Archivos de la etiqueta: Comunidades Propietarios

01Ene/15

El tratamiento de datos por parte de las comunidades de propietarios

El tratamiento de datos por parte de las comunidades de propietarios

Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios.

Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará «Comunidad de propietarios», para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar «Personal contratado» o «personal», cuya finalidad sería la gestión del personal que trabaja en la comunidad o «Gestión de nominas».

Áudea Seguridad de la Información
Aurelio J. Martínez
Departamento Derecho NNTT
www.audea.com

01Ene/15

Videovigilancia en las Comunidades de Propietarios

Videovigilancia en las Comunidades de Propietarios

Es cada vez más habitual que con motivo de la vigilancia de las comunidades de propietarios bien se contrate un portero, o con intención de ahorrar un salario, se coloquen videocámaras que controlen la entrada y salida de personas al edificio. El problema en este último caso consiste en saber si las cámaras están tratando datos de carácter personal, y en el caso de que así fuera, qué obligaciones existen con respecto a estas imágenes por parte de las Comunidades. En este artículo veremos la evolución que la Agencia Española de Protección de datos ha seguido hasta la actualidad.

En un primero momento el Gabinete Jurídico de la Agencia de protección de datos elaboró un informe el 140/2006 donde se respondía a una consulta plantada a la agencia sobre video vigilancia en las comunidades de propietarios y así dijo en su momento que las imágenes se considerarán datos de carácter personal si sirven para identificar a las personas que aparecen en las mismas. Estas imágenes pueden o no estar incorporadas a un fichero, puesto que aunque no se encuentren grabadas el simple hecho de la recogida de imágenes conlleva un tratamiento a los efectos del artículo 3.c) de la LO 15/1999, donde se define el tratamiento de datos como «operaciones y procedimientos técnicos de carácter automático o no, que, permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias». Por lo tanto y según el artículo 6.1 de la Ley «el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa».

En consecuencia la utilización de videocámaras será posible «siempre que no exista identificación de las personas que aparecen en las mismas o, en caso de existir, las mismas no sean incorporadas a un fichero, ya que en caso contrario será preciso el consentimiento del afectado, de forma que debería comunicarse esta circunstancia a quienes pudieran aparecer en dichas imágenes, debiendo además el fichero resultante ser inscrito en el Registro General de Protección de Datos, conforme requiere el artículo 26 de la Ley Orgánica 15/1999.

Pero aunque no se exija el consentimiento en los casos expresados «ello no exime al responsable del tratamiento del deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la Ley Orgánica el cual reza lo siguiente » Los interesados a los que soliciten datos personales deberán ser previamente informados de modo, expreso, preciso e inequívoco:

  • a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos de los destinatarios de la información.
  • b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • d) De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
  • e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.»

En cuanto al modo en que haya de facilitarse dicha información, debe tenerse en cuenta que es doctrina reiterada de la Audiencia Nacional que corresponde al responsable del fichero la prueba del cumplimiento del deber de informar, y dicha prueba no podría obtenerse en caso de una mera información verbal.

Por otra parte, esta Agencia ha venido considerando suficiente el cumplimiento del deber de información mediante la existencia de un cartel informativo siempre que el mismo resulte claramente visible por parte del afectado, quedando así garantizado que el mismo ha podido tener perfecto conocimiento de la información exigible. y Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

Sin embargo posteriormente a esta resolución la Agencia de protección de datos publicó una instrucción que matizaba ésta, la Instrucción 1/2006 sobre video vigilancia de 8 de noviembre, (B.O.E. nº 296, de 12 de diciembre), regulaba el tratamiento de datos personales con fines de video vigilancia a través de cámaras o videocámaras.

El objeto de esta instrucción es garantizar los derechos de las personas cuyas imágenes son tratadas por medio de video vigilancia, adecuando estos tratamientos a los principios de la LOPD.

En relación con la instalación de sistemas de videocámaras, será necesario averiguar cuales son los bienes jurídicos protegidos y si se cumple con el principio de proporcionalidad, esto implica que si fuese posible se deberán adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. Para averiguar si se cumple con el principio de proporcionalidad el Tribunal Constitucional en su Sentencia 207/1996 determina que «Es necesario constatar si cumple los tres siguientes requisitos o condiciones: «si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)».

En este sentido, la instalación de cámaras de video vigilancia sería idónea, necesaria y proporcional si la finalidad de la instalación tiene como objetivo controlar robos, actos de vandalismo, o acciones violentas habituales en la finca que se trate.

Pero seguía existiendo un problema y es que era necesario el consentimiento de los afectados por el tratamiento de datos. Como se intuye conseguir el consentimiento de todas y cada una de las personas que pudieran ser grabadas constituye un esfuerzo titánico, y probablemente imposible. Por lo tanto para que sea legítimo el tratamiento éste deberá habilitarse en una Ley. En este sentido, la AEPD considera que el tratamiento de imágenes por razones de seguridad se encuentra amparado en el artículo 5.1 e) de la Ley de Seguridad Privada, que hasta la entrada en vigor la de 25/2009, de 27 de diciembre únicamente podrían realizar las empresas de seguridad debidamente autorizadas por el Ministerio del Interior, que previamente hubiesen cumplido los requisitos legalmente establecidos, (esto es que sean empresas de seguridad autorizadas por el Ministerio del Interior previa inscripción en el Registro del mismo, y que hubieran notificado el contrato).

En el Informe jurídico 0161/2008, posterior al estudiado y ya vigente la instrucción 1/2.006 se añaden una serie de requisitos que no se contemplaban anteriormente, por ejemplo en cuanto al modo de facilitar el derecho de información a los interesados se añade un apartado en el que se indica que «se debe tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999». En lo que se refiere a la notificación del fichero, el artículo 7 de la Instrucción dispone que: «La persona o entidad que prevea la creación de ficheros de video vigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma… A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real».

El tratamiento de imágenes sólo puede realizarse por parte de las empresas de seguridad privada. La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) regula en su artículo 1.2 que «A los efectos de la presente Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados».

El artículo 5.1 e) de la LSP dispone que «Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad». Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre (RSP)

De este modo, la Ley habilitaría que los sujetos previstos puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 dispone que «Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios».

Por último, el artículo 7.1 establece que «Para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se llevará en el Ministerio del Interior».

La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las de ámbito exclusivamente autonómico. Además, el artículo 39.1 dispone que «únicamente podrán realizar las operaciones de instalación y mantenimiento de sistemas de seguridad electrónica contra robo e intrusión y contra incendios las empresas autorizadas».

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de video vigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación, no siendo necesario el consentimiento del afectado.

La aprobación de la Ley 25/2009 (Ley ómnibus) viene a efectuar modificaciones en diversas leyes. En la materia que nos ocupa debemos analizar el artículo 14 de la Ley 25/2009 donde señala que «La Ley 23/1992, de 30 de julio, de Seguridad Privada, queda modificada en los siguientes términos:

Uno. Se modifica la letra e) del artículo 5.1:

«e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta».

Dos. Se añade una Disposición adicional sexta:

«Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad. Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.»

Por tanto, la reforma legal permite a cualquier empresa o particular realizar las actividades que se han descrito, sin necesidad de cumplir los requisitos de autorización del Ministerio del Interior, exigidos hasta la fecha.

En definitiva, la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá; «vender, entregar, instalar y mantener equipos técnicos de seguridad» sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la Ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes, sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal y a las finalidades previstas en la Ley de Seguridad Privada, constituyendo un interés legítimo de quienes adquieran estos dispositivos. Por tanto dicho tratamiento de datos, resulta conforme con el artículo 10. 2 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre que señala que «No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando (…) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

– El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre

No obstante, la instalación de un sistema de video vigilancia conectado a una central de alarma, seguirá necesitando «que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento».