Sector · Vecinal y fincas

RGPD para comunidades de propietarios

Las comunidades de propietarios tratan datos personales de vecinos en actas, listados de morosos, sistemas de videovigilancia y comunicaciones por WhatsApp o tablón. Aunque la comunidad no es una empresa, sí es responsable del tratamiento (Art. 4 RGPD) y la AEPD inspecciona cuando hay denuncia de un vecino. El administrador de fincas suele actuar como encargado del tratamiento.

Calcular mi tarifa para comunidad de propietariosLeer la guía completa

RGPD en una comunidad de propietarios: quién es responsable

El RGPD comunidades propietarios se aplica a toda agrupación regulada por la Ley 49/1960 de Propiedad Horizontal (LPH) que trate datos personales de los vecinos. La comunidad de propietarios es, en términos del Reglamento (UE) 2016/679, responsable del tratamiento (Art. 4.7 RGPD): decide qué datos se recogen, para qué finalidad y durante cuánto tiempo. El administrador de fincas colegiado, cuando existe, actúa habitualmente como encargado del tratamiento (Art. 4.8 RGPD) porque trata los datos por cuenta y siguiendo instrucciones de la comunidad.

Esta distinción no es teórica. Cuando un vecino presenta denuncia ante la Agencia Española de Protección de Datos (AEPD), la autoridad pide ver el contrato de encargo Art. 28 RGPD, el Registro de Actividades de Tratamiento (Art. 30 RGPD) y los acuerdos de junta que sirvieron de base a tratamientos sensibles como la videovigilancia o la publicación de morosos. La falta de cualquiera de estos documentos abre vía sancionadora directa para la comunidad como persona jurídica, no para el presidente a título individual, aunque sea quien firma operativamente.

La comunidad no tiene personalidad jurídica plena pero la AEPD la considera responsable a efectos sancionadores conforme a doctrina consolidada y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantías de los Derechos Digitales (LOPDGDD). Procedimientos sancionadores publicados por la AEPD confirman este criterio en supuestos de tablón de morosos indebido, cámaras orientadas a viviendas particulares y filtración de datos de propietarios.

Base jurídica del tratamiento en la comunidad

Toda comunidad de propietarios debe identificar y documentar la base jurídica del Art. 6 RGPD antes de iniciar cualquier tratamiento. En la práctica vecinal coexisten dos bases principales: el cumplimiento de una obligación legal (Art. 6.1.c RGPD) derivada de la Ley 49/1960 de Propiedad Horizontal, que obliga a la comunidad a convocar juntas, levantar actas, llevar libros de contabilidad y reclamar cuotas impagadas; y el interés legítimo (Art. 6.1.f RGPD) para la gestión vecinal ordinaria que no esté expresamente cubierta por la LPH, como mantener listados de contacto de propietarios, gestionar accesos a zonas comunes o coordinar incidencias de mantenimiento.

El consentimiento (Art. 6.1.a RGPD) no es la base correcta para tratamientos estructurales de la comunidad porque el vecino no puede negarse a que su nombre figure en un acta, en la lista de propietarios o en la convocatoria de junta sin renunciar a ser propietario. La AEPD ha reiterado en sus criterios que cuando una norma obliga al tratamiento, pedir consentimiento es jurídicamente erróneo y puede invalidar el resto del cumplimiento. El consentimiento sí aplica en tratamientos opcionales: grupos de WhatsApp, fotos de eventos sociales en zonas comunes, programas voluntarios de notificaciones.

Cada base jurídica obliga a un deber de información distinto en el momento de recoger los datos (Art. 13 y 14 RGPD). Cardeseo redacta las cláusulas informativas para acta de junta, formulario de alta de propietario, sistema de videovigilancia y empleados de finca con la base jurídica correcta en cada caso, evitando el típico error de mezclar consentimiento e interés legítimo en la misma cláusula.

Lista de morosos: lo que NO puedes hacer

La publicación de la lista de morosos en el tablón del portal es uno de los puntos donde más comunidades incumplen el RGPD por desconocimiento. La AEPD ha reiterado en resoluciones consolidadas que la publicación nominal de vecinos morosos en tablón físico abierto, redes sociales, grupo de WhatsApp vecinal o web de la comunidad supone tratamiento ilícito de datos personales porque expone públicamente información económica que puede asimilarse a doxxing reputacional.

El Art. 21 de la Ley 49/1960 de Propiedad Horizontal permite a la junta acordar la reclamación judicial de cantidades impagadas y exige notificar al moroso la convocatoria de la junta donde se aprobará la liquidación. Pero ese precepto no autoriza la publicación abierta del nombre del moroso fuera del expediente interno. La doctrina AEPD consolidada en procedimientos sancionadores contra comunidades concluye que solo cabe notificación individualizada al moroso (carta certificada, burofax, requerimiento del administrador) y, en su caso, inclusión nominal en el acta de la junta —documento de acceso restringido a los propios propietarios conforme al Art. 16 LPH—.

Lo que sí puede hacer la comunidad de propietarios: mantener una lista interna de morosos no expuesta, accesible únicamente al presidente, secretario, administrador y junta; incluir nominalmente al moroso en el orden del día y el acta de la junta donde se aprueba la reclamación; emitir certificación de deuda a efectos del Art. 9 LPH; y reclamar judicialmente la cantidad por el procedimiento monitorio del Art. 21 LPH. Lo que no puede hacer: pegar el listado en el portal, mandarlo al grupo de WhatsApp vecinal, publicarlo en la web de la comunidad o en redes sociales del administrador.

Las sanciones AEPD para comunidades de propietarios que han publicado morosos indebidamente se sitúan en el rango pymes de 5.000 € a 100.000 € dependiendo del número de vecinos afectados, la persistencia en la conducta y la advertencia previa. En supuestos puntuales con escasa difusión la AEPD ha optado por advertencia (Art. 58.2.b RGPD) sin multa, pero solo cuando hay colaboración inmediata y retirada del listado.

Videovigilancia en zonas comunes (Guía AEPD 2024)

Las cámaras de videovigilancia en portal, garaje, ascensor, patios y zonas comunes son uno de los tratamientos más inspeccionados por la AEPD en el ámbito vecinal. La Guía AEPD sobre tratamientos con fines de videovigilancia (versión 2024) establece el marco aplicable que la jurisprudencia europea ha reforzado con la sentencia del TJUE en el asunto C-708/18 sobre videovigilancia en zonas comunes de edificios residenciales.

Requisitos para instalar cámaras en una comunidad de propietarios: acuerdo de junta con la mayoría reforzada del Art. 17 LPH (3/5 propietarios y cuotas) antes de la instalación; cartel informativo homologado AEPD visible desde la entrada de la zona videovigilada que identifique al responsable (la comunidad), la finalidad (seguridad), el derecho de acceso y el contacto para ejercerlo; conservación máxima 30 días salvo necesidad acreditada por incidencia (Art. 22.3 LOPDGDD); registro del tratamiento en el RAT de la comunidad; y, si se interconecta con central de alarmas externa, contrato Art. 28 RGPD con esa central.

Zonas prohibidas: la puerta de una vivienda concreta orientada de manera específica (vulnera la intimidad del vecino frente al resto), el interior de viviendas, la vía pública más allá de lo estrictamente necesario para captar el acceso, los vestuarios o zonas de descanso del personal de portería, los aseos. La cámara no puede grabar sonido salvo que concurra el supuesto excepcional del Art. 89.2 LOPDGDD (riesgo relevante para la seguridad de instalaciones, bienes o personas) debidamente justificado y proporcional.

Las cámaras simuladas (sin grabación real) no están reguladas por el RGPD pero la AEPD recomienda señalizarlas igualmente para evitar confusión. Las cámaras instaladas por un vecino particular en su puerta orientadas hacia rellano común están sometidas al RGPD del propio vecino como responsable, no de la comunidad, pero la comunidad puede instar su retirada si invaden la intimidad del resto.

Junta de propietarios, votos y actas

La junta de propietarios es el órgano deliberativo de la comunidad. Su funcionamiento, regulado por los Arts. 13 a 19 de la Ley 49/1960 de Propiedad Horizontal, implica tratamiento de datos personales de los asistentes en varios momentos: convocatoria nominal, lista de asistentes con cuotas de participación, recogida de votos, levantamiento del acta y conservación del libro de actas.

La base jurídica de estos tratamientos es obligación legal (Art. 6.1.c RGPD) derivada de la LPH. No procede pedir consentimiento al propietario para incluir su nombre en el acta o registrar su voto, porque la propia ley impone que el acta refleje los acuerdos adoptados y la identificación de los votos contrarios (Art. 17.8 LPH) a efectos de la posterior impugnación. Sí procede informar al propietario, en el momento del alta como tal, de que sus datos serán tratados con esta finalidad y de los derechos que le asisten (Art. 13 RGPD).

El acceso a las actas y libros de la comunidad está regulado por el Art. 16 LPH: cualquier propietario puede solicitar copia del acta y consultar el libro de actas, pero terceros no propietarios no tienen ese derecho de acceso. El administrador o secretario no puede facilitar el contenido íntegro del acta a un inquilino, un acreedor externo o un periodista sin base jurídica adicional. Si un vecino propietario solicita acta, debe entregarse sin tachado de datos del resto de propietarios porque la propia ley exige la trazabilidad de votos y deudas.

Las grabaciones audiovisuales de la junta sí requieren consentimiento informado de todos los asistentes porque exceden la finalidad estricta del acta escrita. Si la comunidad decide grabar la junta para apoyo del secretario, debe avisarse al inicio, ofrecerse alternativa al asistente que no quiera ser grabado y conservarse la grabación solo el tiempo necesario para redactar el acta definitiva.

El administrador de fincas como encargado del tratamiento

El administrador de fincas colegiado contratado por la comunidad es encargado del tratamiento (Art. 4.8 RGPD) porque trata datos personales de los propietarios por cuenta de la comunidad y siguiendo sus instrucciones. El Art. 28 RGPD exige un contrato de encargo del tratamiento firmado entre la comunidad (responsable) y el administrador (encargado) que especifique: el objeto, la duración, la naturaleza y la finalidad del tratamiento; el tipo de datos personales y las categorías de interesados; las obligaciones y derechos del responsable; las medidas técnicas y organizativas para garantizar la seguridad; las condiciones de sub-encargo; el deber de confidencialidad; la asistencia al responsable para responder a derechos de los titulares; y el destino de los datos al finalizar la prestación.

En la práctica, muchas comunidades de propietarios firmaron un contrato genérico de administración hace años que no incluye las cláusulas Art. 28 RGPD, lo que abre vía sancionadora solidaria contra ambas partes si hay denuncia. Es habitual encontrar contratos donde el administrador aparece como "responsable" cuando funcionalmente es encargado, o donde no figura el régimen de devolución/destrucción de datos al cesar la relación (Art. 28.3.g RGPD).

La conservación de los datos por parte del administrador debe alinearse con las obligaciones legales y fiscales de la comunidad. Datos económicos (cuotas, derramas, fondos): 4 años por obligación fiscal (Art. 66 Ley General Tributaria 58/2003) y 6 años por obligación contable (Art. 30 Código de Comercio). Datos de actas y libros oficiales: indefinida mientras exista la comunidad. Datos personales de propietarios que han vendido: hasta el plazo de prescripción de eventuales reclamaciones derivadas de su titularidad pasada.

Para el detalle del cumplimiento desde el lado del administrador, ver el contenido específico del sector administradores de fincas, que cubre la gestión multi-cliente, sub-encargados (software, limpieza, mantenimiento) y devolución/destrucción al cambiar de administrador.

WhatsApp y comunicaciones vecinales

Los grupos de WhatsApp vecinales son uno de los puntos grises más frecuentes. El criterio práctico es: si el grupo está gestionado oficialmente por la comunidad (lo administra el presidente, el secretario o el administrador en el marco de sus funciones) y se utiliza para difundir convocatorias, recordatorios de cuotas, avisos de obras o actas, entonces el RGPD aplica plenamente y la comunidad es responsable del tratamiento. Si el grupo es iniciativa personal de un vecino entre amigos del edificio sin funciones de gestión, queda dentro de la "actividad estrictamente personal o doméstica" del Art. 2.2.c RGPD y no se aplica.

Cuando aplica el RGPD, la comunidad debe: informar previamente del tratamiento (finalidad, base jurídica, derechos) antes de añadir a un vecino al grupo; recoger consentimiento o ampararse en interés legítimo según el contenido; permitir la salida del grupo en cualquier momento sin penalización; no publicar en el grupo información que no podría publicarse en el tablón (especialmente lista de morosos); y respetar la prohibición de difusión secundaria de mensajes a terceros ajenos al grupo.

Para comunicaciones oficiales (convocatorias, actas, notificaciones de cuotas) la AEPD recomienda canales formales con trazabilidad (correo postal, burofax, email con acuse) antes que WhatsApp, aunque WhatsApp puede usarse como complemento informativo. Cardeseo redacta la cláusula informativa para el alta de propietarios en los canales digitales de la comunidad.

Empleados de la finca (portero, limpieza, mantenimiento)

Los empleados de la finca —portero o conserje, personal de limpieza, mantenimiento, jardinería— son trabajadores cuya relación laboral genera tratamiento de datos personales bajo base jurídica de ejecución del contrato laboral (Art. 6.1.b RGPD) y, para nóminas y cotizaciones, obligación legal (Art. 6.1.c RGPD) derivada del Estatuto de los Trabajadores, la Ley General de la Seguridad Social y la normativa tributaria.

El registro de jornada del Art. 34.9 ET y el Real Decreto-ley 8/2019 obliga a la comunidad como empleadora a llevar registro diario de jornada del personal de finca con conservación mínima de 4 años. El registro debe permitir la consulta del propio trabajador, la Inspección de Trabajo y los representantes legales. Las cámaras del portal o garaje no pueden utilizarse como sistema principal de control horario salvo que se haya informado expresamente al trabajador y exista base jurídica diferenciada.

Las infracciones laborales detectadas en el ámbito de la comunidad como empleadora se rigen por la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS), Real Decreto Legislativo 5/2000. La sanción concreta aplicable depende del tipo de infracción detectada, conforme al Criterio Técnico 101/2019 de la Inspección de Trabajo y Seguridad Social, que sistematiza la clasificación de infracciones en materia de tiempo de trabajo y registro horario.

Datos especialmente sensibles del personal de finca: bajas médicas (Art. 9 RGPD, base del Art. 9.2.b RGPD por obligaciones laborales y seguridad social), datos sindicales, datos de afiliación a planes de pensiones, datos del cónyuge a efectos de IRPF. Todos ellos exigen medidas de seguridad reforzadas en el archivo (cifrado, control de accesos por rol).

Sanciones AEPD orientativas para comunidades

Las sanciones AEPD aplicables a las comunidades de propietarios se mueven en el rango orientativo de pymes: entre 5.000 € y 100.000 € según la gravedad del incumplimiento, el número de personas afectadas, la intencionalidad y la cooperación con la autoridad. Para infracciones graves, el Art. 78 LOPDGDD prevé prescripción a los 2 años; para infracciones muy graves, 3 años. La conservación de la documentación que acredita el cumplimiento debe ser de 4 años alineada con el plazo fiscal del Art. 66 LGT, no con la prescripción de la infracción.

Supuestos típicos sancionados: publicación de lista de morosos en tablón abierto o WhatsApp vecinal (5.000 €-30.000 €), cámaras orientadas a viviendas concretas o a vía pública (10.000 €-50.000 €), ausencia de contrato Art. 28 RGPD con el administrador (multa solidaria a ambas partes), filtración del listado de propietarios a terceros comerciales (10.000 €-40.000 €), instalación de videovigilancia sin acuerdo de junta o sin cartel homologado (5.000 €-20.000 €).

En supuestos de menor gravedad la AEPD ha aplicado la advertencia del Art. 58.2.b RGPD sin sanción económica, especialmente cuando la comunidad colabora, retira la publicación o regulariza el tratamiento de manera inmediata. Tanto la Audiencia Nacional como el Tribunal Supremo, en sentencias revisoras de resoluciones AEPD, valoran positivamente la colaboración temprana y la asistencia técnica externa contratada para la regularización.

Cómo adecua Cardeseo una comunidad de propietarios

Cardeseo adecua la comunidad de propietarios mediante el pack Tier Estándar a 349 €/año facturado anualmente a la comunidad como persona jurídica (CIF de la comunidad o, en su defecto, NIF del presidente como representante legal). El servicio se contrata a través del administrador de fincas o directamente con el presidente, sin que la comunidad tenga que duplicar gestiones internas.

El pack incluye el Registro de Actividades de Tratamiento (RAT) específico para una comunidad de propietarios con todos los tratamientos típicos (gestión vecinal, cuotas, junta y actas, videovigilancia si procede, empleados de finca si los hay, comunicaciones digitales); las cláusulas informativas Art. 13 RGPD para alta de propietarios, cartel de videovigilancia homologado, convocatoria de junta y contratación de personal; el contrato de encargo Art. 28 RGPD entre comunidad y administrador validado por jurista; el documento de seguridad con las medidas técnicas y organizativas; las plantillas de respuesta a derechos del titular (acceso, rectificación, supresión, oposición, portabilidad y limitación); soporte continuo en departamentojuridico@cardeseo.com con SLA de 24 horas; y respuesta a inspecciones o requerimientos AEPD durante el año de vigencia.

El precio equivale aproximadamente a 3-5 € por vivienda al año en una comunidad típica de 70-100 viviendas, cantidad que se incorpora a la cuenta de gastos anual y se reparte por cuota de participación. El servicio se factura desde Groove Factory Studios SL (CIF B42915165) y los payment links se procesan a través de esa entidad.

Preguntas frecuentes

¿Puedo poner los nombres de morosos en el tablón?

No con publicación abierta. La AEPD ha sancionado de forma reiterada la publicación nominal de morosos en tablón visible, redes sociales o grupo de WhatsApp vecinal. Lo único correcto es la notificación individualizada al moroso por carta certificada o burofax, la inclusión nominal en el acta de la junta donde se acuerde la reclamación judicial conforme al Art. 21 LPH y la lista interna no expuesta accesible solo al presidente, secretario y administrador. Cardeseo te facilita las plantillas correctas.

¿Necesita la comunidad un cartel de videovigilancia?

Sí, es obligatorio según la Guía AEPD sobre videovigilancia (versión 2024) si la comunidad tiene cámaras instaladas en cualquier zona común. El cartel debe ser homologado AEPD, visible desde el acceso a la zona videovigilada e identificar al responsable, la finalidad, el derecho de acceso y el contacto. La conservación máxima de las grabaciones es de 30 días salvo necesidad acreditada. Cardeseo incluye los carteles homologados en el pack.

¿Quién firma el RGPD: la comunidad o el administrador?

La comunidad es responsable del tratamiento conforme al Art. 4.7 RGPD y firma como tal a través del presidente. El administrador de fincas colegiado es encargado del tratamiento (Art. 4.8 RGPD) y firma el contrato de encargo Art. 28 RGPD por separado. Ambos documentos son obligatorios. Sin el contrato de encargo firmado, la AEPD puede sancionar solidariamente a la comunidad y al administrador en caso de inspección.

¿Puedo grabar la junta de propietarios?

Solo con información previa y consentimiento de todos los asistentes, porque la grabación excede la finalidad del acta escrita exigida por la LPH. Si la comunidad decide grabar para apoyo del secretario, debe avisarse al inicio, permitir alternativa al asistente que no quiera ser grabado y borrar la grabación cuando el acta esté redactada y aprobada. Las decisiones quedan reflejadas válidamente en el acta firmada sin necesidad de grabación.

¿Y el grupo de WhatsApp vecinal?

Si lo administra oficialmente la comunidad (presidente, secretario, administrador) para convocatorias, recordatorios o avisos, sí aplica el RGPD plenamente y debes informar antes de añadir a un vecino, ofrecer salida y no publicar información sensible como morosos. Si es un grupo informal entre amigos del edificio sin funciones de gestión, queda en la excepción doméstica del Art. 2.2.c RGPD. Cardeseo redacta la cláusula informativa correcta.

¿Qué pasa con los datos de los empleados de portería?

La comunidad es empleadora y, por tanto, responsable del tratamiento de los datos del personal de finca con base en el contrato laboral (Art. 6.1.b RGPD) y la obligación legal en materia laboral y fiscal (Art. 6.1.c RGPD). Debes llevar registro de jornada conforme al Art. 34.9 ET con conservación mínima de 4 años. La sanción concreta aplicable en caso de incumplimiento se rige por LISOS (RDLeg 5/2000) según la infracción detectada conforme al Criterio Técnico 101/2019.

Próximos pasos

Adecuar tu comunidad de propietarios al RGPD lleva entre 7 y 14 días con Cardeseo. Calcula la tarifa exacta sin formulario en cumplimiento legal y revisa el flujo completo del servicio en onboarding RGPD.

Si tu comunidad ya tiene administrador de fincas, coordinaremos directamente con él la firma del contrato de encargo Art. 28 RGPD —ver el contenido específico para administradores de fincas que cubre la gestión multi-comunidad—. Si quieres ver las plantillas operativas que entrega Cardeseo, consulta los recursos y plantillas o lee la guía general qué es el RGPD antes de contratar.

Para empezar, contacta con un asesor de Cardeseo y firma el alta del servicio anual a 349 €/año facturado por Groove Factory Studios SL.

Más sectores de Vecinal y fincas

← Volver a cumplimiento legalEmpezar adecuación RGPD →