Protección de datos para administradores de fincas

¿Eres administrador de fincas?

¿Te preocupa cómo cumplir el RGPD?

Los administradores de fincas se convierten en asesores de las Comunidades de Propietarios en todo lo relacionado con la protección de la información personal afectada.

Por tanto, deben cumplir lo establecido en el RGPD.

Tranquilo.

En este post te dejo los consejos para adaptarte a la nueva normativa de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos para administradores de fincas son:

• RGPD (vigente a partir del 25 de mayo en toda Europa)
• LOPD (España)
• Nueva Ley de Protección de Datos (pendiente de aprobar aún en España)
• LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)
• Ley 8/1999, de 6 de abril, de Reforma de la Ley 49/1960, de 21 de julio, sobre Propiedad Horizontal.

¿Cómo deben cumplir los administradores de fincas el RGPD?

La administración de fincas forma parte de ese tipo de actividades que tiene en sus manos una gran cantidad de datos, por lo que también tendrá que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que la Comunidad de vecinos contrata tus servicios como administrador de fincas estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar como administrador de fincas para adaptarte al RGPD son:

1. Realizar un Registro de actividades de tratamiento
2. Elaborar un análisis de riesgos
3. Firmar los contratos con terceros
4. Incluir los textos legales en la página web
5. Solicitar el consentimiento a los clientes
6. Facilitar los derechos de los usuarios
7. Firmar los contratos con los empleados

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.

1. Registro de actividades de tratamiento

Lo primero que debes tenerse en cuenta es qué tipo de datos manejas y qué cantidad.

Como administrador de fincas debes responder a preguntas como:

• Para qué trato los datos.
• Base de legitimación
• Qué datos trato.
• De qué colectivos.
• Cómo los recojo.
• A quién los cedo y para qué.
• Cómo los guardan y cuánto tiempo.
• Si hay transferencias internacionales.

Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

Como administrador de fincas debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

• el tipo de tratamiento:
  • ¿dónde se almacenan los datos?
  • ¿durante cuánto tiempo?
  • ¿en un fichero o en una base de datos?
  • ¿en qué equipos?
• la naturaleza de los datos,
  • identificativos
  • bancarios …
• el número de interesados afectados;
  • 1.000
  • 5.000
  • 50.000 …

Y luego, ¿qué?

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

3. Contratos con Encargados de tratamiento

Los administradores de fincas se relacionan también con terceros que disponen de algunos de los datos de los usuarios.

No me creo que tú no.

¿Tienes una empresa informática que realiza el mantenimiento de los equipos?

¿Trabajas con aseguradoras a las que facilitas datos de los vecinos?

Entonces sí cedes datos a terceros.

Y ellos son Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto, y asegurar que también cumplan la normativa de Protección de Datos.

¿Qué hay que hacer?

Se exige un deber de diligencia en la selección del encargado tratamiento. Elegirás únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Por ello, debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

4. Página web

Si ofreces los servicios a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

• Aviso legal
• Política de privacidad
• Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

• Nombre del propietario
• CIF / NIF
• Dirección
• Email
• Nº de colegiado

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la web y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

• ¿Dónde utilizas esos datos?
• ¿Lo estás haciendo con el consentimiento de los usuarios?
• ¿Tiene fines comerciales?
• ¿Realizas cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:

• existencia de un tratamiento de los datos que se le están solicitando,
• finalidad,
• destinatario o destinatarios de aquella información,
• identidad y dirección del responsable del tratamiento de los datos y
• posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

5. Consentimiento de clientes

Esto es importante.

Toma nota.

Además de actualizar la política de privacidad, como administrador de fincas debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

• Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
• En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:
  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

6. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos.

Estos son los derechos que pueden ejercer los interesados:

• acceso a los propios datos personales;
• rectificación si los datos son inexactos;
• supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
• limitación del tratamiento;
• portabilidad de los datos;
• oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
• a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Por ejemplo, si una Comunidad de propietarios trabaja con un administrador de fincas, pero decide cambiar a otro, puede llevarse consigo cualquier dato en posesión de aquel. Así pues, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

7. Acuerdo de confidencialidad con empleados

¿Tienes personal contratado?

Entonces esto te interesa.

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una administración de fincas los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

La protección frente a las ciberamenazas (virus, daños informáticos, ataques a páginas web, fraude y robo de identidad online, destrucción de información, …) y el fomento de las medidas de prevención y reacción, así como la formación y concienciación de los empleados, son factores esenciales para evitar o minimizar las filtraciones de información y la consecuente pérdida de imagen de nuestra empresa.

8. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que seas víctima de un ciberataque o infracción, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

¿Se pueden comunicar datos de contacto de propietarios a un servicio externo en situaciones de emergencia, o en caso de siniestros, sin el consentimiento de los interesados?

Sí, cuando se comunica a un administrador de fincas, encargado de la gestión de la comunidad, un supuesto de este tipo se puede entender que existe un interés legítimo por parte de la comunidad en resolver el siniestro lo más rápido posible con el objeto de evitar daños.

¿Se puede conservar el dato del correo electrónico utilizado por un propietario para comunicar una avería y usarlo para sus relaciones derivadas de la gestión de la comunidad?

Si la dirección de correo electrónico ha sido proporcionada por el propietario se puede utilizar por el administrador para la gestión de sus relaciones con la comunidad. Cualquier otro uso, como publicidad o marketing, no estaría legitimado.

¿Se pueden realizar comunicaciones a los propietarios a través de WhatsApp?

Si lo ha facilitado el propietario se podría utilizar en el marco de la gestión de la comunidad con su consentimiento. Ahora bien, no se puede utilizar para incluir al propietario en un grupo sin su consentimiento expreso, informado y explícito.

¿Es necesario recabar un nuevo consentimiento con el RGPD?

El tratamiento de los datos de los propietarios por la comunidad está basado en el cumplimiento de relaciones jurídicas y obligaciones legales en el marco de la legislación sobre propiedad horizontal, y por el administrador de fincas en el contrato de encargado de tratamiento. Si se llegase a realizar un tratamiento basado en el consentimiento prestado de manera tácita, habría que obtener un consentimiento expreso o valorar si concurriese alguna de las restantes causas de legitimación contempladas en el artículo 6.1 del RGPD.

¿Se pueden publicar datos de carácter personal en el tablón de avisos de la comunidad de propietarios?

Solo se autoriza a la exposición de datos de carácter personal relacionados con asuntos derivados de la gestión de la comunidad en el caso de que no pueda contactarse con un propietario en el domicilio indicado a efectos de notificaciones.

El tablón de avisos no deberá colocarse en un lugar de tránsito fácilmente accesible por cualquier persona.

¿Puede el administrador de fincas presentar el libro de actas de la Comunidad a una entidad financiera?

La apertura de una cuenta corriente con la entidad financiera provoca la necesidad de que esta tenga conocimiento de los datos de identificación de quien asume esa representación legal y de los cambios que se produzcan anualmente, así como de los datos personales de aquellos cargos de la comunidad a los que el presidente otorgue la facultad de firma para las operaciones referidas a dicha cuenta.

Tales datos le pueden ser comunicados mediante la correspondiente certificación expedida por el administrador de la comunidad de propietarios u otro documento de apoderamiento legal.

Plantillas

Aquí tienes todos los documentos que necesitarás para adaptar tu actividad de administración de fincas a la normativa de Protección de Datos.

• Contrato con terceros
• Página web
  • Aviso legal
  • Política de cookies
  • Política de privacidad
• Compromiso confidencialidad empleados
• Consentimientos
  • Consentimiento clientes
  • Consentimiento CV
• Videovigilancia
  • Carteles Videovigilancia
  • Información a trabajadores de instalación de Videovigilancia
• Comunicaciones
  • Correos electrónicos
  • Facturas

Sanciones

Por último, la parte más escabrosa.

Pero, ¡cuidado!

No es ninguna broma.

Las sanciones por el incumplimiento del RGPD son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí. Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.

Sin embargo, debemos tener en cuenta que también cabe la posibilidad que la Agencias de Protección de Datos pueden enviar avisos a las empresas. Es decir, podrán enviarles requerimientos, advertencias, apercibimientos e incluso órdenes de cese en determinadas actividades de tratamiento de datos personales.

Aquí tienes algún ejemplo de sanciones impuestas por la AEPD a Comunidades de propietarios.

Publicar datos de los vecinos en el tablón de anuncios

El objeto del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, como aquellos que identifiquen o permitan la identificación de la persona. El tratamiento de los datos de una persona ha de contar con el consentimiento inequívoco del afectado. Resolución AEPD R/01339/2018

Instalar cámaras de videovigilancia en lugares no permitidos por la ley

Cabe indicar que las cámaras instaladas por empresas de seguridad privada con la finalidad de control por motivos de seguridad no pueden afectar al derecho a la intimidad de los propietarios del complejo en sus actividades de carácter lúdico. Las cámaras instaladas no pueden obtener imágenes de espacios reservados a la intimidad de las personas (zona de gimnasio, zona de piscina, o zona de hamacas, a modo de ejemplo), salvo que se justifique motivadamente la procedencia de la instalación o las mismas sólo estén operativas en horario nocturno con fines de seguridad. Resolución AEPD R/00871/2018

Ahora que ya conoces lo que debes hacer como administrador de fincas para cumplir el RGPD no tienes excusa.

Ponte a ello y evita ser sancionado.

La entrada Protección de datos para administradores de fincas se publicó primero en Ayuda Ley Protección Datos (LOPDGDD).