La Agencia Española de Protección de Datos (AEPD) en el procedimiento sancionador número 00378/2019, abierto por infracción del Reglamento General de Protección de Datos (RGPD), sanciona con 15.000 euros a una comunidad de propietarios formada por 215 vecinos, uno de ellos planteó denuncia ante este regulador al aparecer los datos personales de todos los afectados en un acta publicada en el ascensor del inmueble.
El documento era especialmente importante, ya que en él se acordaba el inicio de acciones judiciales contra una serie de vecinos de la comunidad por obras ilegales.
Protección de Datos indica en su resolución que la comunidad ha vulnerado el artículo 5.1 f) del RGPD, que rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.
El regulador español establece la sanción máxima en este sentido con los agravantes que vienen definidos como acción negligente no intencional, pero significativa (artículo 83.2 b del propio RGPD y además se encuentran afectados identificadores personales básicos, según el artículo83.2g del citado reglamento.
Para Francisco Javier Sempere, abogado experto en protección de datos, hace un análisis previo de la cuestión “a efectos de la aplicación de la normativa de protección de datos, en aquellas comunidades de propietarios en las que exista la figura del administrador de fincas, debemos tener claro quién es quién».
“La comunidad de propietarios actuará como responsable de los tratamientos de datos personales y el administrador de fincas como encargado de tratamiento”, comenta.
No obstante, desde su punto de vista, “el administrador de fincas es algo más que un encargado de tratamiento al uso, por lo cual y aunque todavía no se ha abierto el debate al respecto, podría estudiarse si estamos ante la figura de la corresponsabilidad que regula de forma detallada el artículo 26 del RGPD”.
En cuanto a los tratamientos de datos que tienen lugar en las comunidades de propietarios, «podemos distinguir, al menos, los siguientes: los derivados de la propia gestión de la comunidad (datos de propietarios, actas, facturas para mantener la comunidad, etc.); videovigilancia, en caso de que haya sido instalada por la comunidad, que únicamente puede instalarse en las zonas comunes, con la posibilidad de que también se instale en la piscina comunitaria».
Asimismo, agrega, «en el caso de que exista personal contratado de portería la documentación generada (datos de esta persona, nómina, etc.) y también cabría la posibilidad de que exista otro encargado de tratamiento si la videovigilancia la controla una empresa externa«.
Sempere reconoce que “se trata de un sector sobre el que se han planteado múltiples cuestiones sobre protección de datos como, por ejemplo, si los propietarios pueden acceder a la documentación obrante en la Comunidad, si se puede facilitar el móvil de un propietario a otro para ponerse en contacto, o quien puede acceder a las imágenes grabadas en caso de que se haya producido algún incidente, como podría ser comprobar quién ha roto el cristal de la entrada del portal”.
Pues bien, para ayudar a este sector, la Agencia Española de Protección de Datos publicó la Guía Protección de Datos y Administradores de Fincas, y en su sede electrónica, en la relación de ‘preguntas frecuentes’, existe un apartado dedicado a las comunidades de propietarios.
Sempere recuerda, en relación a la infracción cometida por la comunidad de propietarios, que “la Ley de Propiedad Horizontal prevé, en su artículo 9.h), la publicación en el tablón de anuncios, siempre y cuando quede acreditado que ha sido imposible practicar la notificación en el domicilio señalado a tal efecto por los propietarios”.
“Y en el caso que nos ocupa, no solo se ha publicado en el ascensor y no en el tablón de anuncios, sino que tampoco parece que se haya acreditado la citada imposibilidad«, advierte este experto.
“A todo ello habría que añadir que a ese tablón solo puedan acceder los propietarios, porque de lo contrario se permitiría un acceso indiscriminado a los datos personales, ya que cualquiera, independientemente sea propietario o no, incluyendo aquellos que entrasen en la finca, podría acceder a los mismos”, aclara.
Sempere cita a este respecto la sentencia de 27 de septiembre de 2019 de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, sobre la publicación de la convocatoria de una junta en el tablón de anuncios que no solo no cumplió con los requisitos que fija la Ley de Propiedad Horizontal sino que “donde se expuso la convocatoria de la junta, se podría ver no solo por los inquilinos del edificio, de los que muchos no son propietarios, sino también por terceras personas ajenas a la Comunidad que visitasen el edificio”.
“En ese caso, la multa fue de 4.000 euros, y como vemos, en el caso que nos ocupa, más alta, al alcanzar los 15.000”.
El ascensor no es el canal
Por su parte, Víctor Salgado, socio de Pintos & Salgado Abogados, despacho especializado en derecho informático y privacidad desde 1997, explica que la AEPD ya ha superado el plazo de gracia a nivel de sanciones. Y estas resoluciones tienen una entidad económica importante.
“Para una Comunidad de Propietarios sorprende una cuantía de 15.000 euros, es una sanción bastante importante. No es menos la infracción. Hablamos de una muy grave porque vulnera, o eso entiende la AEPD, uno de los principios básicos del RGPD de integridad y confidencialidad de la información”.
Salgado recuerda que “esos datos publicados podían ser accesibles por personas que no fueran propietarios o inquilinos del propio edificio. El asunto está en cómo han dado publicidad a los datos fuera del tablón de anuncios”.
La Ley de Propiedad Horizontal deja publicar en el tablón si no se ha conseguido la notificación personal y eso queda acreditado, “según se expone en la resolución sancionadora, dicha acreditación en este caso no se ha producido y se buscó un método expeditivo. Esto es lo que se ha hecho a costa de conculcar derechos fundamentales de las personas”.
Para este jurista, “colocar en el ascensor no es habitual este tipo de situaciones. Debe ser un lugar restringido para los propietarios. Al mismo tiempo, en otras ocasiones cuando se da publicidad notoria se puede optar por no incluir toda la información personal”.
“No es necesario que figuren los nombres y apellidos de los propietarios, bastaría el piso para seudonimizar la información de los propietarios, sin necesidad de incluir esos datos personales, tal y como aparentemente se hizo, pero a posteriri, según se detalla en la resolución sancionadora. Si aquél fuera el caso la sanción no hubiera sido tan contundente y hubiera sido inferior”.
En el caso de las deudas en la comunidad de propietarios se suele hacer así, con el número de finca sin apuntar con el dedo y con los datos personales de las personas deudoras.
“En este caso, hablamos de emprender de acciones judiciales por el tema de obras, es un caso similar, que la AEPD lo ha tomado en cuenta a la hora sancionar a este respecto”.
Desestimado el recurso de reposición ante la AEPD, la comunidad de propietarios tiene la posibilidad, salvo pedir una suspensión cautelar, de recurrir a la Audiencia Nacional. Hay también la opción de pagar en el plazo con lo cual habría una reducción de la sanción económica y pagar un porcentaje de reducción.
Salgado recuerda que “las comunidades de propietarios no tienen personalidad jurídica propia. Es un problema a nivel de protección de datos. Sin embargo, para la AEPD este colectivo puede ser responsable del tratamiento de forma atípica. Para que sea tal debería tener personalidad jurídica o individual que no tiene”.
En este caso no tiene personalidad jurídica propia, tiene un CIF a efectos fiscales pero a efectos jurídicos no es una entidad, “por tanto en esa comunidad de bienes se podría repercutir esa sanción en los distintos propietarios de forma solidaria si fuera insolvente”.
También aclara que en caso de insolvencia “se podría ir, incluso, contra el patrimonio físico de cada uno de los propietarios, llegado el caso”.
Respecto al recurso ante la Audiencia Nacional, indica que “estamos hablando de meses a nivel de resolución. La Audiencia podría llegar a inadmitir si no se cumplen los requisitos o solicitar documentación adicional”.
Cuidado con los datos de terceros
Por su parte, José Leandro Núñez, socio de Audens y miembro de la Junta Directiva de ENATIC, explica que “la clave del fallo está en la propia resolución en su página tercera, segundo párrafo”.
A este respecto, señala que “lo que dice la Ley de Propiedad Horizontal cuando hay una deuda es que si le mandas una notificación al dueño del piso y no la recoge puedes publicar la deuda en el tablón de la comunidad. Pero en este caso hablamos de una obra. Es el único caso donde puedes publicar en el tablón. Pasado unos días se entiende notificada y puedes reclamar por otro día”.
Este experto en privacidad, explica a Confilegal que los dos temas que más problemas generan a las comunidades de propietarios en materia de privacidad tienen que ver con el colgar deudas en el tablón de anuncio y el uso de cámaras de seguridad como vigilancia.
En este caso cree que “han utilizado el método del tablón de forma directa sin utilizar primero una carta certificada. Colgaron los datos de todos los participantes en la reunión y no solo de aquellos que no pudieron notificar. Y al mismo tiempo, colgaron cosas que no son deudas, obras ilegales que la comunidad quiere demandar a los propietarios”.
Para este experto en privacidad, “ el problema aquí es triple, no son deudas, no se ha notificado por otro canal y además se han colgado de todo el mundo. De ahí que la sanción sea tan elevada”.
Este jurista señala que “la sanción es por vulnerar el deber de secreto o de confidencialidad. No se pueden publicar los datos personales en un lugar abierto como aquí ha sucedido. Esto no está permitido. Y en este caso la AEPD actúa en consecuencia”.
Núñez recuerda que la propia AEPD, como regulador de protección de datos tiene en la web una serie de preguntas sobre este colectivo de comunidades de propietarios con recomendaciones a seguir en materia de privacidad.
Lo que se puede extrapolar es que las “comunidades de propietarios deben ser cuidadosas para colgar datos en los tablones. La norma solo lo permite para determinadas cuestiones”.
Al mismo tiempo, en este asunto, “la comunidad de propietarios interpuso un recurso de reposición frente a la resolución, que la AEPD no admitió por estar fuera de plazo. Ese recurso es potestativo, se puede interponer a la hora de ir a los tribunales de justicia, aunque por lo que sabemos es posible que se le haya pasado el plazo”.
En cuanto al pago es previsible que se haga una derrama entre todos los vecinos para afrontar estas 15.000 que la AEPD impone a la citada comunidad de propietarios. “Normalmente la AEPD apercibía o ponía sanciones bajas, pero en este caso el asunto es grave y no presentaron ningún tipo de apelación”.