Resolución de la Agencia Española de Protección de Datos PS-00392-2021 de 01 de diciembre de 2021

Cuestión

1 / 7

Procedimiento N.º: PS/00392/2021

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : En fecha 27 de octubre de 2020, D. A.A.A. (en adelante, la parte...

Contestacion

1/7

? Procedimiento N.º: PS/00392/2021

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: En fecha 27 de octubre de 2020, D. A.A.A. (en adelante, la parte

reclamante) interpuso reclamación ante la Agencia Española de Protección de Datos.

La reclamación se dirige contra COMUNIDAD DE PROPIETARIOS R.R.R., con NIF

***NIF.1 (en adelante, la parte reclamada).

El reclamante denuncia que, en fecha 11 de julio de 2020, el presidente de la

comunidad de propietarios a la que pertenece ha publicado en un grupo de WhatsApp

en el que están incluidos todos los copropietarios, un escrito de solicitud de copia de

documentación y la autorización a una abogada para que represente al reclamante en

las gestiones relativas a la comunidad y para que pueda acceder a las actas y cuentas

de esta, en nombre del reclamante. En dicha autorización constan los datos

personales del reclamante (nombre, apellidos, dirección postal, nº de DNI) y fotocopia

de su DNI por ambas caras. Se denuncia la vulneración del principio de

confidencialidad.

Aporta la conversación de WhatsApp de la Comunidad de Propietarios Monistrol 34 y

el documento de autorización con los datos del reclamante.

SEGUNDO : De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales

(en adelante LOPDGDD), se dio traslado de dicha reclamación al reclamado, para que

procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las

acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de

protección de datos.

No consta en esta Agencia contestación al traslado de la reclamación.

TERCERO: En fecha 8 de abril de 2021, de conformidad con el artículo 65 de la

LOPDGDD, la Directora de la Agencia Española de Protección de Datos acordó

admitir a trámite la reclamación presentada por el reclamante contra el reclamado.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos en

cuestión, en virtud de los poderes de investigación otorgados a las autoridades de

control en el artículo 57.1 del Reglamento (UE) 2016/679 (Reglamento General de

Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el

Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los

siguientes extremos:

En fecha 22 de abril de 2021 se requirió por la inspección de datos, mediante

notificación postal, al reclamado la siguiente información y documentación:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/7

1. En su caso, copia de la documentación que pudiera acreditar la licitud para la

realización del tratamiento denunciado.

2. En el supuesto de ejercicio de los derechos regulados en los artículos 15 a 22

del RGPD, acreditación de la respuesta facilitada al reclamante.

3. En su caso, informe sobre las medidas adoptadas para evitar que se

produzcan incidencias similares.

4. Cualquier otra información o documentación que considere relevante

En fecha 31 de mayo de 2021 tiene entrada un escrito de respuesta al requerimiento

en el aportan los siguientes documentos:

- Copia del escrito enviado por el reclamante a la Comunidad de Propietarios de

solicitud de copia de documentación y la autorización a una abogada para que

represente al reclamante en las gestiones relativas a la comunidad y para que

pueda acceder a las actas y cuentas de esta en nombre del reclamante, en el

que consta el nombre y apellidos, número de DNI y domicilio del reclamante.

También acompaña al documento fotocopia del DNI del reclamante por ambas

caras.

- Copia del Decreto-ley 10/2020, de 27 de marzo, por el que se establecen

nuevas medidas extraordinarias para hacer frente al impacto sanitario,

económico y social del COVID-19 del presidente De La Generalidad de

Cataluña. El capítulo IV adopta diversas soluciones en el ámbito de las

personas jurídicas de derecho privado sujetas a las disposiciones del derecho

civil catalán, incluidas las sociedades cooperativas, y en las juntas de

propietarios en las comunidades sujetas al régimen de propiedad horizontal

durante la vigencia del estado de alarma. Así, se dispone la ampliación de los

plazos legalmente previstos para la reunión de los órganos de estas entidades

y la posibilidad de aplazar o modificar las reuniones convocadas con

anterioridad a la declaración del estado de alarma. Asimismo, se admite la

celebración de reuniones y la adopción de acuerdos por medio de

videoconferencia o de otros medios de comunicación y también la adopción de

acuerdos sin reuniones, de acuerdo con los requisitos previstos por el Código

civil de Cataluña y aunque los estatutos no lo prevean. Finalmente, se dispone

la ampliación de plazos para elaborar, aprobar y presentar cuentas anuales y

otros documentos exigibles legalmente.

- Tres impresiones de pantalla de las que se desprende que son relativas a la

conversación del grupo de WhatsApp de la COMUNIDAD DE PROPIETARIOS R.R.R..

Consta en dichos pantallazos lo siguiente:

o Mensaje informando de que han incluido en el grupo a la representante del propietario

2º 2ª (vivienda del reclamante).

o Imagen del escrito enviado por el reclamante a la Comunidad de Propietarios de

solicitud de copia de documentación y la autorización a una abogada para que le

represente. Solo se ha compartido la imagen del texto, que incluye nombre y apellidos,

DNI y domicilio del reclamante. NO consta la imagen del DNI.

o Mensaje del día 12 de julio de 2020 solicitando a todos los vecinos que borren los

documentos enviados el día anterior (11 de julio), indicando que no tenía constancia

de que no se podía enviar.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/7

QUINTO: En fecha 12 de agosto de 2021, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por

presunta infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del

RGPD.

SEXTO: Notificado el citado acuerdo de inicio y no habiendo presentado alegaciones,

a tenor de lo dispuesto en el artículo 64.2.f) de la Ley 39/2015, de 1 de octubre, del

Procedimiento Administrativo Común de las Administraciones Públicas, el acuerdo de

inicio puede ser considerado propuesta de resolución. En consecuencia, esta Agencia

procede a dictar Resolución

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS

PRIMERO: En fecha 11 de julio de 2020, a través del grupo de WhatsApp ?Comunidad

de Propietarios c/ Monistrol nº 34?, se difunden sin su consentimiento los datos

personales del reclamante a través de un archivo adjunto en el que constan sus datos

personales, tales como DNI y dirección, fotocopia integra del DNI (anverso y reverso),

donde consta su foto, nombre de los padres, número DNI, firma y la dirección de otra

propiedad del reclamante.

SEGUNDO: Se aporta pantallazo de diálogo de WhatsApp:

(9265Chat_de_WhatsApp_con_Com._vecinos_Monistrol_34 (1)) donde en el mensaje

de fecha 11/7/20, se indica que se añade a la abogada y anexa un documento de

nombre COMUNICADO DIRECCION CONTACTO REUNIONES .pdf.

Y añade en otro mensaje:

?Acabo de añadir a la Sra. Mireia que como indica en el comunicado que me hizo

llegar a partir de ahora será la persona representante del domicilio 2a y por lo tanto

será ella quien acudirá a las reuniones de vecinos. Como veis en el requerimiento se

le solicita a la comunidad la entrega de los movimientos bancarios, juntamente con las

actas de la comunidad. Ayer viernes le entregue a la Sra. Mireia toda la

documentación solicitada en el requerimiento y actualmente el libro de actas lo tiene

en su despacho para realizar las fotocopias de las actas de los últimos 5 años. A

continuación, paso fotografía de la carta conforme el libro de actas está en su

despacho y que lo pasaré a recoger a principios de la semana próxima.?

El reclamante aporta un documento cuyo nombre coincide con el anexado en el

diálogo de WhatsApp:

3131COMUNICADO_DIRECCION_CONTACTO_REUNIONES_.pdf

Este documento contiene: la autorización del reclamante a la abogada, con los datos

personales de ambos, y la copia por ambas partes del DNI del reclamante.

TERCERO: El día 12/72020, se publica en el mismo chat un mensaje solicitando el

borrado del documento en cuestión, asumiendo que no se debería haber enviado.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/7

FUNDAMENTOS DE DERECHO

PRIMERO: En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada

autoridad de control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la

Directora de la Agencia Española de Protección de Datos es competente para resolver

este procedimiento.

SEGUNDO: El artículo 5.1.f) del RGPD, Principios relativos al tratamiento, señala lo

siguiente:

?1. Los datos personales serán:

(?)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos

personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra

su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas

u organizativas apropiadas («integridad y confidencialidad»)?.

El artículo 5 de la LOPDGDD, Deber de confidencialidad, señala lo siguiente:

?1. Los responsables y encargados del tratamiento de datos, así como todas las

personas que intervengan en cualquier fase de este estarán sujetas al deber de

confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.

2. La obligación general señalada en el apartado anterior será complementaria de los

deberes de secreto profesional de conformidad con su normativa aplicable.

3.Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando

hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento?.

TERCERO: De conformidad con los hechos probados se considera que la parte

reclamada vulneró el artículo 5 del RGPD, principios relativos al tratamiento, en

relación con el artículo 5 de la LOPGDD, deber de confidencialidad.

Este deber de confidencialidad, debe entenderse que tiene como finalidad evitar que

se realicen filtraciones de los datos, no consentidas por los titulares de estos.

Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al

responsable y encargado del tratamiento, sino a todo aquel que intervenga en

cualquier fase del tratamiento y complementaria del deber de secreto profesional.

En el presente caso, se ha constatado la difusión por parte del reclamado, a través del

grupo de WhatsApp Comunidad de Propietarios, de los datos personales del

reclamante a través de un archivo adjunto que contenía DNI, fotocopia integra del DNI,

donde consta su foto, nombre de los padres, número DNI, firma manuscrita y la

dirección de otro domicilio del reclamante distinto del relativo a la Comunidad de

propietarios referenciada.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/7

Los hechos conocidos son constitutivos de infracción, imputable a la parte reclamada,

por vulneración del artículo 5.1.f) del RGPD, que regula los principios de integridad y

confidencialidad de los datos personales, así como la responsabilidad proactiva del

responsable del tratamiento de demostrar su cumplimiento.

CUARTO: El artículo 83.5 del RGPD dispone lo siguiente:

?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento

a tenor de los artículos 5, 6, 7 y 9;?

Por su parte, el artículo 71 de la LOPDGDD, bajo la rúbrica ?Infracciones? determina lo

siguiente: Constituyen infracciones los actos y conductas a las que se refieren los

apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que

resulten contrarias a la presente ley orgánica.

Establece el artículo 72 de la LOPDGDD, bajo la rúbrica de infracciones consideradas

muy graves, lo siguiente: ?1. En función de lo que establece el artículo 83.5 del

Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años

las infracciones que supongan una vulneración sustancial de los artículos

mencionados en aquel y, en particular, las siguientes:

(?)

i) La vulneración del deber de confidencialidad establecido en el artículo 5 de

esta ley orgánica.?

En el presente caso, concurren las circunstancias infractoras previstas en el artículo

83.5 del RGPD.

QUINTO: Sin perjuicio de lo establecido en el artículo 83.5, apartados a) y b), del

RGPD, en su art. 58.2 b) dispone la posibilidad de dirigir un apercibimiento, en relación

con lo señalado en el Considerando 148:

"En caso de infracción leve, o si la multa que probablemente se impusiera

constituyese una carga desproporcionada para una persona física, en lugar de

sanción mediante multa puede imponerse un apercibimiento. Debe no obstante

prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su

carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos,

al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en

que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento

de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de

conducta y a cualquier otra circunstancia agravante o atenuante."

En el presente caso, atendiendo a la diligencia llevada a cabo por la entidad

investigada en lo referente a solicitar que se borre el documento enviado al grupo de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/7

WhatsApp, permite considerar una disminución de la culpa en los hechos, por lo que

se considera conforme a Derecho, no imponer sanción consistente en multa

administrativa y sustituirla por un apercibimiento, de conformidad con el artículo 76.3

de la LOPDGDD en relación con el articulo 58.2 b) del RGPD.

Asimismo, de acuerdo con lo establecido en el citado artículo 58.2.d) del RGPD, en la

resolución se requiere a la reclamada, como responsable del tratamiento, que las

operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento,

de una determinada manera y dentro de un plazo especificado.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la

Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DIRIGIR a COMUNIDAD DE PROPIETARIOS R.R.R., con NIF ***NIF.1,

por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD,

un apercibimiento.

SEGUNDO: ORDENAR a COMUNIDAD DE PROPIETARIOS R.R.R., con NIF

***NIF.1, la adopción, antes de tres meses, de las medidas necesarias para adecuar a

la normativa de protección de datos personales, las operaciones de tratamiento que

realiza.

TERCERO: NOTIFICAR la presente resolución a COMUNIDAD DE PROPIETARIOS

R.R.R..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contencioso-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/7

administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-131120

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es