Desde la aplicación del nuevo RGPD el pasado 25 de Mayo 2018, es frecuente encontrarse con dudas sobre cómo las comunidades de vecinos tienen que adaptarse al RGPD.
Toda empresa u organización que maneje datos personales está obligada al cumplimiento de la protección de datos. Por tanto, la recogida de datos que tiene lugar en las relaciones que se desarrollan en las comunidades de propietarios también están sujetas a este nuevo reglamento.
¿Qué datos pueden tratarse en una comunidad de vecinos?
El actual RGPD no delimitan los datos que se pueden recoger para el correcto funcionamiento de las comunidades de vecinos. Sin embargo, estos son los datos más comunes que se tratan:
- Información de carácter personal de los propietarios y de los trabajadores de la comunidad.
- Captación de imágenes o videovigilancia.
Es importante tener en cuenta que para realizar cualquier tipo de cesión de datos a terceros es necesario el consentimiento expreso de los propietarios. Además se deberá informar sobre cómo se van a usar esos datos y el procedimiento de revocación del consentimiento.
¿Quién es el responsable de tratamiento en una comunidad de vecinos?
La figura responsable del tratamiento de estos datos es la propia comunidad a través del presidente. El administrador de fincas añade a sus tareas de asesoramiento y consultoría las funciones de protección de datos de los propietarios. Por tanto, su vínculo con la comunidad le hace estar legitimados para tener y tratar los datos personales de los vecinos, siempre y cuando estos sean necesarios para el correcto funcionamiento y desarrollo de los trabajos para los que ha sido contratado.
¿Tienen que tener un registro de actividades de tratamiento?
Aparece la obligación de llevar internamente un registro de las actividades del tratamiento ya que el responsable de tratamiento tiene que obrar acorde al principio de responsabilidad activa.
Para el cumplimiento del deber de información, tal y como establece la AEPD, se debe informar a todos de manera “expresa e inequívoca” de la existencia de un tratamiento, de la identidad y dirección del responsable del tratamiento, de su finalidad, de los destinatarios y de la posibilidad de ejercer los derechos establecidos en el RGPD.
¿Es obligatorio notificar los registros de actividades de tratamiento a la Agencia Española de Protección de Datos?
Con la entrada en vigor del RGPD desaparece la obligación de notificar la creación de cualquier registro de actividad de tratamiento(responsabilidad que correspondía a la Comunidad de Vecinos al ser el responsable de tratamiento el Presidente).
¿Debe la Comunidad de Vecinos realizar análisis de riesgos a los tratamientos de datos personales?
La AEPD entiende que, dado el mínimo riesgo que supone el tratamiento de datos realizado, en principio no sería necesario.
¿Deben contar con la figura del Delegado de Protección de Datos (DPO)?
La figura del DPO es una de las incorporaciones del RGPD, se regula en el art. 37. En él se indican las entidades que obligatoriamente deben tenerlo, donde en principio no entrarían las Comunidades de Propietarios.
¿Qué ocurre con las cámaras de vigilancia?
Se debe seguir con las previsiones dadas por la AEPD: necesidad del acuerdo de junta, con la recomendación de que en dicho acuerdo consten las características del sistema a instalar; información de la instalación de cámaras donde debe constar la identidad del responsable del tratamiento y la dirección a la que puede dirigirse para solicitar los derechos. Además, la instalación solo puede ceñirse a zonas comunes.
Debe colocarse en un lugar visible el cartel informativo homologado por la AEPD informando a los afectados sobre la grabación de imágenes.
¿Quién tiene acceso a las grabaciones?
La Comunidad deberá designar, y hacerlo constar por escrito, las personas que tengan al acceso de las imágenes. Si el acceso se realiza desde internet, debe restringirse con una cuenta de usuario y contraseña.
Grabaciones con vídeo portero
En ciertas comunidades se coloca un videoportero en la entrada de los edificios. Este permite que cada propietario visualice durante cierto tiempo el espacio del portal después de que la persona o personas que solicitan entrada han pulsado el interruptor del mismo.
Muchas veces la instalación de esta cámara que graba el acceso a las fincas no es aprobada de forma unánime por parte de todos los propietarios.
En caso de que el videoportero se utilice para verificación de la identidad y facilitar el acceso de la persona que llama, no se aplica la normativa sobre protección de datos.
Si se graban las imágenes, es obligatorio cumplir con el RGPD. Y habría que facilitar información sobre el tratamiento de datos personales.
