La AEPD impone una multa de 15.000 euros a una comunidad de propietarios por publicar las actas de una reunión sin anonimizar
La Agencia Española de Protección de Datos (AEPD) en el procedimiento sancionador número 00378/2019, abierto por infracción del Reglamento General de Protección de Datos (RGPD), sanciona con 15.000 euros a una comunidad de propietarios formada por 215 vecinos, uno de ellos planteó denuncia ante este regulador al aparecer los datos personales de todos los afectados en un acta publicada en el ascensor del inmueble.
El documento era especialmente importante, ya que en él se acordaba el inicio de acciones judiciales contra una serie de vecinos de la comunidad por obras ilegales.
Protección de Datos indica en su resolución que la comunidad ha vulnerado el artículo 5.1 f) del RGPD, que rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.
El regulador español establece la sanción máxima en este sentido con los agravantes que vienen definidos como acción negligente no intencional, pero significativa (artículo 83.2 b del propio RGPD y además se encuentran afectados identificadores personales básicos, según el artículo83.2g del citado reglamento.
Para Francisco Javier Sempere, abogado experto en protección de datos, hace un análisis previo de la cuestión “a efectos de la aplicación de la normativa de protección de datos, en aquellas comunidades de propietarios en las que exista la figura del administrador de fincas, debemos tener claro quién es quién».
“La comunidad de propietarios actuará como responsable de los tratamientos de datos personales y el administrador de fincas como encargado de tratamiento”, comenta.
No obstante, desde su punto de vista, “el administrador de fincas es algo más que un encargado de tratamiento al uso, por lo cual y aunque todavía no se ha abierto el debate al respecto, podría estudiarse si estamos ante la figura de la corresponsabilidad que regula de forma detallada el artículo 26 del RGPD”.
En cuanto a los tratamientos de datos que tienen lugar en las comunidades de propietarios, «podemos distinguir, al menos, los siguientes: los derivados de la propia gestión de la comunidad (datos de propietarios, actas, facturas para mantener la comunidad, etc.); videovigilancia, en caso de que haya sido instalada por la comunidad, que únicamente puede instalarse en las zonas comunes, con la posibilidad de que también se instale en la piscina comunitaria».
Asimismo, agrega, «en el caso de que exista personal contratado de portería la documentación generada (datos de esta persona, nómina, etc.) y también cabría la posibilidad de que exista otro encargado de tratamiento si la videovigilancia la controla una empresa externa«.
Sempere reconoce que “se trata de un sector sobre el que se han planteado múltiples cuestiones sobre protección de datos como, por ejemplo, si los propietarios pueden acceder a la documentación obrante en la Comunidad, si se puede facilitar el móvil de un propietario a otro para ponerse en contacto, o quien puede acceder a las imágenes grabadas en caso de que se haya producido algún incidente, como podría ser comprobar quién ha roto el cristal de la entrada del portal”.
Pues bien, para ayudar a este sector, la Agencia Española de Protección de Datos publicó la Guía Protección de Datos y Administradores de Fincas, y en su sede electrónica, en la relación de ‘preguntas frecuentes’, existe un apartado dedicado a las comunidades de propietarios.
El ascensor no es el canal
Por su parte, Víctor Salgado, socio de Pintos & Salgado Abogados, despacho especializado en derecho informático y privacidad desde 1997, explica que la AEPD ya ha superado el plazo de gracia a nivel de sanciones. Y estas resoluciones tienen una entidad económica importante.
“Para una Comunidad de Propietarios sorprende una cuantía de 15.000 euros, es una sanción bastante importante. No es menos la infracción. Hablamos de una muy grave porque vulnera, o eso entiende la AEPD, uno de los principios básicos del RGPD de integridad y confidencialidad de la información”.
Salgado recuerda que “esos datos publicados podían ser accesibles por personas que no fueran propietarios o inquilinos del propio edificio. El asunto está en cómo han dado publicidad a los datos fuera del tablón de anuncios”.
La Ley de Propiedad Horizontal deja publicar en el tablón si no se ha conseguido la notificación personal y eso queda acreditado, “según se expone en la resolución sancionadora, dicha acreditación en este caso no se ha producido y se buscó un método expeditivo. Esto es lo que se ha hecho a costa de conculcar derechos fundamentales de las personas”.
Para este jurista, “colocar en el ascensor no es habitual este tipo de situaciones. Debe ser un lugar restringido para los propietarios. Al mismo tiempo, en otras ocasiones cuando se da publicidad notoria se puede optar por no incluir toda la información personal”.
“No es necesario que figuren los nombres y apellidos de los propietarios, bastaría el piso para seudonimizar la información de los propietarios, sin necesidad de incluir esos datos personales, tal y como aparentemente se hizo, pero a posteriri, según se detalla en la resolución sancionadora. Si aquél fuera el caso la sanción no hubiera sido tan contundente y hubiera sido inferior”.
En el caso de las deudas en la comunidad de propietarios se suele hacer así, con el número de finca sin apuntar con el dedo y con los datos personales de las personas deudoras.
“En este caso, hablamos de emprender de acciones judiciales por el tema de obras, es un caso similar, que la AEPD lo ha tomado en cuenta a la hora sancionar a este respecto”.
Desestimado el recurso de reposición ante la AEPD, la comunidad de propietarios tiene la posibilidad, salvo pedir una suspensión cautelar, de recurrir a la Audiencia Nacional. Hay también la opción de pagar en el plazo con lo cual habría una reducción de la sanción económica y pagar un porcentaje de reducción.
Salgado recuerda que “las comunidades de propietarios no tienen personalidad jurídica propia. Es un problema a nivel de protección de datos. Sin embargo, para la AEPD este colectivo puede ser responsable del tratamiento de forma atípica. Para que sea tal debería tener personalidad jurídica o individual que no tiene”.
En este caso no tiene personalidad jurídica propia, tiene un CIF a efectos fiscales pero a efectos jurídicos no es una entidad, “por tanto en esa comunidad de bienes se podría repercutir esa sanción en los distintos propietarios de forma solidaria si fuera insolvente”.
También aclara que en caso de insolvencia “se podría ir, incluso, contra el patrimonio físico de cada uno de los propietarios, llegado el caso”.
Respecto al recurso ante la Audiencia Nacional, indica que “estamos hablando de meses a nivel de resolución. La Audiencia podría llegar a inadmitir si no se cumplen los requisitos o solicitar documentación adicional”.
Fuente: Confilegal