Hemos elaborado este documento, con la ley en la mano y con motivo de intentar, ante el gran desconocimiento existente, aclarar las enormes dudas existentes en el sector.
Administradores de Fincas, Encargados de tratamiento de los datos (art.12 LOPD)
La comunidad de propietarios tiene la condición de responsable de los ficheros creados para la adecuada gestión y funcionamiento de un inmueble objeto de división horizontal y el administrador un mero usuario del fichero, en virtud de su condición de órgano de gobierno de la Comunidad, así lo dispone la Agencia de Protección de Datos.
Aunque la actuación desempeñada por el administrador como responsable de la oficina donde se ubica el fichero se somete al régimen contenido en el artículo 12 de la Ley Orgánica 15/1999 (LOPD).
El administrador debe acatar las órdenes que la comunidad le haya atribuido, en concreto las actividades que se desprenden del artículo 13 y 14 Ley de Propiedad Horizontal (LPH) como órgano de gobierno, y funciones de gestión y custodia de los artículos 19.4 y 20 LPH y el administrador podrá ceder datos al presidente de la comunidad de aquellos propietarios contenidos en los ficheros que custodia como encargado del tratamiento.
Ahora bien, si el administrador realiza una cesión de datos a terceros como abogados, procuradores, proveedores de servicios no quedaría amparado por el art. 11.2 a) LOPD (“cesión sin consentimiento fundamentada en lo establecido por una norma con rango de Ley”) sino es necesaria para el funcionamiento de la comunidad y no está justificado su tratamiento, salvo que conste por escrito el consentimiento de la comunidad.
A mayor profundidad el Administrador/a como sujeto del art. 3 g) de la LOPD y como depositario de los ficheros de la comunidad de propietarios está sometido al régimen del art. 12 LOPD con las siguientes obligaciones:
Art. 12 LOPD:
a) Realización de Contrato de tratamiento de datos con cada comunidad de propietarios, estableciendo que el administrador tratará los datos únicamente conforme a las instrucciones del responsable (la comunidad de propietarios).
b) Deber de conservación de los datos únicamente durante la prestación de los servicios, debiendo reintegrar los mismos a la comunidad una vez extinguida la relación contractual.
c) si se subcontratan los servicios debió preverse en el contrato de tratamiento por cuenta de terceros con el responsable (comunidad) de forma expresa.
d) Adopción de las medidas de seguridad del art. 9 y 12.2 de la LOPD.
Art. 9.1.LOPD –
“El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.
El art. 82 Reglamento de desarrollo de la Ley Orgánica de Protección de Datos dispone las medidas a realizar por el encargado del tratamiento.
“1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.
2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.
Algunas medidas de seguridad a implementar son:
- Registro de incidencias
- Control de acceso
- Gestión de soportes y documentos
- Identificación y autenticación
- Copias de respaldo y recuperación
¿Qué relación tiene el responsable del fichero y el encargado del tratamiento?
Respecto a la relación el artículo 20.3 del Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos 1720/2007 (RDLOPD) señala que
“ En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el apartado 2 del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo.”
En consecuencia, si el administrador se extralimita en el tratamiento de los datos para otras finalidades debe considerarse responsable del tratamiento atendiendo al régimen de infracciones y sanciones de los arts. 43 y ss. de la LOPD.
“Art. 44.2 b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
Art. 44 3. h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
Por lo que queda fijado una parte del régimen de responsabilidad de los administradores ante un eventual incumplimiento de la LOPD a pesar de la práctica fraudulenta en la que se firme por parte de la Comunidad de Propietarios un documento exculpatorio de responsabilidad del encargado del tratamiento o un acuerdo de la Junta siendo, a mi parecer, un contrato nulo de pleno derecho por contravenir las disposiciones de la normativa de la LOPD y el Código Civil.
En particular, el art. 6.3 del Código Civil (CC)
“Los actos contrarios a las normas imperativas y a las prohibitivas son nulos de pleno derecho, salvo que en ellas se establezca un efecto distinto para el caso de contravención”,
el art. 1255 (CC)
“Los contratantes pueden establecer los pactos, cláusulas y condiciones que tengan por conveniente, siempre que no sean contrarios a las leyes, a la moral, ni al orden público”
y artículo 1275 (CC)
“Los contratos sin causa, o con causa ilícita, no producen efecto alguno. Es ilícita la causa cuando se opone a las leyes o a la moral”.
Además, si entendemos que no hay contrato de tratamiento de datos entre la Comunidad y el Administrador por contravenir la normativa o no tener el consentimiento de la Comunidad (porque no quiere) para adaptarse a la protección de datos, podemos considerar una cesión inconsentida de datos puesto que el administrador trata datos sin el consentimiento de la comunidad de propietarios con la consecuente infracción grave que comete a tenor del artículo 44.4.k) de la LOPD
«La comunicación o cesión de datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave».
Por último, el administrador saliente deberá ceder los datos de los propietarios de la finca a la misma o en su defecto al administrador entrante si recibe la indicación expresa de la comunidad de vecinos a la que prestaba sus servicios.
Ver siguiente artículo: ¿Qué responsabilidad tiene el Administrador/a de Fincas en el cumplimiento de la protección de datos? Parte 2
José Alberto Rueda Olmo
Abogado/Consultor TIC
Dpto. Jurídico
Mediter Jurídico
juridico@mediterjuridico.es