mismas de forma imperiosa, pues por la naturaleza de la actividad que desarrollan se encuentran expuestas permanentemente a situaciones de riesgo que pueden dar lugar a gravosas sanciones, que con una correcta adecuación a la Ley y la asunción de una serie de pautas disminuirían considerablemente.
Javier Villegas Flores
Departamento Legal áudea
Seguridad de la Información
www.audea.com