El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en relación con los servicios prestados a Comunidades de Propietarios. En concreto, se analiza si la entidad consultante debe ser considerada responsable del tratamiento o encargado del tratamiento de datos personales.
El RGPD define al «responsable del tratamiento» como la entidad que determina los fines y medios del tratamiento de datos, y al «encargado del tratamiento» como aquella que trata datos personales por cuenta del responsable. La AEPD subraya que estos conceptos son funcionales y deben evaluarse en función de las actividades reales y no solo de la designación formal en un contrato.
En el caso específico de las Comunidades de Propietarios, la AEPD establece que, generalmente, estas son responsables del tratamiento de datos cuando contratan servicios a terceros, quienes actúan como encargados del tratamiento. Esto se basa en que las comunidades determinan los fines y medios del tratamiento, cumpliendo con obligaciones legales derivadas de la Ley de Propiedad Horizontal.
El informe detalla que la prestación de servicios como la lectura, mantenimiento y conservación de contadores, y la emisión de liquidaciones de consumo de agua, implica el tratamiento de datos personales. La AEPD analiza si la entidad consultante, que presta estos servicios, debe ser considerada responsable o encargada del tratamiento.
Se concluye que, en el caso concreto, la entidad consultante actúa como encargada del tratamiento, ya que no persigue fines propios con el tratamiento de datos, sino que simplemente presta un servicio por el cual es remunerada. La Comunidad de Propietarios, como responsable, determina los fines y medios del tratamiento y tiene la influencia determinante en el mismo.
Además, el informe destaca que el estatus de encargado del tratamiento conlleva el cumplimiento de obligaciones específicas del RGPD y la LOPDGDD, como garantizar la confidencialidad, llevar un registro de actividades de tratamiento, aplicar medidas de seguridad adecuadas, y notificar violaciones de seguridad al responsable.
Finalmente, se señala que la entidad consultante debe ajustar el tratamiento de datos a los principios de limitación de finalidad y minimización de datos, evitando tratar información que no sea estrictamente necesaria para la prestación del servicio.