Protección de Datos multa a una comunidad por colgar datos personales y deudas de los propietarios en un portal web

En la resolución consultada por este periódico, el propietario declaraba que la administración de fincas incluía en las actas vecinales que se repartían en los buzones de los residentes (propietarios o inquilinos) el usuario y contraseña para el acceso a un portal web propio de la comunidad de vecinos, donde aparecían datos de carácter personal de los propietarios: nombre, apellidos, portal de residencia, impagos, cuentas bancarias y «otros datos sensibles», además de documentos referidos a los comuneros y a la comunidad de propietarios. «Se podía acceder a una biblioteca de documentos descargables en los que se observaban las siguientes categorías: última actualización de cuentas, actas, área jurídica, certificados, circulares, consumos de gas, contratos, convocatorias, cuentas, división horizontal, incidencias, informes técnicos, nueva instalación de calefacción y ACS, obras, presupuestos, presupuestos de obras».

Además, el denunciante advirtió que dicha web no tenía certificado SSL (permite establecer conexiones seguras) y que el usuario y contraseña de la web no disponían de la seguridad adecuada, puesto que el mismo usuario y contraseña eran compartidos por todos los vecinos, «pudiendo la contraseña ser modificada por un solo vecino, privando de acceso al resto».

Tras informar a la comunidad, ésta negó que en la citada web hubiera documentos referidos a inmuebles privados, ni datos personales de los propietarios, «salvo los legalmente establecidos para la correcta gestión de las acciones de la comunidad de propietarios y previstos en

la Ley 49/60 de Propiedad Horizontal (LPH)». Tampoco que aparecieran cuentas bancarias, excepto la cuenta de la propia comunidad de propietarios, «pero no de los propietarios en sí (el envío de las convocatorias a las Juntas, así como sus notificaciones se realizan mediante el envío de la documentación a los buzones particulares de los inmuebles, y dirigidas al propietario, según el procedimiento previsto en el artículo 9.1.h), notificación que produce plenos efectos jurídicos, y que también pueden ser consultadas en el área de gestión documental de la comunidad», se excusaba el administrador de fincas del inmueble.

Igualmente, recordó que en las convocatorias a las juntas de propietarios informó de los inmuebles que siendo deudores no tienen derecho a voto, según establece el artículo 15.2 de la LPH: « Los propietarios que en el momento de iniciarse la junta no se encontrasen al corriente en el pago de todas las deudas vencidas con la comunidad, y no hubiesen impugnado judicialmente las mismas o procedido a la consignación judicial o notarial de la suma adeudada, podrán participar en sus deliberaciones si bien no tendrán derecho de voto. El acta de la Junta reflejará los propietarios privados del derecho de voto, cuya persona y cuota de participación en la comunidad no será computada a efectos de alcanzar las mayorías exigidas en esta Ley», reza la norma.

Durante la investigación abierta por la AEPD, pudo comprobar que el protocolo de transferencia de datos entre servidor y cliente utilizado en el portal web de la comunidad es el HTTP (HyperText Transfer Protocol), «un protocolo de transferencia que no cifra los datos durante la comunicación cliente-servidor». «Se observa, por tanto, que la página web carece de un protocolo HTTPS (HyperText Transfer Protocol Secure), que aporta una capa de seguridad adicional gracias al cifrado SSL/TLS (Secure Sockets Layer/Transmission Layer Security). El uso de este protocolo (HTTPS) requiere la instalación de certificados SSL emitidos por empresas o entidades certificadoras», advierten en su informe.

Además, con respecto a la utilización del mismo usuario y contraseña por todos los propietarios para acceder a la web, desde Protección de Datos creen que revela una «incorrecta política de contraseñas y credenciales» y que son constitutivos de una infracción por vulneración del artículo 32 del RGPD referido a la responsabilidad del encargado del tratamiento de datos en la toma de medidas para garantizar que se hace correctamente. En este caso particular, desde Protección de datos se instó a la comunidad a acreditar la adopción de las medidas para cumplir con lo dispuesto en la citada norma y en particular a la utilización de protocolos HTTPS (HyperText Transfer Protocol Secure), así como una adecuada implementación de políticas de gestión de usuarios y contraseñas.

Aun así, la Agencia Española de Protección de Datos acordó, además, imponer una sanción de 1.000 euros a la comunidad. No obstante, abonó finalmente 600 euros tras acogerse a dos reducciones, lo que implica el reconocimiento de su responsabilidad en los hechos.