Comunidades de vecinos

Protección de datos en comunidades de propietarios

Las comunidades de propietarios son responsables del tratamiento de los datos personales de sus vecinos y deben cumplir el Reglamento (UE) 2016/679 —RGPD— y la LOPDGDD (LO 3/2018). Los frentes de riesgo más habituales son la videovigilancia de zonas comunes, la publicación de datos de propietarios morosos en el tablón de anuncios y la relación jurídica con el administrador de fincas como encargado del tratamiento. Desde Summum Consultoría acompañamos a comunidades de vecinos en Castilla y León y Canarias en su adecuación completa al RGPD, sin imponer soluciones de software ni burocracia innecesaria.

Norma aplicableRGPD (UE) 2016/679 · LOPDGDD LO 3/2018 · LPH Ley 49/1960
Datos tratadosPropietarios, inquilinos, visitantes e imágenes de videovigilancia
Autoridad supervisoraAEPD — Agencia Española de Protección de Datos

Las comunidades de propietarios constituidas en régimen de propiedad horizontal conforme a la Ley 49/1960 (LPH) tienen la condición de responsables del tratamiento de los datos personales de sus miembros cuando los tratan en el marco de sus relaciones comunitarias, conforme a la definición general del artículo 4.7 del RGPD, criterio confirmado por la AEPD en su guía sobre protección de datos en comunidades de propietarios. Esto significa que la junta de propietarios y el presidente —representante legal de la comunidad— asumen las obligaciones propias de cualquier responsable: informar a los interesados de forma transparente (arts. 13 y 14 RGPD), mantener un Registro de Actividades de Tratamiento (art. 30 RGPD), aplicar medidas de seguridad adecuadas al riesgo y atender el ejercicio de los derechos de acceso, rectificación, supresión, limitación y oposición de propietarios e inquilinos. El tamaño de la comunidad —ya sea un edificio de diez pisos o una urbanización de varias fases— no modifica estas obligaciones.

El administrador de fincas ocupa una posición central en la protección de datos de la comunidad de vecinos. Cuando gestiona el padrón de propietarios, emite recibos de cuotas, convoca juntas o tramita la correspondencia con proveedores por encargo y siguiendo instrucciones de la comunidad, actúa como encargado del tratamiento en el sentido del artículo 4.8 del RGPD. Esta relación exige formalizar un contrato de encargo del tratamiento conforme al artículo 28 del RGPD, que establezca el objeto y la duración del encargo, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, las instrucciones del responsable, las medidas de seguridad exigibles y el procedimiento de actuación ante brechas. La ausencia de este contrato es, en la práctica, la deficiencia más frecuente que detectamos al auditar comunidades de propietarios, y expone tanto a la comunidad como al administrador a un riesgo regulatorio real.

La instalación de cámaras en las zonas comunes del edificio —portal, garaje, escaleras, piscina o jardines— constituye un tratamiento de datos personales que el artículo 22 de la LOPDGDD regula con requisitos específicos, completados por la Guía sobre videovigilancia de la AEPD. Las condiciones mínimas son tres: en primer lugar, los dispositivos deben captar exclusivamente las zonas comunes del propio edificio, sin abarcar la vía pública ni espacios privados más allá de la franja mínima imprescindible de acceso; en segundo lugar, las imágenes deben suprimirse en un plazo máximo de un mes desde su captación conforme al artículo 22.3 de la LOPDGDD, salvo que estén relacionadas con una investigación policial o judicial en curso; y en tercer lugar, es obligatorio colocar cartelería informativa visible en las zonas vigiladas, antes del acceso al espacio grabado, con los datos del responsable del tratamiento. El acuerdo de la junta de propietarios que aprueba la instalación es un requisito de la LPH, pero no sustituye al cumplimiento documental del RGPD.

Uno de los puntos más sensibles en la gestión de datos de las comunidades de propietarios es la publicación de información sobre propietarios con cuotas impagadas. La propia Ley de Propiedad Horizontal (Ley 49/1960) habilita este tratamiento desde dos frentes: el artículo 16.2 LPH exige que la convocatoria de la junta incluya la relación de propietarios no al corriente de pago —lo que ampara el uso de esos datos en la gestión comunitaria—, y el artículo 21 LPH regula el procedimiento de reclamación de deudas comunitarias, que sustenta el tratamiento vinculado a las acciones de cobro. Sin embargo, la publicación de esa información en el tablón de anuncios —accesible a todos los residentes y a las visitas— exige respetar el principio de minimización de datos del artículo 5.1.c del RGPD: solo pueden exponerse los datos estrictamente necesarios para la finalidad perseguida, durante el tiempo imprescindible y sobre la base de un acuerdo de la junta que lo ampare de forma expresa. La información debe retirarse en cuanto se regularice la deuda. Publicar datos excesivos —como información bancaria, datos de procedimientos judiciales en curso o circunstancias personales del propietario— puede constituir una infracción del régimen sancionador del artículo 83 del RGPD.

En Summum Consultoría acompañamos a comunidades de propietarios de Castilla y León y Canarias en su adecuación integral al RGPD, desde el diagnóstico inicial hasta la implantación de todos los documentos y procedimientos exigibles: Registro de Actividades de Tratamiento, contratos de encargo con el administrador de fincas y demás proveedores que acceden a datos personales de la comunidad, cláusulas informativas para propietarios e inquilinos, protocolo de videovigilancia conforme al artículo 22 de la LOPDGDD y procedimiento de atención al ejercicio de derechos. Asesoramos también a la junta sobre los límites legales del tratamiento de datos de propietarios morosos y la forma admisible de hacer pública esa información. Nuestro trabajo es de acompañamiento y adecuación: no sustituimos a la AEPD ni garantizamos el resultado de eventuales procedimientos sancionadores, pero sí dotamos a la comunidad de las herramientas para demostrar un cumplimiento real y verificable ante cualquier inspección.

El proceso de Protección de datos en comunidades de propietarios.

El proceso · cuatro tiempos
01

Diagnóstico y registro de actividades de tratamiento

Identificamos todos los flujos de datos de la comunidad: padrón de propietarios e inquilinos, actas de junta, gestión de cuotas y morosos, videovigilancia, videoportero, contratos con proveedores y plataformas de gestión de comunidades. Determinamos la base de legitimación aplicable a cada tratamiento y elaboramos el Registro de Actividades de Tratamiento exigido por el artículo 30 del RGPD.

02

Contratos de encargo y documentación de privacidad

Redactamos el contrato de encargo del tratamiento con el administrador de fincas (art. 28 RGPD) y con los demás proveedores que acceden a datos de la comunidad: empresa de seguridad, servicio de conserjería externalizado y proveedores de software de gestión. Elaboramos también las cláusulas informativas para propietarios e inquilinos (arts. 13 y 14 RGPD) y el aviso legal si existe portal o web de vecinos.

03

Protocolo de videovigilancia y tablón de morosos

Revisamos la conformidad del sistema de cámaras con el artículo 22 de la LOPDGDD y la Guía de la AEPD: ángulo de captación, plazo de conservación de un mes, cartelería informativa y acuerdo de junta habilitante. Asesoramos a la junta sobre el contenido mínimo admisible en el tablón de morosos, la base jurídica aplicable y el protocolo de retirada inmediata de la información una vez regularizada la deuda.

04

Procedimiento de derechos, formación y revisión anual

Establecemos el canal y el procedimiento para atender las solicitudes de acceso, rectificación, supresión, limitación y oposición de propietarios e inquilinos en el plazo de un mes (art. 12 RGPD). Formamos al presidente de la comunidad y al administrador en sus obligaciones prácticas, e incluimos revisión anual de la documentación ante cambios normativos o en los tratamientos de la comunidad.

Qué incluye

Qué incluye Protección de datos en comunidades de propietarios.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Registro de Actividades de Tratamiento

    Elaboración del RAT exigido por el artículo 30 del RGPD con fichas para cada tratamiento de la comunidad: padrón de propietarios, actas de junta, gestión de cuotas, videovigilancia, contratos con proveedores y comunicaciones comunitarias.

  • Contrato de encargo con el administrador de fincas

    Redacción del contrato de encargo del tratamiento (art. 28 RGPD) entre la comunidad —como responsable— y el administrador de fincas —como encargado—, con todas las cláusulas exigidas: objeto, instrucciones, medidas de seguridad, subencargos y devolución de datos al finalizar el encargo.

  • Videovigilancia en zonas comunes (art. 22 LOPDGDD)

    Revisión de la conformidad del sistema de cámaras en portal, garaje, piscina y escaleras: ángulo de captación limitado a zonas propias, conservación máxima de un mes, cartelería informativa normalizada y acuerdo de junta habilitante conforme a la Guía de la AEPD.

  • Cláusulas informativas y cartelería

    Redacción de la información que debe facilitarse a propietarios, inquilinos y visitantes sobre el tratamiento de sus datos (arts. 13 y 14 RGPD), incluyendo el cartel normalizado para las zonas videovigiladas y la cláusula de privacidad en las hojas de matrícula de propietarios.

  • Gestión y límites del tablón de morosos

    Asesoramiento sobre la base jurídica aplicable para publicar datos de propietarios en mora, contenido mínimo admisible conforme al principio de minimización (art. 5.1.c RGPD), condiciones del acuerdo de junta y protocolo de retirada una vez regularizada la deuda.

  • Atención al ejercicio de derechos del interesado

    Diseño del procedimiento interno para tramitar solicitudes de acceso, rectificación, supresión, oposición, limitación y portabilidad (arts. 15-22 RGPD) de propietarios e inquilinos, con respuesta documentada en el plazo máximo de un mes previsto en el artículo 12 del RGPD y registro de cada actuación.

Preguntas frecuentes sobre Protección de datos en comunidades de propietarios.

¿Una comunidad de propietarios debe cumplir el RGPD?

Sí. Las comunidades de propietarios en régimen de propiedad horizontal tienen la condición de responsables del tratamiento de los datos personales de sus miembros conforme a la definición general del artículo 4.7 del RGPD, criterio confirmado por la AEPD en su guía sobre comunidades de propietarios. Esto las obliga a cumplir todas las exigencias del Reglamento (UE) 2016/679: informar a los interesados, mantener el Registro de Actividades de Tratamiento, aplicar medidas de seguridad adecuadas y atender las solicitudes de ejercicio de derechos en el plazo de un mes. El hecho de que la comunidad sea una entidad sin ánimo de lucro y de que delegue la gestión diaria en un administrador de fincas no la exime de estas obligaciones.

¿Qué requisitos debe cumplir la videovigilancia en zonas comunes de un edificio?

El artículo 22 de la LOPDGDD y la Guía sobre videovigilancia de la AEPD establecen que las cámaras instaladas en las zonas comunes deben cumplir tres requisitos fundamentales: en primer lugar, solo pueden captar las zonas comunes del propio edificio, sin abarcar la vía pública ni espacios privados salvo la franja mínima imprescindible; en segundo lugar, las imágenes deben suprimirse en el plazo máximo de un mes desde su captación conforme al artículo 22.3 de la LOPDGDD, salvo que estén vinculadas a una investigación policial o judicial; y en tercer lugar, debe colocarse cartelería informativa visible antes del acceso al espacio grabado, con los datos del responsable del tratamiento. El acuerdo de la junta que aprueba la instalación es necesario por la LPH, pero no es suficiente para cumplir el RGPD.

¿Se pueden publicar los nombres de los propietarios morosos en el tablón de anuncios?

La Ley de Propiedad Horizontal proporciona la habilitación legal expresa: el artículo 16.2 LPH exige que la convocatoria de la junta incluya la relación de propietarios no al corriente de pago, y el artículo 21 LPH regula el procedimiento de reclamación de deudas comunitarias. Sin embargo, la publicación en el tablón de anuncios exige respetar el principio de minimización de datos del artículo 5.1.c del RGPD: solo pueden exponerse los datos estrictamente necesarios para la finalidad perseguida —en la práctica, el nombre del propietario y el importe adeudado—, durante el tiempo imprescindible y amparada en un acuerdo de la junta que lo prevea de forma expresa. La información debe retirarse en cuanto se regularice la deuda. Publicar datos excesivos —como información bancaria, detalles de procedimientos judiciales o circunstancias personales— puede suponer una infracción de la normativa de protección de datos sancionable por la AEPD.

¿El administrador de fincas necesita firmar un contrato de protección de datos con la comunidad?

Sí. Cuando el administrador de fincas trata datos personales de los propietarios por cuenta y siguiendo instrucciones de la comunidad, actúa como encargado del tratamiento en el sentido del artículo 4.8 del RGPD. El artículo 28 del RGPD exige que esta relación se formalice mediante un contrato escrito de encargo del tratamiento que recoja el objeto, la duración y la finalidad del encargo, el tipo de datos personales tratados, las instrucciones del responsable y las obligaciones de confidencialidad y seguridad del encargado. La ausencia de este contrato puede ser objeto de sanción por la AEPD con independencia de que la gestión haya sido materialmente correcta.

¿Qué base jurídica ampara el tratamiento de datos de los propietarios?

La base jurídica principal para tratar los datos de los propietarios en el marco de la gestión ordinaria de la comunidad es el cumplimiento de las obligaciones legales derivadas de la Ley 49/1960 de Propiedad Horizontal (art. 6.1.c RGPD) —convocatorias, actas, gestión de cuotas, relación con proveedores— y el interés legítimo de la comunidad para la administración del inmueble (art. 6.1.f RGPD). El tratamiento de imágenes de videovigilancia se ampara también en el interés legítimo de la seguridad del edificio, siempre que se cumplan los requisitos del artículo 22 de la LOPDGDD. No es necesario recabar el consentimiento de los propietarios para los tratamientos directamente vinculados a las obligaciones de la LPH.

¿Qué sanciones puede imponer la AEPD a una comunidad de propietarios?

Las infracciones del RGPD en el ámbito de las comunidades de propietarios están sujetas al régimen sancionador del artículo 83 del Reglamento (UE) 2016/679 y de la LOPDGDD. Las infracciones graves —como la ausencia de base jurídica para un tratamiento, la carencia del contrato de encargo con el administrador de fincas o el incumplimiento del régimen de videovigilancia— pueden acarrear multas de hasta 10 millones de euros o el 2 % del volumen de negocio anual global. Las infracciones muy graves —como la vulneración de los principios básicos del tratamiento— pueden alcanzar los 20 millones de euros o el 4 % del volumen de negocio. La AEPD valora como circunstancias atenuantes la buena fe, la diligencia en la colaboración con el regulador y las medidas adoptadas para limitar los efectos de la infracción.