La Agencia Española de Protección de Datos (AEPD) en el Procedimiento Sancionador nº 00378/2019, ha impuesto una sanción de 15.000 euros a una Comunidad de Propietarios por infracción de la normativa vigente en Protección de Datos, en concreto, del artículo 5.1 f) del Reglamento General de Protección de Datos (RGPD – UE 679/2016).
La reclamación ante la Autoridad de Control se basaba en la exposición pública del acta de la última Junta de la Comunidad, con datos personales de los propietarios asistentes y representados, en los ascensores del edificio. Además, en el documento se incluían los datos personales de algunos vecinos contra los que se acordaba el inicio de acciones judiciales por la realización de obras ilegales.
Ante la denuncia de tales hechos, la Comunidad de Propietarios se defendió alegando que se intentó notificar las actas a todos los vecinos por carta certificada, pero que no siempre tenían constancia de la entrega fehaciente de las mismas. Por otro lado, mencionaban que esta acta era especialmente importante porque se acordaba el inicio de acciones legales contra algunos vecinos por obras ilegales en el inmueble, siendo la publicación del acta en los ascensores la forma que encontraron de garantizar su conocimiento por todos los vecinos y de no causar indefensión a los demandados.
La resolución dictada por la AEPD señala que “la iniciación de acciones legales contra algunos vecinos por parte de la Comunidad no justifica la publicación del acta con los datos personales de todos los vecinos asistentes a la reunión, indicando nombre, apellidos, planta y puerta, ya que si lo que se quiere es comunicar de forma fehaciente el acuerdo adoptado en la Junta, la Comunidad debería utilizar un medio como burofax o carta certificada, que garantice la protección de datos personales de los afectados”.
La Ley de Propiedad Horizontal prevé la publicación del acta en el tablón de anuncios, siempre y cuando quede acreditado que ha sido imposible practicar la notificación en el domicilio señalado a tal efecto por los propietarios. En este caso, la Comunidad de Propietarios no solo no publicó el acta en el tablón de anuncios, sino que, como se desprende de la resolución sancionadora, tampoco consiguió acreditar la imposibilidad de practicar la notificación en el domicilio de cada propietario.
En cualquier caso, cuando se precisa dar publicidad a un acta de una Junta se puede (y se debe) optar por no incluir toda la información personal de los propietarios; es decir, podría seudonimizarse la información prescindiéndose del nombre y apellidos del propietario y reflejando, en su lugar, el piso que le corresponde.
La AEPD considera que la Comunidad de Propietarios ha vulnerado el artículo 5.1 f) del RGPD, relativo a los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento. La Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales clasifica como una infracción muy grave el incumplimiento del artículo 5 del RGPD, dado que se trata de principios y garantías básicas del Reglamento. El mencionado artículo establece que: “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.
Respecto a la sanción, la AEPD considera que concurren en este caso dos circunstancias agravantes: se trata de una acción negligente no intencional, pero significativa [art. 83.2 b) RGPD] y se encuentran afectados identificadores personales básicos [art. 83.2 g) RGPD].