Protección de datos personales en las. en comunidades de propietarios

Transcripción

1 Protección de datos personales en las comunidades de propietarios Autor: Luis Guirado Pueyo, cofundador y Gerente de Multiges Consultoría y Alumno de En el presente artículo se abordan distintas situaciones que se plantean con frecuencia en una comunidad de propietarios y que están íntimamente relacionadas con la protección de datos. Instalación de cámaras de videovigilancia en comunidades de propietarios El informe jurídico de 0161/2008, emitido por la AGPD, aborda profundamente este tema, pudiendo extraer las siguientes conclusiones: La grabación de la imagen de una persona es un dato de carácter personal. La vigilancia por videocámaras puede estar justificada en determinadas circunstancias. Sin embargo, se hace necesario adecuar la videovigilancia a las exigencias del derecho fundamental a la protección de datos, es decir, a los principios de la Ley Orgánica 15/1999. Todo uso de videocámaras, en cualquier otro ámbito en los que se considere necesaria su instalación, debe respetar el principio de proporcionalidad, tanto en su vertiente de idoneidad (solo pueden emplearse cuando resulte adecuado) como de intervención mínima (ponderación entre los fines pretendidos y la afectación a los derechos fundamentales de los ciudadanos). La captación y grabación de imágenes con fines de vigilancia y control se encuentra plenamente sometida a lo dispuesto en la LOPD, máxime cuando los afectados resultan perfectamente identificables, dentro del ámbito donde se realiza la captación de imágenes (comunidades de propietarios). La referencia normativa de todo ello se hace constar en la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, publicada en el BOE de 12 de diciembre de Así, señala que: La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras. El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación y al- 30

2 macenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquellas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente Instrucción, sin que ello requiera plazos o actividades desproporcionados. En consecuencia, la instalación de cámaras de videovigilancia en una comunidad de propietarios, con el fin de evitar determinadas situaciones de inseguridad para los residentes o sus visitantes, ha de ser una medida proporcional en relación con la infracción que se pretenda evitar y en ningún caso debe suponer el medio inicial para llevar a cabo funciones de vigilancia, por lo que, desde un punto de vista objetivo, la utilización de estos sistemas debe ser proporcional al fin perseguido. El artículo 4 de la Instrucción 1/2006 recoge los principios de calidad, proporcionalidad y finalidad del tratamiento, estableciendo lo siguiente: "1.- De conformidad con el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, las imágenes solo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras. 2.- Solo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal. 3.- Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquellas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida". Si la comunidad de propietarios contrata este servicio con una empresa de seguridad privada, resultaría de aplicación la Ley 23/1992 (modificada por el Real Decreto-ley 8/2007, de 14 de septiembre), y el Reglamento de Seguridad Privada, aprobado por Real Decreto 1364/1994, de 9 de diciembre (modificado por Real Decreto 195/2010, de 26 de febrero), sin que a la Agencia Española de Protección de Datos le corresponda informar sobre los requisitos exigibles a las empresas instaladoras de este tipo de sistemas para autorizar su instalación. Por tanto, Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán: a) Colocar en las zonas videovigiladas al menos un distintivo informativo ubicado actualidad inmobiliaria 31

3 inscripción en el Registro General de la misma. A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real. El responsable de este tipo de tratamientos podría ser bien la comunidad de propietarios o bien una empresa de seguridad. en lugar suficientemente visible, tanto en espacios abiertos como cerrados. b) Tener a disposición de los interesados impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999. El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción. Asimismo, deberán respetarse los plazos y el procedimiento de almacenamiento de imágenes. A este respecto los datos serán cancelados en el plazo máximo de un mes desde su captación. Con relación al procedimiento de grabación de imágenes deberá cumplir con lo dispuesto en la Ley Orgánica 15/1999, para la recogida de datos, que deberá cumplirse con el deber de informar. En lo que se refiere a la notificación del fichero, la persona o entidad que prevea la creación de ficheros de videovigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su Solo están legitimadas para instalar dichas cámaras las empresas de seguridad privada cuando el servicio está conectado a una central de alarmas. Publicación periódica de la relación de propietarios deudores Resulta habitual enviar extractos periódicos de cuentas (mensuales, trimestrales, etc.), si bien esta práctica de buena gestión por parte del Administrador podría no ser correcta. El informe 188/2008 del AGPD indica cómo proceder para cumplir con la protección de datos personales en este caso. En este informe se parte de las siguientes premisas: Desde el punto de vista de la protección de datos personales debe indicarse que tales datos van asociados a los titulares de las viviendas y no cabe duda de que los mismos constituyen datos de carácter personal, de acuerdo con la definición incluida en el artículo 3.a) de la Ley Orgánica, que comprende "cualquier información concerniente a per- 32

4 sonas físicas identificadas o identificables". Así, la Audiencia Nacional, en sentencia de 8 de marzo de 2002, establece que "para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados" y "para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona". El artículo 5. 1 f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la Ley Orgánica, considera datos de carácter personal a "cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables". A tenor de anteriores informes de la AGPD, en particular el emitido el 26 de octubre de 2004, la publicación de la relación de propietarios pendientes de pago de cuotas vencidas en el tablón de anuncios de la comunidad, se encuentra amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999, siempre que obedezca a la convocatoria de la Junta. Recordemos que el artículo 16.2 de la Ley de Propiedad Horizontal (LPH) dice respecto a la convocatoria de la Junta que "la convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2", lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos. Advertencias y criterios establecidos para las comunicaciones periódicas: El hecho de que en el tablón de avisos de la comunidad y en las comunicaciones personales a los propietarios aparezca, con carácter periódico, la contabilidad de la comunidad y una relación de propietarios que no están al corriente de pago en las cuotas, podría implicar una cesión o divulgación de los datos a una generalidad de personas, que puede resultar excesivo, teniendo en cuenta que la habilitación legal para la comunicación de los referidos datos prevista en la LPH únicamente justificaría su inclusión en la convocatoria de la Junta de Propietarios y en el acta que de la misma se concluya. Si, por el contrario, la mencionada publicación lo fuese en cumplimiento de un acuerdo expreso adoptado por la Junta General de Propietarios, se estaría ante un supuesto de cesión de datos con consentimiento previo de los interesados, que en principio no vulneraría la normativa sobre protección de datos personales. Tampoco vulneraría dicha normativa la publicación de dichos datos en atención a la fundamentación jurídica a la que antes se hizo referencia. actualidad inmobiliaria 33

5 Solo será legítima la publicación y comunicación mensual, si esa actuación ha sido adoptada por la Junta General de Propietarios pues se entiende que han otorgado el consentimiento previo; de lo contrario, la actuación sería contraria a la Ley Orgánica 15/1999. Cesión de documentación por parte de la comunidad de propietarios El artículo 10 de la Ley 15/1999 sujeta al responsable del fichero, esto es a la propia comunidad de propietarios, a un deber de secreto, deber al que se encuentran igualmente sometidos los propietarios como miembros de la Junta de Propietarios. En lo referente a la forma en que puede darse acceso a dicha documentación, debe recordarse que la LOP impone al responsable del fichero o tratamiento, la adopción de las medidas de seguridad oportunas. El informe 0333/2009 del Gabinete Jurídico de la AGPD refiere que estas medidas consisten en la elaboración de un documento de seguridad que recoja las medidas de índole técnica y organizativa acordes con la normativa de seguridad vigente, especificando entre otros aspectos: el ámbito de aplicación del documento, las medidas y procedimientos encaminados a garantizar el nivel de seguridad exigido, las funciones y obligaciones del personal, los procedimientos de notificación, gestión y respuesta ante las incidencias, la gestión de soportes o documentos, y los procedimientos de realización de copias de respaldo y de recuperación. Entre otras medidas, se exige lo siguiente: La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento, deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. 34

6 Por tanto, en el caso de que un comunero solicite información que esté bajo la Ley de Protección de Datos Personales se deberá contar con la autorización del responsable del fichero, esto es, la comunidad de propietarios, cuyo representante legal es el Presidente, o bien prever esta situación en el documento de seguridad preceptivo. Fichero de datos de los empleados de la comunidad También es muy frecuente que el Administrador se encargue de la confección de las nóminas, seguros sociales, etc. de los empleados de fincas que administra, por lo que se da otra problemática para el cumplimiento de las obligaciones de protección de datos personales. En este caso conviene remitirse al informe jurídico 0081/2010 de la AGPD, el cual, a modo introductorio, repasa las obligaciones en cuanto a creación y comunicación de ficheros que se establece en la norma: Los ficheros de datos de carácter personal serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, el servicio o unidad de acceso, la indicación de medidas de seguridad básico, medio o alto exigible, y, en su caso, la identificación del encargado de tratamiento donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos. Quién está obligado a la notificación? La obligación de notificar corresponderá a quien pretenda crear el fichero, esto es, a quien tenga la condición de responsable de aquel. Por tanto, esta obligación recaerá no sobre el Administrador o el Secretario de la comunidad, sino sobre la comunidad misma, a través del Presidente siendo el Administrador un mero usuario del fichero. No obstante, el informe puntualiza que, la obligación de inscribir el fichero en el Registro General de Protección de Datos corresponderá a la comunidad, pudiendo instarla el propio Presidente (como representante de la misma) o el Administrador o Secretario, si así se le encomienda. En caso de encontrarse los ficheros ubicados en el despacho profesional del Administrador, deberá indicarse que aquel es el encargado del tratamiento y que el fichero se encuentra ubicado en ese despacho. Obligaciones del administrador en cuanto a la LOPD Partiendo de lo expuesto, la utilización de los datos contenidos en el fichero que efectúe el Administrador se llevará a cabo en su condición de órgano de gobierno de la comunidad. En el caso de que los ficheros se encontraran in- actualidad inmobiliaria 35

7 corporados a los sistemas de información del propio Administrador, este no podría realizar actividad alguna que exceda de las funciones que le otorga el artículo 20 de la LPH (más las de custodia de las actas). Por ello, el Administrador no sería en este caso más que un mero depositario de los ficheros de la comunidad de propietarios, que solo resolvería sobre su utilización en cuanto ejerciera las potestades que para dicha comunidad le atribuye la Junta, por lo que su actividad se desarrollaría siempre en nombre y por cuenta de la propia comunidad que le ha apoderado. En consecuencia, respecto de los datos de empleados de la comunidad, como sería el portero, deberá inscribirse otro fichero distinto, en cuanto que su finalidad es la de llevar a cabo el correcto desenvolvimiento de la relación laboral entre dicho empleado y la comunidad de propietarios. Cuál sería el nivel de seguridad para estos ficheros? Se puede afirmar que este es el aspecto más complejo, señalándose en el informe lo siguiente respecto al fichero "Personal y nóminas": Las medidas de seguridad podrán ser de nivel básico si el fichero se limita a indicar uno o varios de los siguientes datos: - La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas. - La indicación de datos apto o no apto de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales. - Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social, que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador. - En cuanto al tratamiento de los datos sindicales, bastará la implantación de las medidas de seguridad de nivel básico cuando los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros". Se deberán implantar medidas de seguridad de nivel alto: - Cuando el fichero contuviera datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporase los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador. 36