Entrevista: MAR ESPAÑA, directora de la Agencia Española de Protección de Datos
“El contrato entre la Comunidad y el Administrador de Fincas deberá establecer el objeto, duración, naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable”
En el transcurso de las últimas décadas, hemos asistido a cambios sustanciales en los sistemas de comunicación personal, profesional y social, a un ritmo vertiginoso.
Dolores Lagar Trigo -Administradora de Fincas y Periodista-
El Reglamento de Protección de Datos –RGPD- entró en vigor en mayo de 2016 y comenzó a aplicarse a partir de mayo de 2018, y Mar España, directora de la AEPD, considera que la valoración sobre su implantación ha sido muy positiva. En el transcurso de las últimas décadas, hemos asistido a cambios sustanciales en los sistemas de comunicación personal, profesional y social, a un ritmo vertiginoso.
Pregunta: ¿Qué balance puede realizar de la adaptación a estas medidas por parte de los responsables y encargados del Tratamiento de los Datos?
R: En la Agencia disponemos de varias herramientas para ayudar a cumplir con el Reglamento General de Protección de Datos a las entidades. Una de ellas es Facilita_RGPD, pensada para ayudar con la adaptación a quienes realicen tratamientos de datos de escaso riesgo, y que ya ha sido utilizada en más de 150.000 ocasiones. A esta herramienta se unen otras, como el canal INFORMA_RGPD −que presta soporte en aquellas dudas y cuestiones que puedan derivarse de la aplicación del Reglamento− y que ha recibido más de 5.000 consultas, la notificación de más de 35.000 delegados de protección de datos, o la notificación de brechas de seguridad, que en el primer año de aplicación del Reglamento se acercaron al millar.
Además, la Agencia ha desarrollado una labor muy intensa para facilitar a los sujetos obligados criterios sobre cómo adaptarse al RGPD. A las herramientas citadas se une un conjunto de guías y materiales y una amplia labor de difusión, orientada a facilitar el conocimiento y el cumplimiento de las obligaciones derivadas del nuevo escenario europeo. La AEPD ha proseguido con esta labor este año, actualizando la herramienta Facilita, continuando con la publicación de materiales o manteniendo reuniones con delegados de protección de datos por sectores para discutir con ellos las dudas que les han ido surgiendo, entre otras medidas.
“Con la aplicación del RGPD no sería necesario solicitar consentimiento de los propietarios para tratar sus datos personales”
¿Qué es el principio de responsabilidad proactiva que establece el RGPD?
El RGPD ha supuesto un cambio muy importante en el modelo de cumplimiento de la normativa de protección de datos porque se pasa de un modelo reglado, que establecía los requisitos que debían observarse, a un modelo en el que cada responsable del tratamiento de datos tiene que ser actuar de forma diligente, proactiva, analizar su situación, ver qué medidas tiene que adoptar en cada caso, e ir actualizando las medidas de cumplimiento. El RGPD ofrece flexibilidad a la hora de su cumplimiento, pero siempre bajo este principio que obliga no sólo a cumplir sino a poder demostrarlo.
Este principio requiere una actitud consciente por parte de las comunidades de propietarios y por los Administradores de Fincas frente a los tratamientos de datos personales que lleven a cabo.
¿Qué resaltaría cómo más importante y novedoso de la Ley Orgánica de Protección de Datos aprobada en 2018?
La LOPDGDD cumple varios objetivos: adaptar el derecho español al modelo establecido por el Reglamento, introducir novedades y mejoras desarrollando algunas de las materias contenidas en el mismo, reforzar los derechos de los ciudadanos, clarificar conceptos y dotar de seguridad jurídica a aquellos que tratan datos.
Asimismo, introduce importantes novedades. Entre ellas se encuentra la resolución amistosa de reclamaciones, que prevé la intervención de los delegados de protección de datos, a los que los interesados pueden remitir sus reclamaciones. Esta previsión se complementa con la posibilidad de que la propia Agencia Española de Protección de Datos pueda remitir las reclamaciones a los responsables o a los delegados de protección de datos para su resolución rápida.
¿Cuántas reclamaciones se han producido y cuál es el tiempo de resolución de las mismas?
R: En virtud de esta posibilidad que permite la LOPDGDD hasta la fecha hemos trasladado más de 4.000 reclamaciones a los delegados de protección de datos tanto en el sector público como en el sector privado, y casi siete de cada diez reclamaciones se están resolviendo satisfactoriamente para el ciudadano en menos de 90 días, evitando así el procedimiento sancionador y la consiguiente dilatación de los plazos para alcanzar una resolución. No obstante, la Agencia mantiene la potestad de supervisión continua, por ejemplo, si una entidad no cumple con el principio de responsabilidad activa o si incurre en errores de manera continuada.
“Los Administradores de Fincas deberán contar con su respectivo registro de actividades en relación con las comunidades de propietarios a las que presten sus servicios”
Por otro lado, la Ley incorpora nuevos derechos como el de portabilidad, por el que los ciudadanos podrán recibir sus datos personales en un formato estructurado y transmitirlos a otro responsable del tratamiento cuando el tratamiento se efectúe por medios automatizados, por ejemplo, de una red social a otra. Otro de los nuevos derechos es el que permite la limitación del tratamiento de los datos personales que realiza el responsable, que puede implicar la solicitud de suspensión del tratamiento de datos o la conservación de los mismos en determinados casos.
¿Cuáles son las obligaciones específicas del encargado –el Administrador de Fincas colegiado- y responsable –Comunidad de Propietarios- del tratamiento de los datos si este es un Administrador de Fincas colegiado?
Ambos deben someterse a la normativa de protección de datos, que establece al respecto una serie de obligaciones. Entre ellas podemos citar la creación del registro de actividades de tratamiento, tanto por parte de las comunidades de propietarios como por parte de los administradores de fincas. Este documento, de carácter interno, no debe ser enviado a la AEPD, pero deberá estar a disposición de la Agencia por si fuera requerido. Los administradores de fincas deberán contar con su respectivo registro de actividades en relación con las comunidades de propietarios a las que presten sus servicios.
Por otra parte, es necesario cumplir con el derecho de información, que con el RGPD amplía su contenido en la recogida de los datos personales, ya que debe facilitarse más información al respecto, como la posibilidad de reclamar ante la Autoridad de Protección de Datos o el plazo de conservación de los datos. En este sentido, la Agencia recomienda que se adopte un sistema de doble capa, distinguiendo entre una información básica y otra de carácter adicional, a la que se pudiera acceder de forma sencilla y rápida, por ejemplo, a través de una dirección electrónica.
¿Es obligatorio solicitar el consentimiento de los propietarios para tratar los datos personales?
Es preciso atender los derechos de protección de datos, así como determinar la legitimación de los tratamientos. En el caso de las comunidades de propietarios, la legitimación para el tratamiento no deriva de la existencia de consentimiento previo, sino del cumplimiento de una obligación legal, en este caso, el contenido de la Ley de Propiedad Horizontal. Esto quiere decir que con la aplicación del RGPD no sería necesario solicitar consentimiento de los propietarios para tratar sus datos personales, ya que la legitimación emana del cumplimiento legal citado anteriormente.
“La resolución amistosa de reclamaciones prevé la intervención de los delegados de protección de datos, a los que los interesados pueden remitir sus reclamaciones”
Ocurre algo similar con el uso de la videovigilancia. No se trata de un supuesto en que opere el consentimiento sino el ejercicio de una misión de interés público como es garantizar la seguridad de personas, bienes e instalaciones. Otro ejemplo es el caso de que existan tratamientos por el personal contratado por la comunidad, como puede ser la portería. De nuevo, en el tratamiento de los datos no opera el consentimiento, sino la ejecución de un contrato.
Por su parte, el Administrador, como encargado del tratamiento, tiene una serie de obligaciones que el RGPD amplía. En este ámbito cabría destacar la de utilizar los datos bajo las instrucciones de la comunidad y su devolución a la finalización del contrato entre comunidad y administrador.
MAR ESPAÑA también responde sobre:
¿Qué aspectos debe de recoger el contrato de encargo entre la Comunidad de Propietarios y el Administrador de Fincas colegiado?
He apuntado algún aspecto al hablar de las obligaciones del Administrador. El contrato entre la comunidad y el Administrador deberá incorporar el contenido que establece el artículo 28.3 del RGPD y establecer el objeto, duración, naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. En todo caso, la Agencia realizó en colaboración con las autoridades autonómicas catalana y vasca unas directrices para la elaboración de contratos entre responsables y encargados del tratamiento que está disponible para su consulta en nuestra página web.
Haz clic para acceder a guia-directrices-contratos.pdf
El RGPD habla de análisis de riesgo que se deben de realizar dentro de las medidas de responsabilidad activa. ¿En qué nivel de riesgo se encuentran las comunidades de propietarios?
Con carácter general, dado el escaso riesgo que pueden suponer los tratamientos referidos a aspectos como la gestión de la comunidad de propietarios o videovigilancia, cabe utilizar la herramienta Facilita_RGPD, que ofrece un informe con orientaciones sobre las medidas de seguridad que, atendiendo a los riesgos de los tratamientos, se deben adoptar.