Comunicación indebida de vecinos demandantes en una comunidad de propietarios
Una comunidad de propietarios ha sido objeto de una investigación por parte de la AEPD, debido a un tratamiento indebido de datos personales. Una persona presentó dos reclamaciones señalando que la administradora de la comunidad de propietarios había reenviado comunicaciones que contenían datos personales de los vecinos sin la debida protección. En una de las ocasiones se remitió por correo electrónico una sentencia judicial en la que la comunidad de propietarios era parte demandada, incluyendo los nombres y apellidos de varios vecinos demandantes. En otra ocasión, la administradora distribuyó un documento firmado por casi una veintena propietarios cuestionando aspectos del acta de una asamblea general. Este documento contenía información personal detallada como nombres, apellidos, NIF, dirección, número de garaje y firmas manuscritas.
Aunque no se aportaron pruebas del primer envío (la sentencia), sí se confirmó la distribución del documento firmado por los vecinos. Se advirtió que la comunidad no había anonimizado ni reducido el alcance de los datos personales antes de enviarlos a todos los propietarios.
Tras recibir la reclamación, la AEPD la trasladó a la administradora de la comunidad, quien alegó que el tratamiento de datos era legítimo bajo el régimen jurídico de la Ley de Propiedad Horizontal, al considerar que los documentos enviados tenían un interés general para la gestión de la comunidad. Además, informó que habían contratado a una consultora para mejorar el cumplimiento de la normativa en materia de protección de datos.
La AEPD inició el procedimiento sancionador basándose en que el reclamado vulneró el principio de minimización de datos establecido en el RGPD, el cual requiere que los datos personales sean adecuados, pertinentes y limitados a lo necesario para los fines del tratamiento. Aunque la comunidad de propietarios argumentó que el tratamiento de datos estaba justificado para garantizar el correcto funcionamiento de la comunidad, se determinó que algunos datos incluidos en el documento enviado, como los NIF y las firmas manuscritas, no eran esenciales para los fines declarados.
La infracción fue calificada como grave conforme al artículo 83.5 del RGPD, que sanciona las violaciones de los principios básicos del tratamiento de datos con multas de hasta 20 millones de euros o el 4% del volumen de negocio anual, lo que resulte mayor. En este caso, la AEPD propuso inicialmente una multa de 1.000 euros, valorando factores como la naturaleza de la infracción, la cooperación del reclamado y la categoría de los datos afectados. El procedimiento contempló la posibilidad de aplicar reducciones al importe de la sanción, conforme al artículo 85 de la Ley 39/2015. Esto incluía una rebaja del 20% por reconocimiento de responsabilidad y otro 20% adicional por pago voluntario. El reclamado hizo uso de ambas reducciones, reduciendo el importe final de la multa a 600 euros.
Además de la multa, se impuso a la comunidad la obligación de implementar medidas adecuadas para evitar futuras infracciones. La AEPD requirió que, en un plazo de tres meses, el reclamado adoptara medidas técnicas y organizativas que garantizaran que los datos personales enviados a los propietarios se anonimizaran o excluyeran si no eran necesarios. Además, la resolución advirtió que el incumplimiento de estas medidas podría dar lugar a la apertura de un nuevo procedimiento sancionador.