Aunque los interrogantes sobre el Reglamento General de Protección de Datos siguen siendo muchos, poco a poco van aclarándose nuevos aspectos en materia de aplicación de las medidas de prevención y seguridad recogidas en las directrices europeas. Uno de los ámbitos que últimamente está suscitando más polémica (y, a su vez y por ello mismo, sobre el que se está arrojando más luz) es el que concierne a las comunidades de vecinos. Dadas la infraestructura y el resto de particularidades de este tipo de comunidades (muchos implicados, gran variedad de espacios físicos y tecnologías que confluyen, etc.), parece ser que el RGPD va siendo adaptado sobre la marcha, es decir, conforme nuevos casos sin precedentes van llegando a los juzgados. Es por ello que los tribunales españoles están siendo uno de los órganos más útiles de cara a esclarecer algunas de las aristas hasta las que el Reglamento General de Protección de Datos y la Agencia Española de Protección de Datos (AEPD) extienden sus pautas.
Los administradores como ‘gestores de la privacidad’
Según se indica en la ‘Guía para administradores de fincas’ elaborada por la AEPD, los administradores de fincas deben aplicar ciertas medidas de manera estricta de cara a evitar posibles sanciones. En concreto, dicha guía estipula que, en caso de que sean varios los administradores con acceso a los datos de los vecinos de la comunidad, estos deberán poseer un nombre de usuario y una contraseña propios e intransferibles. Asimismo, la Agencia Española de Protección de Datos explicita que si un administrador trabaja con el mismo dispositivo (un ordenador, un móvil, una tableta electrónica, etc.) que usa en su vida privada, deberá crear un nuevo perfil ‘profesional’ para, a través del mismo, gestionar la información relativa a su cargo.
Los videoporteros
Cada vez son más los edificios que poseen este tipo de dispositivos, a través de los que se reproduce la escena que está teniendo lugar en el portal, por lo que la regulación de esta tipología de imágenes requiere de una regulación bien delimitada. Si los videoporteros son utilizados solo como filtros a través de los cuales identificar a las personas que tocan a un timbre, el Reglamento General de Protección de Datos indica que ni el administrador ni la comunidad de propietarios deberán introducir en su gestión ninguna medida de prevención extra. Sin embargo, si las imágenes que capta el videoportero son grabadas, será el administrador de turno el encargado de velar por el correcto tratamiento de las mismas: no podrán ser cedidas a terceros y todos los propietarios deberán dar su consentimiento para que la cámara siga grabando. El incumplimiento de esta regla puede acarrear sanciones y multas económicas.
Las cámaras de vigilancia
Al igual que sucede con los videoporteros, las imágenes capturadas por cámaras de seguridad o vigilancia serán tuteladas por el responsable asignado (normalmente, el administrador de la finca), y no podrán ser cedidas a terceros salvo que exista una relación contractual previa y bien delimitada. Una de las situaciones que últimamente se está reproduciendo de manera más recurrente en los juzgados es aquella en la que aparece un nuevo sujeto en la ecuación: el detective privado. Si un propietario contrata a un detective y desea que este tenga acceso a las grabaciones de las cámaras y, asimismo, que estas tengan validez ante la justicia, el detective se convertirá (tras firmar un contrato que así lo especifique) en el responsable del tratamiento de datos (en este caso, audiovisuales).
Los tablones informativos
Este punto quizá sea, hasta el día de hoy, sobre el que el RGPD haya arrojado menos luz. Cuando un proveedor cuelga en el tablón de la comunidad la hoja para contabilizar los registros de turno (de luz, agua o gas), los vecinos ‘publican’ información vulnerable e íntima (en este caso, relacionada con su consumo). Aunque no suele ser habitual, en caso de que un vecino interpusiese una demanda en relación a esta exposición de sus datos, sería el proveedor el responsable (es decir, el demandado). Lo que no está todavía claro es si dicha denuncia podría acarrear sanciones, ya que, como decíamos, ni la AEPD ni el RGPD son específicos al respecto.