Les copropriétés constituées en régime de propriété horizontale conformément à la loi 49/1960 (LPH, loi espagnole sur la propriété horizontale) ont la qualité de responsables du traitement des données personnelles de leurs membres lorsqu'elles les traitent dans le cadre de leurs relations communautaires, conformément à la définition générale de l'article 4, paragraphe 7 du RGPD — position confirmée par l'AEPD dans son guide sur la protection des données en copropriété. Cela signifie que l'assemblée des copropriétaires et le président — représentant légal de la copropriété — assument toutes les obligations propres à tout responsable du traitement : informer les personnes concernées de manière transparente (art. 13 et 14 RGPD), tenir un registre des activités de traitement (art. 30 RGPD), mettre en œuvre des mesures de sécurité adaptées au risque et répondre aux demandes d'exercice des droits d'accès, de rectification, d'effacement, de limitation et d'opposition des propriétaires et des locataires. La taille de la copropriété — qu'il s'agisse d'un immeuble de dix étages ou d'un lotissement en plusieurs phases — ne modifie pas ces obligations.
Le syndic de copropriété (administrador de fincas) occupe une position centrale dans la protection des données de la copropriété. Lorsqu'il gère le fichier des propriétaires, émet les appels de charges, convoque les assemblées générales ou traite la correspondance avec les prestataires pour le compte de la copropriété et selon ses instructions, il agit en qualité de sous-traitant au sens de l'article 4, paragraphe 8 du RGPD. Cette relation exige de formaliser un contrat de sous-traitance conformément à l'article 28 du RGPD, précisant l'objet et la durée du traitement, la nature et la finalité du traitement, les catégories de données personnelles, les instructions du responsable, les mesures de sécurité exigées et la procédure à suivre en cas de violation de données. L'absence de ce contrat est, en pratique, la lacune la plus fréquente que nous constatons lors de l'audit de copropriétés, et expose tant la copropriété que le syndic à un risque réglementaire réel.
L'installation de caméras dans les parties communes de l'immeuble — hall d'entrée, parking, escaliers, piscine ou jardins — constitue un traitement de données personnelles que l'article 22 de la LOPDGDD encadre avec des exigences spécifiques, complétées par le guide de l'AEPD sur la vidéosurveillance. Trois conditions minimales s'imposent : premièrement, les dispositifs ne doivent filmer que les parties communes de l'immeuble lui-même, sans englober la voie publique ni des espaces privés au-delà de la bande minimale d'accès strictement nécessaire ; deuxièmement, les images doivent être supprimées dans un délai maximal d'un mois à compter de leur capture conformément à l'article 22, paragraphe 3 de la LOPDGDD, sauf si elles sont liées à une enquête policière ou judiciaire en cours ; et troisièmement, une signalétique informative visible doit être placée dans les zones surveillées, avant l'accès à l'espace filmé, avec les coordonnées du responsable du traitement. La décision de l'assemblée des copropriétaires approuvant l'installation est une exigence de la LPH, mais ne se substitue pas au respect des obligations documentaires du RGPD.
L'un des points les plus sensibles dans la gestion des données des copropriétés est la publication d'informations sur les copropriétaires dont les charges sont impayées. La loi sur la propriété horizontale (LPH, loi 49/1960) elle-même fonde ce traitement sous deux angles : l'article 16.2 LPH impose que la convocation de l'assemblée générale comprenne la liste des copropriétaires non à jour dans leurs paiements — ce qui habilite le traitement de ces données dans le cadre de la gestion de la copropriété —, tandis que l'article 21 LPH régit la procédure spécifique de recouvrement des dettes de la copropriété, qui constitue le fondement du traitement lié aux actions de recouvrement. Toutefois, la publication de ces informations au tableau d'affichage — accessible à tous les résidents et aux visiteurs — exige de respecter le principe de minimisation des données de l'article 5, paragraphe 1, point c) du RGPD : seules les données strictement nécessaires à la finalité poursuivie peuvent être affichées, pendant le temps indispensable et sur la base d'une décision de l'assemblée qui l'autorise expressément. L'information doit être retirée dès que la dette est régularisée. Publier des données excessives — telles que des informations bancaires, des données relatives à des procédures judiciaires en cours ou des circonstances personnelles du propriétaire — peut constituer une infraction au régime de sanctions de l'article 83 du RGPD.
Chez Summum Consultoría, nous accompagnons les copropriétés de Castille-et-León et des Canaries dans leur mise en conformité intégrale avec le RGPD, du diagnostic initial à la mise en place de l'ensemble des documents et procédures exigibles : registre des activités de traitement, contrats de sous-traitance avec le syndic et les autres prestataires accédant aux données personnelles de la copropriété, clauses d'information pour les propriétaires et les locataires, protocole de vidéosurveillance conforme à l'article 22 de la LOPDGDD et procédure de gestion des demandes d'exercice des droits. Nous conseillons également l'assemblée sur les limites légales du traitement des données des copropriétaires débiteurs et sur la manière admissible de rendre ces informations publiques. Notre rôle est celui d'un accompagnateur et d'un conseil en conformité : nous ne remplaçons pas l'AEPD et ne garantissons pas l'issue d'éventuelles procédures de sanction, mais nous dotons la copropriété des outils nécessaires pour démontrer une conformité réelle et vérifiable lors de toute inspection.