Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00224-2020 de 27 de noviembre de 2020
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 27/11/2020
Num. Resolución: PS-00224-2020
Cuestión
Sector:1 / 7
Procedimiento Nº: PS/00224/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Dña. A.A.A. (en adelante, el reclamante) con fecha 23/01/2020 interpuso...
Contestacion
1/7
? Procedimiento Nº: PS/00224/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Dña. A.A.A. (en adelante, el reclamante) con fecha 23/01/2020 interpuso
reclamación ante la Agencia Española de Protección de Datos. La reclamación se
dirige contra COMUNIDAD DE PROPIETARIOS R.R.R. con NIF ***NIF.1 (en adelante,
el reclamado). Los motivos en que basa la reclamación son, en síntesis: que de forma
sistemática se está se está publicando en el tablón de anuncios, ubicado en el hall de
entrada y salida de cada bloque de viviendas, la relación de vecinos deudores,
identificados por piso y letra, lo que permite que dicha información sea conocida por
terceros.
SEGUNDO: Tras la recepción de la reclamación, la Subdirección General de
Inspección de Datos procedió a realizar las siguientes actuaciones:
El 09/03/2020, fue trasladada al reclamado la reclamación presentada para su análisis
y comunicación a la reclamante de la decisión adoptada al respecto. Igualmente, se le
requería para que en el plazo de un mes remitiera a la Agencia determinada
información:
- Copia de las comunicaciones, de la decisión adoptada que haya remitido al
reclamante a propósito del traslado de esta reclamación, y acreditación de que
el reclamante ha recibido la comunicación de esa decisión.
- Informe sobre las causas que han motivado la incidencia que ha originado la
reclamación.
- Informe sobre las medidas adoptadas para evitar que se produzcan
incidencias similares.
- Cualquier otra que considere relevante.
El 12/06/2020 el Administrador del reclamado presentó escrito de respuesta al
requerimiento enviado por la AEPD señalando: que actúa como mero encargado del
tratamiento, siguiendo las instrucciones de la Comunidad de Propietarios, y que los
escritos objeto de queja llevan el membrete de la misma y se publican en su tablón de
anuncios; que el motivo de la publicación se lleva a cabo en ejecución de acuerdos de
junta adoptados por la comunidad de propietarios, no habiendo sido objeto de
impugnación judicial por ningún vecino; que según criterios de la AEPD nos
encontraríamos ante un supuesto de cesión de datos con consentimiento previo de los
interesados.
TERCERO: El 02/07/2020, de conformidad con el artículo 65 de la LOPDGDD, la
Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la
reclamación presentada por el reclamante contra el reclamado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/7
CUARTO: Con fecha 15/10/2020, la Directora de la Agencia Española de Protección
de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta
infracción del artículo 5.1.f) del RGPD, sancionada conforme a lo dispuesto en el
artículo 83.5.a) del citado RGPD.
QUINTO: Notificado el acuerdo de inicio, el reclamado al tiempo de la presente
resolución no ha presentado escrito de alegaciones, por lo que es de aplicación lo
señalado en el artículo 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas, que en su apartado f)
establece que en caso de no efectuar alegaciones en el plazo previsto sobre el
contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de
resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad
imputada, por lo que se procede a dictar Resolución.
SEXTO: De las actuaciones practicadas en el presente procedimiento, han quedado
acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: El 23/01/2020 tiene entrada en la AEPD escrito de la reclamante
manifestando que el reclamado, sistemática y mensualmente la relación de vecinos
morosos en el tablón de anuncios, situado en el hall de entrada y salida de cada
bloque de viviendas, considerando que tal practica vulnera la normativa de protección
de datos al exponer la lista de vecinos deudores a la vista de terceros.
SEGUNDO: Consta aportada fotografía del tablón de anuncios ubicado en el hall de
entrada y salida, así como de los estados de cuentas agosto y octubre, donde figura la
relación de vecinos deudores, identificados por piso y letra.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada
autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD,
la Directora de la Agencia Española de Protección de Datos es competente para iniciar
y para resolver este procedimiento.
II
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas, en su artículo 64 ?Acuerdo de iniciación en los
procedimientos de naturaleza sancionadora?, dispone:
?1. El acuerdo de iniciación se comunicará al instructor del procedimiento, con
traslado de cuantas actuaciones existan al respecto, y se notificará a los interesados,
entendiendo en todo caso por tal al inculpado.
Asimismo, la incoación se comunicará al denunciante cuando las normas
reguladoras del procedimiento así lo prevean.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/7
2. El acuerdo de iniciación deberá contener al menos:
a) Identificación de la persona o personas presuntamente responsables.
b) Los hechos que motivan la incoación del procedimiento, su posible
calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que
resulte de la instrucción.
c) Identificación del instructor y, en su caso, Secretario del procedimiento, con
expresa indicación del régimen de recusación de los mismos.
d) Órgano competente para la resolución del procedimiento y norma que le
atribuya tal competencia, indicando la posibilidad de que el presunto
responsable pueda reconocer voluntariamente su responsabilidad, con los
efectos previstos en el artículo 85.
e) Medidas de carácter provisional que se hayan acordado por el órgano
competente para iniciar el procedimiento sancionador, sin perjuicio de las que
se puedan adoptar durante el mismo de conformidad con el artículo 56.
f) Indicación del derecho a formular alegaciones y a la audiencia en el
procedimiento y de los plazos para su ejercicio, así como indicación de que, en
caso de no efectuar alegaciones en el plazo previsto sobre el contenido del
acuerdo de iniciación, éste podrá ser considerado propuesta de resolución
cuando contenga un pronunciamiento preciso acerca de la responsabilidad
imputada.
3. Excepcionalmente, cuando en el momento de dictar el acuerdo de iniciación
no existan elementos suficientes para la calificación inicial de los hechos que motivan
la incoación del procedimiento, la citada calificación podrá realizarse en una fase
posterior mediante la elaboración de un Pliego de cargos, que deberá ser notificado a
los interesados?.
En aplicación del anterior precepto y teniendo en cuenta que no se han
formulado alegaciones al acuerdo de inicio, procede resolver el procedimiento iniciado.
III
Los hechos denunciados se materializan en la inserción en los tablones de
anuncios ubicados en el hall de entrada y salida de cada bloque de viviendas de la
Comunidad de Propietarios del listado conteniendo los datos de carácter personal de
aquellos propietarios deudores identificados por piso y letra vulnerando el deber de
confidencialidad.
Dicho tratamiento podría ser constitutivo de una infracción del artículo 5,
Principios relativos al tratamiento, del RGPD que establece que:
?1. Los datos personales serán:
(?)
f) tratados de tal manera que se garantice una seguridad adecuada de los
datos personales, incluida la protección contra el tratamiento no autorizado o
ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/7
de medidas técnicas u organizativas apropiadas («integridad y
confidencialidad»).
(?)?
El artículo 5, Deber de confidencialidad, de la nueva Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
(en lo sucesivo LOPDGDD), señala que:
?1. Los responsables y encargados del tratamiento de datos así como todas las
personas que intervengan en cualquier fase de este estarán sujetas al deber de
confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
2. La obligación general señalada en el apartado anterior será complementaria
de los deberes de secreto profesional de conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los apartados anteriores se mantendrán
aun cuando hubiese finalizado la relación del obligado con el responsable o encargado
del tratamiento?.
IV
Los hechos acreditados ponen de manifiesto la revelación de datos de carácter
personal, lo que supondría la posible vulneración del deber de confidencialidad, con
anterioridad deber de guardar secreto, en el tratamiento de los datos de carácter
personal al publicar en los tablones de anuncios de la Comunidad de Propietarios el
listado de vecinos deudores; es cierto que para que la publicación en el tablón de
anuncios comunitario sea conforme a la ley tiene que haberse intentado la notificación
previa a los propietarios deudores en el lugar designado a efectos de notificaciones,
aportando burofax con el que pretendieron comunicar la deuda a los deudores.
Además, hay que señalar que la ubicación de los tablones de anuncios, que
según la reclamante se encuentran colocados en el hall de entrada y salida de cada
bloque de viviendas, permite que dicha información sea revelada y pueda ser conocido
no sólo por los propietarios sino por cualquier tercero que acceda a cada uno de los
bloques.
Por tanto, la publicación en el citado elemento comunitario y en las condiciones
expuestas constituye una vulneración del deber de confidencialidad cuyo responsable
es la comunidad de propietarios.
Hay que señalar que los administradores de fincas, encargados del tratamiento,
realizan tratamientos de datos de carácter personal actuando por cuenta de las
comunidades de propietarios, quienes ostentan la condición de responsable del
tratamiento.
De la misma forma, las comunidades de propietarios respecto del tratamiento
de datos de los comuneros se encuentran legitimados, a los efectos de las causas que
recoge el RGPD, en el cumplimiento de una obligación legal en consonancia con el
articulado de la Ley de Propiedad Horizontal (LPH).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/7
La Ley de Propiedad Horizontal, en su artículo 16.2 prevé que "la convocatoria
de la Junta contenga la relación de vecinos morosos que estén privados del voto",
siendo una buena práctica la notificación de la convocatoria individual por correo, la
inclusión en cajetín, o mediante intranet con clave y contraseña, evitándose cualquier
medio que pueda suponer el acceso por terceros (Internet).
No obstante, la difusión de la lista de un vecino deudor podrá publicarse
únicamente en el supuesto recogido en el artículo 9 de la Ley de Propiedad Horizontal
apartado h) párrafo segundo, "Si intentada una citación o notificación al propietario
fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá
realizada mediante la colocación de la comunicación correspondiente en el tablón de
anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto."
Para proceder de esta forma deberán acreditarse los intentos de notificación.
En el presente caso, los hechos expuestos ponen de manifiesto la vulneración
del deber de confidencialidad en el tratamiento de los datos de carácter personal al
publicar en los tablones de anuncios de cada uno de los portales del reclamado y en
lugar visible el listado de propietarios deudores de la comunidad; es cierto que para
que la publicación en el tablón de anuncios comunitario sea conforme a la ley tiene
que haberse intentado la notificación previa a los propietarios deudores en el lugar
designado a efectos de notificaciones, aportándose en este caso el burofax con el que
se pretendió comunicar la deuda al reclamante; por tanto, la información publicada en
el tablón y expuesta al público no se ajusta a los requisitos señalados en la LPH.
Por tanto, la publicación en el citado elemento comunitario cuyo cierre está bajo
el control de los órganos de gobierno de la comunidad de propietarios, en las
condiciones expuestas, constituye una vulneración del deber de confidencialidad y
cuyo responsable se identifica en el presente caso con el reclamado, toda vez que es
quien decide sobre la finalidad, contenido y uso de los datos de los diferentes
propietarios que la conforman y quien debe controlar el uso que se realiza de los
elementos comunitarios.
V
Por otra parte, el artículo 83.5 a) del RGPD, considera que la infracción de ?los
principios básicos para el tratamiento, incluidas las condiciones para el consentimiento
a tenor de los artículos 5, 6, 7 y 9? es sancionable, de acuerdo con el apartado 5 del
mencionado artículo 83 del citado RGPD, ?con multas administrativas de 20.000.000?
como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como
máximo del volumen de negocio total anual global del ejercicio financiero anterior,
optándose por la de mayor cuantía?.
Asimismo, la LOPDGDD considera a efectos de prescripción en su artículo 72:
?Infracciones consideradas muy graves:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y, en
particular, las siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/7
a) El tratamiento de datos personales vulnerando los principios y garantías
establecidos en el artículo 5 del Reglamento (UE) 2016/679.
(?)
No obstante, el artículo 58.2 del RGPD dispone lo siguiente: ?Cada autoridad
de control dispondrá de todos los siguientes poderes correctivos indicados a
continuación:
(?)
b) sancionar a todo responsable o encargado del tratamiento con
apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en
el presente Reglamento;
(?)
Por tanto, el RGPD, sin perjuicio de lo establecido en su artículo 83, contempla
en su artículo 58.2 b) la posibilidad de acudir al apercibimiento para corregir los
tratamientos de datos personales que no se adecúen a sus previsiones. Además, no
consta que el reclamado haya sido sancionado con anterioridad.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la COMUNIDAD DE PROPIETARIOS R.R.R., con NIF
***NIF.1, por una infracción del Artículo 5.1.f) del RGPD, tipificada en el artículo 83.5.a)
del RGPD, una sanción de apercibimiento.
SEGUNDO: REQUERIR a la COMUNIDAD DE PROPIETARIOS R.R.R., para que en
el plazo de un mes desde la notificación de esta resolución, acredite: la adopción de
las medidas necesarias y pertinentes de conformidad con la normativa en materia de
protección de datos de carácter personal, a fin de evitar que en el futuro vuelvan a
producirse incidencias como las que han dado lugar a la reclamación, adecuándose a
las exigencias contempladas en el artículo 5.1.f) del RGPD.
TERCERO: NOTIFICAR la presente resolución a COMUNIDAD DE PROPIETARIOS
R.R.R..
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art.
48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la
LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición
ante la Directora de la Agencia Española de Protección de Datos en el plazo de un
mes a contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/7
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la
LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa
si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este
hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,
presentándolo a través del Registro Electrónico de la Agencia
[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes
registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el
día siguiente a la notificación de la presente resolución, daría por finalizada la
suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
LIBROS Y CURSOS RELACIONADOS
![Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)](https://d2eb79appvasri.cloudfront.net/erp-colex/imagenes/libros/resizedk8s_peque_2813.png)
Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
Dpto. Documentación Iberley
12.75€
3.19€
+ Información
![Código LOPD-GDD y RGPD](https://d2eb79appvasri.cloudfront.net/erp-colex/imagenes/libros/resizedk8s_peque_7712.jpg)
![Suscripción más de 250 formularios para PYMES](https://d2eb79appvasri.cloudfront.net/erp-colex/imagenes/libros/resizedk8s_peque_2922.png)
Suscripción más de 250 formularios para PYMES
Editorial Colex, S.L.
100.00€
95.00€
+ Información
![FLASH FORMATIVO | Protección de datos en comunidades de propietarios](https://d2eb79appvasri.cloudfront.net/erp-colex/imagenes/libros/resizedk8s_peque_6608.jpg)
FLASH FORMATIVO | Protección de datos en comunidades de propietarios
15.00€
0.00€
+ Información
![Tratado de protección de datos personales](https://d2eb79appvasri.cloudfront.net/erp-colex/imagenes/libros/resizedk8s_peque_5057.jpg)
Tratado de protección de datos personales
José Luis Domínguez Álvarez
29.75€
28.26€
+ Información