Posiblemente esta sea la pregunta del millón y es que muchos compañeros Administradores de Fincas me la han estado preguntando porque dicen que se esta corriendo el “rumor” por parte de otros Administradores de Fincas o por empresas que también se dedican a esto de la protección de datos que efectivamente, un Administrador de Fincas esta obligado por Ley a contratar un Delegado en Protección de Datos (DPO o DPD).
El Artículo 34.1 de la Ley Orgánica de Protección de Datos y Garantía de Derecho Digitales (LOPD-GDD) nos da una lista bastante extensa de las entidades que SI o SI, estarán obligadas a contar con Delegado en Protección de Datos:
- “Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad”.
Como habréis observado esta lista NO esta específicamente recogida la actividad del Administrador de Fincas, por lo que nos remite a ir a lo que dice el Articulo 37.1 del Reglamento General Europeo de Protección de Datos 2016/679 sobre la designación de un Delegado en Protección de Datos:
“El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”
De aquí deducimos que en nuestro caso el apartado 1) y 3) no se nos aplicará pero ¿y el apartado 2)?
En el apartado 2) nos dice que SI será necesario un Delegado de Protección de Datos aquellos tratamientos que requieran una observación habitual y sistemática de los interesados a gran escala.
Así que por un lado tenemos tratamientos que requieran una observación habitual y sistemática, que yo entiendo que esto si se cumple en un Administrador de Fincas porque todos los meses de manera sistemática, pasamos recibos al cobro de las comunidades de propietarios, contabilizamos devoluciones, sacamos extractos, preparamos liquidaciones… y por otro lado tenemos que sea a gran escala . Por lo que la pregunta ahora es ¿Y que es a gran escala o a partir de cuantos datos se considera gran escala?
Pues a fecha de hoy os puedo decir que ni el Reglamento General Europeo de Protección de Datos ni la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, ni la Agencia Española de Protección de Datos, dictamina a partir de que numero de datos lo consideraríamos a gran escala.
Haciendo numero rápidos, un Administrador de Fincas que tenga 15 Comunidades, cada comunidad 20 propiedades (mas o menos la media de escaleras y parkings) y dos propietarios por comunidad, ya que suelen estar a nombre del marido y de la mujer y eso luego nos sirve para rellenar el Mod 184 de Hacienda, tenemos que como mínimo manejaremos los datos de 600 personas todos los meses, que no esta mal; si el Administrador de Fincas administra 80 comunidades, tendremos que trata datos de 3.200 personas todos los meses; si administra 125 comunidades, tratará datos de 5.000 personas todos los meses; y si administra 170 comunidades, tratara datos de 6.800 personas todos los meses.
Pero donde creo que lo podemos ver mas claro es en Las Directrices sobre los Delegados en Proteccion de Datos, del 13 de Diciembre del 2016, creado por el Grupo de Trabajo del Articulo 29 sobre Protección de Datos (que ahora se llama Comité Europeo de Protección de Datos) , que para quien no sepa quién son, decirles que es un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros de la Unión Europea, el Supervisor Europeo de Protección de Datos y la Comisión Europea. Y es interesante estas directrices ya que en lo que se refiere a los Encargados de Tratamiento (que recuerdo que los Administradores de Fincas lo son), en el punto 2.2 El Delegado de Protección de Datos del Encargado de Tratamiento pone el siguiente ejemplo muy ilustrativo:
“Una pequeña empresa familiar que se dedica a la distribución de electrodomésticos en una sola ciudad usa los servicios de un responsable de tratamiento cuya actividad principal es prestar servicios de análisis de sitios web y asistencia mediante publicidad y marketing selectivos. Las actividades de la empresa familiar y sus clientes no generan ningún tratamiento de datos «a gran escala», teniendo en cuenta el reducido número de clientes y sus actividades relativamente limitadas. Sin embargo, las actividades del responsable del tratamiento, al contar con muchos clientes como esta pequeña empresa, consideradas en conjunto, suponen un tratamiento de datos a gran escala. Por consiguiente, el responsable del tratamiento debe designar un DPD según el artículo 37(1)(b). Al mismo tiempo, la empresa familiar en sí no está sujeta a la obligación de designar un DPD”.
En resumidas cuentas dependerá del porcentaje de propietarios que tratamos sus datos respecto al número de población de los municipios donde administramos. Si el porcentaje es pequeño NO necesitaríamos un Delegado en Protección de Datos, pero si es significativo, entonces SI.
Por lo que con todo lo anterior, concluimos que la inmensa mayoría de Administradores de Fincas NO estarían obligados a designar un Delegado en Protección de Datos.
Pero hay un pequeño detalle que hemos pasado por alto y que la gran mayoría de Administradores de Fincas realizan, pero eso será tema para otro post.
Y si quieres estar a la última en Protección de Datos suscríbete a nuestra Newsletter
Y si quieres compartir alguna experiencia déjala en Comentarios
Muchas gracias por el comentario. En breve publicaremos la 2ª parte.
Un saludo Sonia
Con muchas ganas de leer la Parte 2