Las comunidades de propietarios constituidas en régimen de propiedad horizontal conforme a la Ley 49/1960 (LPH) tienen la condición de responsables del tratamiento de los datos personales de sus miembros cuando los tratan en el marco de sus relaciones comunitarias, conforme a la definición general del artículo 4.7 del RGPD, criterio confirmado por la AEPD en su guía sobre protección de datos en comunidades de propietarios. Esto significa que la junta de propietarios y el presidente —representante legal de la comunidad— asumen las obligaciones propias de cualquier responsable: informar a los interesados de forma transparente (arts. 13 y 14 RGPD), mantener un Registro de Actividades de Tratamiento (art. 30 RGPD), aplicar medidas de seguridad adecuadas al riesgo y atender el ejercicio de los derechos de acceso, rectificación, supresión, limitación y oposición de propietarios e inquilinos. El tamaño de la comunidad —ya sea un edificio de diez pisos o una urbanización de varias fases— no modifica estas obligaciones.
El administrador de fincas ocupa una posición central en la protección de datos de la comunidad de vecinos. Cuando gestiona el padrón de propietarios, emite recibos de cuotas, convoca juntas o tramita la correspondencia con proveedores por encargo y siguiendo instrucciones de la comunidad, actúa como encargado del tratamiento en el sentido del artículo 4.8 del RGPD. Esta relación exige formalizar un contrato de encargo del tratamiento conforme al artículo 28 del RGPD, que establezca el objeto y la duración del encargo, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, las instrucciones del responsable, las medidas de seguridad exigibles y el procedimiento de actuación ante brechas. La ausencia de este contrato es, en la práctica, la deficiencia más frecuente que detectamos al auditar comunidades de propietarios, y expone tanto a la comunidad como al administrador a un riesgo regulatorio real.
La instalación de cámaras en las zonas comunes del edificio —portal, garaje, escaleras, piscina o jardines— constituye un tratamiento de datos personales que el artículo 22 de la LOPDGDD regula con requisitos específicos, completados por la Guía sobre videovigilancia de la AEPD. Las condiciones mínimas son tres: en primer lugar, los dispositivos deben captar exclusivamente las zonas comunes del propio edificio, sin abarcar la vía pública ni espacios privados más allá de la franja mínima imprescindible de acceso; en segundo lugar, las imágenes deben suprimirse en un plazo máximo de un mes desde su captación conforme al artículo 22.3 de la LOPDGDD, salvo que estén relacionadas con una investigación policial o judicial en curso; y en tercer lugar, es obligatorio colocar cartelería informativa visible en las zonas vigiladas, antes del acceso al espacio grabado, con los datos del responsable del tratamiento. El acuerdo de la junta de propietarios que aprueba la instalación es un requisito de la LPH, pero no sustituye al cumplimiento documental del RGPD.
Uno de los puntos más sensibles en la gestión de datos de las comunidades de propietarios es la publicación de información sobre propietarios con cuotas impagadas. La propia Ley de Propiedad Horizontal (Ley 49/1960) habilita este tratamiento desde dos frentes: el artículo 16.2 LPH exige que la convocatoria de la junta incluya la relación de propietarios no al corriente de pago —lo que ampara el uso de esos datos en la gestión comunitaria—, y el artículo 21 LPH regula el procedimiento de reclamación de deudas comunitarias, que sustenta el tratamiento vinculado a las acciones de cobro. Sin embargo, la publicación de esa información en el tablón de anuncios —accesible a todos los residentes y a las visitas— exige respetar el principio de minimización de datos del artículo 5.1.c del RGPD: solo pueden exponerse los datos estrictamente necesarios para la finalidad perseguida, durante el tiempo imprescindible y sobre la base de un acuerdo de la junta que lo ampare de forma expresa. La información debe retirarse en cuanto se regularice la deuda. Publicar datos excesivos —como información bancaria, datos de procedimientos judiciales en curso o circunstancias personales del propietario— puede constituir una infracción del régimen sancionador del artículo 83 del RGPD.
En Summum Consultoría acompañamos a comunidades de propietarios de Castilla y León y Canarias en su adecuación integral al RGPD, desde el diagnóstico inicial hasta la implantación de todos los documentos y procedimientos exigibles: Registro de Actividades de Tratamiento, contratos de encargo con el administrador de fincas y demás proveedores que acceden a datos personales de la comunidad, cláusulas informativas para propietarios e inquilinos, protocolo de videovigilancia conforme al artículo 22 de la LOPDGDD y procedimiento de atención al ejercicio de derechos. Asesoramos también a la junta sobre los límites legales del tratamiento de datos de propietarios morosos y la forma admisible de hacer pública esa información. Nuestro trabajo es de acompañamiento y adecuación: no sustituimos a la AEPD ni garantizamos el resultado de eventuales procedimientos sancionadores, pero sí dotamos a la comunidad de las herramientas para demostrar un cumplimiento real y verificable ante cualquier inspección.