¿Cómo se coordinan un administrador de fincas y el RGPD? El no tan nuevo Reglamento Europeo de Protección de Datos (en adelante RGPD) ha pillado a muchos desprevenidos. ¿Eres administrador de fincas? ¡Entonces echa un vistazo!

El RGPD

Este reglamento entró en vigor hace ahora más de dos años, dejando este plazo para que las empresas y profesionales nos adaptáramos a sus normas. Pero no todo el mundo se ha puesto al día. Estas son algunas de sus novedades:

Responsable de protección

El responsable debe conservar los registros de las acciones relacionadas con el tratamiento de datos y cooperar con la Agencia Española de Protección de Datos (en adelante AEPD).

Es su deber adoptar las medidas técnicas que permitan a la organización cumplir con los principios de protección de datos. También debe realizar evaluaciones de riesgo en estas operaciones de tratamiento, proponiendo medidas preventivas.

En tu caso, debes saber que el responsable del fichero de una Comunidad de Propietarios es la propia Comunidad. Los Órganos de Gobierno (esto incluye al Presidente) y la Junta serán quienes ejercerán las funciones propias del responsable del fichero.

El aspecto positivo es que, en general, la Comunidad de Propietarios no manejará datos de riesgo, por lo que pueden evitarse designar a un Delegado de Protección o realizar las evaluaciones de impacto.

Encargado del tratamiento de datos

Si, como administrador, asumes el rol de encargado de tratamiento, deberás seguir determinadas normas establecidas en el Reglamento. Lo primero será hacer constar tu posición en un contrato con forma escrita.

Deberás declarar en el contrato cuál es el objetivo de tu acceso a los ficheros. Se entiende que tal acceso tendrá el objetivo de prestar los servicios que la comunidad demande, pero lo cierto es que deberías ser tan específico como puedas.

Respecto a la información y documentación a la que puedas acceder con objeto de tu cargo, debes tener en cuenta:

1. Que tienes que devolver los archivos, documentos y soportes a la Comunidad en cuanto termine tu contrato.

2. Y, sin embargo, deberás conservar los ficheros por los que puedas resultar responsable. Por supuesto, no podrás acceder a estos ficheros, pese a estar obligado a conservarlos.

El incumplimiento de los deberes propios del cargo puede hacer que se te aplique la responsabilidad que se atribuiría al responsable del fichero. Por tanto, debes tener mucho cuidado con cómo tratas los datos de tus Comunidades de Propietarios.

En definitiva, hay que proteger estos datos de accesos no autorizados o malintencionados, y deben utilizarse exclusivamente para los fines para los que se ofrecieron.

Algunas de tus obligaciones como encargado de tratamiento

Si actúas como responsable del tratamiento de datos, deberás informar a los titulares de los mismos de qué datos vas a recoger y con qué finalidades. Los datos recogidos deben ser veraces, y deben obtenerse por medios legítimos.

Por supuesto, no puedes utilizar estos datos para fines diferentes a aquellos para los que se facilitaron. Además, deberás determinar un plazo de conservación. Transcurrido el mismo debes eliminarlos, salvo que se te autorice de nuevo para conservarlos.

La cesión de datos debe ser expresamente consentida. Ten en cuenta que esto resulta fundamental cuando tengas que contactar con empresas multiservicios para solucionar problemas de las comunidades.

El principio de responsabilidad proactiva

Un deber general del responsable del tratamiento de datos es aplicar las medidas que demuestren que está siguiendo lo establecido en el Reglamento. Esta es la consecuencia de haberse retirado la obligación de notificar la creación de ficheros.

Es decir, mientras antes había que notificar la creación de ficheros, desde que el RGPD es aplicable puede actuarse directamente. Siempre que se haga diligentemente, claro, porque las sanciones que establece el reglamento son millonarias.

Por tanto, desde el pasado mayo basta con que mantengas un registro de las acciones de tratamiento de datos, por si tuvieras que colaborar con la AEPD.

Registro de las acciones de tratamiento

En este registro debes incluir todas aquellas acciones de tratamiento de datos que realices por cuenta de la Comunidad. El contenido básico del Registro se regula en el art. 30 RGPD, y a grandes rasgos incluye:

  • Identificación del encargado y de cada responsable por cuenta del que actúe. Es decir, tu nombre y los datos de contacto tuyos y de cada una de las Comunidades de Propietarios para las que estés trabajando como encargado.
  • Categorías de tratamiento. En este epígrafe se trata de que clasifiques cada acción de tratamiento señalando las medidas técnicas y de seguridad que tomas para prevenir la pérdida de datos personales o el acceso no autorizado.

El Registro debe constar por escrito, pudiendo emplearse el soporte electrónico. Su objetivo es poder ponerlos a disposición de la AEPD en el caso de que así lo solicite.

Una nueva forma de trabajar

En definitiva, el administrador de fincas y el RGPD deben llevarse bien desde mayo de 2018. Si actúas como encargado de datos deberás seguir las normas del nuevo Reglamento. Por eso, lo mejor es que cuentes con multiservicios que garanticen el cumplimiento de la ley.