El Informe 0066/2012 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal a la creación de un portal web privado y de acceso restringido para la rendición de cuentas por parte de la administración de una comunidad de propietarios. El informe se centra en el tratamiento y cesión de datos personales contenidos en documentos de la comunidad, excluyendo aquellos que no contengan datos personales.
### Concepto de Dato Personal
El informe define los datos personales como cualquier información concerniente a personas físicas identificadas o identificables. Esto incluye datos identificativos, de contacto, números de cuentas corrientes, coeficientes de participación, consumos individuales, ingresos, deudas, sentido del voto, y cualquier información referida a empleados o honorarios de profesionales abonados por la comunidad.
### Cesión de Datos Personales
La comunicación de datos personales entre los propietarios implica una cesión de datos, definida como la revelación de datos a una persona distinta del interesado. La Ley Orgánica 15/1999 permite esta cesión sin consentimiento del interesado cuando esté autorizada por una ley, como la Ley de Propiedad Horizontal, que habilita diversas cesiones de datos personales, como la convocatoria de juntas y la remisión de actas.
### Principios de Proporcionalidad y Finalidad
La comunicación de datos debe ser adecuada, pertinente y no excesiva en relación con la finalidad perseguida. El Tribunal Constitucional establece que cualquier medida restrictiva de derechos fundamentales debe ser idónea, necesaria y equilibrada. Por ejemplo, no es necesario comunicar directorios con datos de domicilio o números de cuenta corriente, ya que no contribuyen al control de la buena administración de la comunidad.
### Seguridad de los Datos
El portal web debe adoptar medidas de seguridad técnicas y organizativas para garantizar la integridad y confidencialidad de los datos personales. Estas medidas incluyen la identificación y autenticación de usuarios, la conservación de datos solo durante el tiempo necesario, y la actualización constante de los datos.
### Derechos de los Afectados
Los afectados por el tratamiento de datos tienen derechos de acceso, rectificación, cancelación y oposición. Estos derechos deben ser atendidos en los plazos establecidos por la ley, y cualquier denegación puede ser recurrida ante la AEPD.
### Responsabilidad y Encargados del Tratamiento
Los propietarios que creen el portal se convierten en responsables del fichero y deben cumplir con las obligaciones impuestas por la Ley Orgánica 15/1999. Si se encomienda la creación del portal a un tercero, este debe actuar como encargado del tratamiento, cumpliendo con los requisitos establecidos en la ley.
### Cloud Computing
El informe también aborda los riesgos asociados al almacenamiento de datos en la nube, como la falta de control y transparencia. Se recomienda realizar un análisis de riesgos completo y seleccionar proveedores que garanticen el cumplimiento de la legislación sobre protección de datos. Las transferencias internacionales de datos deben respetar el régimen establecido en la ley, y se debe obtener autorización previa de la AEPD si el país de destino no ofrece un nivel adecuado de protección.
En resumen, el informe subraya la importancia de cumplir con la normativa de protección de datos en la creación y gestión de un portal web para la rendición de cuentas de una comunidad de propietarios, asegurando la seguridad, proporcionalidad y legalidad en el tratamiento y cesión de datos personales.