Protección de Datos

RGPD para administradores de fincas: guía

RGPD para administradores de fincas: rol de encargado, listas de morosos en el tablón, videovigilancia comunitaria, juntas telemáticas y cesiones entre vecinos.

En una frase. El administrador de fincas es, por regla general, encargado del tratamiento de cada comunidad de propietarios, que es la responsable; debe firmar el contrato del art. 28 RGPD con cada comunidad, y la publicación de listas de morosos en el tablón solo es lícita en los términos estrictos del art. 9 de la Ley de Propiedad Horizontal, uno de los focos habituales de sanción de la AEPD.

Las comunidades de propietarios generan un goteo constante de resoluciones de la AEPD: listas de morosos mal publicadas, cámaras que graban de más, cesiones de datos entre vecinos. El administrador, como profesional que gestiona esos datos, está en el centro del problema. Este artículo aclara su posición y sus obligaciones RGPD en 2026.

Puntos clave

  • La comunidad de propietarios es responsable del tratamiento; el administrador es normalmente encargado.
  • Es obligatorio firmar el contrato del art. 28 RGPD entre cada comunidad y el administrador.
  • La lista de morosos en el tablón solo es lícita con los requisitos del art. 9 de la Ley de Propiedad Horizontal (LPH): identificación del deudor notificado que no ha podido serlo por otros medios.
  • La videovigilancia comunitaria exige acuerdo de junta, cartel y 30 días de conservación.
  • Las juntas telemáticas y la entrega de datos a propietarios tienen límites de finalidad.

1. Quién es responsable y quién encargado

La relación jurídica es clave. La comunidad de propietarios decide sobre sus datos (propietarios, cuotas, incidencias) y es la responsable del tratamiento. El administrador de fincas, contratado para gestionar esa información por cuenta de la comunidad, actúa como encargado del tratamiento. Por tanto, cada comunidad y el administrador deben firmar un contrato de encargo del art. 28 RGPD que fije las instrucciones, la confidencialidad, las medidas de seguridad y el destino de los datos al finalizar el contrato.

Este esquema es el mismo que analizamos, desde el otro lado, en las sanciones AEPD a comunidades de propietarios, y conecta con la gestión inmobiliaria general de la guía de RGPD en inmobiliarias.

2. La lista de morosos en el tablón

Es la infracción estrella del sector. La regla es contraintuitiva: publicar la deuda de un vecino en el tablón no es un tratamiento libre. El art. 9 de la Ley de Propiedad Horizontal permite, como último recurso, hacer constar en la convocatoria de la junta la relación de propietarios con deudas y, si no se puede notificar personalmente al deudor, colocar la comunicación en el tablón de anuncios. La AEPD interpreta esto de forma estricta:

  • Solo cabe cuando ha resultado infructuoso el intento de notificación personal.
  • Debe limitarse a lo imprescindible para identificar al deudor.
  • Debe retirarse una vez cumplida su finalidad.
  • No cabe difundir la lista fuera del ámbito de la comunidad (redes, grupos de WhatsApp abiertos).

Publicar la lista de morosos de forma rutinaria, con datos excesivos o en canales no previstos, es sancionable. Los importes típicos del sector se recogen en la guía de sanciones AEPD a comunidades de propietarios.

3. Videovigilancia comunitaria

Requisito Regla
Acuerdo Junta de propietarios (mayoría de la LPH)
Cartel informativo Modelo AEPD, visible antes de acceder
Conservación Máximo 30 días
Audio Prohibido
Zonas Solo comunes; nunca viviendas ni vía pública

Las cámaras que enfocan portales, garajes o zonas comunes exigen acuerdo de la junta y cartel. No pueden captar el interior de viviendas ajenas, la vía pública más allá de lo imprescindible ni instalarse por un vecino a título individual apuntando a espacios comunes. Los timbres inteligentes y cámaras domésticas tipo Ring que graban el rellano común son otra fuente creciente de conflictos.

4. Juntas telemáticas y entrega de datos

Desde la reforma de la LPH que admite las juntas por videoconferencia, el administrador debe gestionar los datos de conexión y las grabaciones con la misma cautela: informar, limitar la finalidad (celebrar y documentar la junta) y no difundir la grabación fuera de la comunidad. La entrega de datos a un propietario que los solicita tiene límites: un comunero puede acceder a la información necesaria para ejercer sus derechos (actas, cuentas), pero no a datos de otros vecinos ajenos a esa finalidad.

5. Seguridad, conservación y registro

El administrador gestiona datos de contacto, cuotas, incidencias y, a veces, datos de salud (una solicitud de instalación de ascensor por movilidad reducida revela un dato del art. 9). Debe aplicar medidas de seguridad proporcionadas, conservar los datos solo durante los plazos legales (contables, prescripción de acciones) y mantener actualizado el registro de actividades de tratamiento de su despacho, además del de cada comunidad.

La difusión indebida de datos entre vecinos merece atención propia. Enviar el acta con datos de un moroso a todo un grupo de WhatsApp abierto, compartir el teléfono de un propietario sin su permiso o exhibir en el tablón datos ajenos a la finalidad de la junta son conductas que vulneran el art. 5 del Reglamento (UE) 2016/679. El administrador, como profesional, es quien debe frenar estas prácticas y asesorar a la junta sobre los límites, incluso cuando algún propietario presione en sentido contrario. Ante una brecha de seguridad (por ejemplo, el acceso indebido al sistema de gestión), debe activarse el procedimiento de notificación en 72 horas.

Gestionar decenas o cientos de comunidades multiplica los contratos de encargado y los registros: automatizar esos documentos y el control de plazos es precisamente donde una plataforma como Legiscope reduce el trabajo manual de un despacho de administración de fincas.

Véase también, para sectores con obligaciones de protección de datos similares: RGPD para corredurías de seguros, RGPD para banca y entidades financieras y RGPD para despachos de abogados.

Preguntas frecuentes

¿El administrador de fincas es responsable o encargado del tratamiento?

Por regla general, es encargado del tratamiento. La responsable es cada comunidad de propietarios, que decide sobre sus datos. Por eso es obligatorio firmar un contrato de encargo del art. 28 RGPD entre cada comunidad y el administrador.

¿Se puede publicar la lista de morosos en el tablón de la comunidad?

Solo en los términos del art. 9 de la Ley de Propiedad Horizontal: como último recurso, cuando no ha sido posible notificar personalmente al deudor, limitándose a lo imprescindible y retirando la comunicación cumplida su finalidad. Difundirla de forma rutinaria o en redes es sancionable.

¿Puede un vecino instalar una cámara que grabe el rellano?

No a título individual sobre zonas comunes. La videovigilancia de espacios comunes requiere acuerdo de la junta de propietarios y cartel informativo. Una cámara o timbre inteligente que grabe de forma continua el rellano o el portal común puede vulnerar la privacidad de los demás vecinos.

¿Puede un propietario pedir los datos de contacto de otro vecino?

Solo los necesarios para ejercer sus derechos dentro de la comunidad (por ejemplo, para una acción judicial derivada de la LPH). No tiene derecho de acceso general a los datos personales de los demás propietarios para finalidades ajenas a la vida comunitaria.

Conclusión

El administrador de fincas es la pieza profesional que puede convertir el desorden de datos de una comunidad en una gestión conforme, o en una cadena de expedientes. Su posición como encargado obliga a firmar contratos del art. 28 con cada comunidad; su gestión diaria le sitúa ante los dos focos clásicos de sanción: la lista de morosos y la videovigilancia. Aplicar el criterio estricto del art. 9 LPH, exigir acuerdo de junta para las cámaras y documentar cada tratamiento es la mejor defensa preventiva del despacho y de sus comunidades.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →