El Informe 0636/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de la comunicación de listas con datos personales de propietarios de fincas por parte de un administrador colegiado de fincas, a solicitud de los presidentes de las comunidades de propietarios, con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).
El informe comienza definiendo al «responsable del fichero» según el artículo 3 d) de la LOPD, como la persona o entidad que decide sobre la finalidad, contenido y uso del tratamiento de datos. En el caso de las comunidades de propietarios, la finalidad de mantener los ficheros con datos de los propietarios es asegurar el cumplimiento de la Ley de Propiedad Horizontal y garantizar el ejercicio de los derechos de los propietarios dentro de la comunidad. Por lo tanto, la comunidad de propietarios es considerada el responsable del fichero, y el administrador de fincas actúa como «encargado del tratamiento».
Para que la relación entre el responsable y el encargado del tratamiento sea conforme a la LOPD, es necesario que el acceso a los datos por parte del administrador se realice con la exclusiva finalidad de prestar un servicio a la comunidad, y que esta relación esté contractualmente establecida. El contrato debe especificar que el encargado del tratamiento solo tratará los datos conforme a las instrucciones del responsable y no los utilizará para fines distintos a los acordados.
El informe también destaca que, al término de la relación contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento, según lo establecido en el artículo 12.3 de la LOPD. El incumplimiento de esta obligación puede llevar a que el encargado del tratamiento sea considerado responsable del tratamiento y responda por las infracciones cometidas.
Además, se menciona que el administrador saliente debe ceder los datos de los propietarios al administrador entrante si recibe una indicación expresa de la comunidad de vecinos. En cuanto a la conservación de los datos, estos deben ser destruidos o devueltos una vez cumplida la prestación contractual, salvo que exista una previsión legal que exija su conservación.
Finalmente, el informe subraya que las medidas de seguridad que deben adoptar los encargados del tratamiento deben ser las mismas que las impuestas al responsable del fichero, según los artículos 9 y 12.2 de la LOPD. Esto asegura que los datos personales sean protegidos adecuadamente durante todo el proceso de tratamiento.