Difusión innecesaria de datos en comunidad de propietarios
Una persona presentó dos reclamaciones ante la AEPD contra una comunidad de propietarios por haber difundido datos personales sin anonimizar en dos ocasiones distintas. En la primera, la administradora de la comunidad remitió a los propietarios una sentencia judicial en la que la comunidad era parte demandada, sin eliminar los nombres y apellidos de varios vecinos. En la segunda, envió por correo electrónico un escrito firmado por 17 comuneros, en el que se cuestionaban aspectos del acta de una asamblea general. En dicho documento figuraban datos personales como nombre, apellidos, NIF, portal, piso, letra, garaje y firma manuscrita de los firmantes.
La administradora reconoció haber realizado ambos envíos. Justificó su actuación en que los documentos se referían a asuntos de interés general para la comunidad, por lo que consideró necesario que todos los propietarios tuvieran conocimiento de ellos. Argumentó que la base jurídica para dichos tratamientos era el cumplimiento de las obligaciones impuestas por la Ley de Propiedad Horizontal. Además, informó a la AEPD que, tras recibir la reclamación, había contratado los servicios de una consultora externa especializada en protección de datos.
La AEPD estimó que la comunidad actuó como responsable del tratamiento y su administradora como encargada. Consideró que, aunque existía una base jurídica para la comunicación de los documentos a los comuneros, se vulneró el principio de minimización de datos. En concreto, valoró que incluir datos como el NIF y la firma manuscrita de los firmantes del escrito no era necesario para la finalidad de informar sobre el contenido del documento. Por tanto, el tratamiento de dichos datos excedió lo necesario y supuso una infracción del artículo 5.1.c) del RGPD.
La conducta fue calificada como una infracción muy grave conforme al artículo 72.1 de la LOPDGDD, tipificada en el artículo 83.5 del RGPD. Se valoraron distintas circunstancias para determinar la cuantía de la sanción, incluyendo la naturaleza y alcance de la infracción, el número de personas afectadas y la cooperación de la comunidad con la AEPD.
La AEPD impuso inicialmente una multa de 1.000 euros a la comunidad. No obstante, la parte reclamada se acogió al pago voluntario y al reconocimiento de responsabilidad dentro del plazo legal, lo que dio lugar a una reducción acumulada del 40 %, quedando la sanción final en 600 euros. Además, se ordenó a la comunidad adoptar, en el plazo de tres meses, medidas técnicas y organizativas que eviten la inclusión innecesaria de datos personales en futuras comunicaciones, como la anonimización de los documentos compartidos entre los comuneros.
En definitiva, aun que se disponga de base legitimadora para una comunicación de datos es muy importante comunicar solo los datos mínimos imprescindibles.