Resolución de la Agencia Española de Protección de Datos PS-00224-2020 de 27 de noviembre de 2020

Cuestión

1 / 7

Procedimiento Nº: PS/00224/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Dña. A.A.A. (en adelante, el reclamante) con fecha 23/01/2020 interpuso...

Contestacion

1/7

? Procedimiento Nº: PS/00224/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Dña. A.A.A. (en adelante, el reclamante) con fecha 23/01/2020 interpuso

reclamación ante la Agencia Española de Protección de Datos. La reclamación se

dirige contra COMUNIDAD DE PROPIETARIOS R.R.R. con NIF ***NIF.1 (en adelante,

el reclamado). Los motivos en que basa la reclamación son, en síntesis: que de forma

sistemática se está se está publicando en el tablón de anuncios, ubicado en el hall de

entrada y salida de cada bloque de viviendas, la relación de vecinos deudores,

identificados por piso y letra, lo que permite que dicha información sea conocida por

terceros.

SEGUNDO: Tras la recepción de la reclamación, la Subdirección General de

Inspección de Datos procedió a realizar las siguientes actuaciones:

El 09/03/2020, fue trasladada al reclamado la reclamación presentada para su análisis

y comunicación a la reclamante de la decisión adoptada al respecto. Igualmente, se le

requería para que en el plazo de un mes remitiera a la Agencia determinada

información:

- Copia de las comunicaciones, de la decisión adoptada que haya remitido al

reclamante a propósito del traslado de esta reclamación, y acreditación de que

el reclamante ha recibido la comunicación de esa decisión.

- Informe sobre las causas que han motivado la incidencia que ha originado la

reclamación.

- Informe sobre las medidas adoptadas para evitar que se produzcan

incidencias similares.

- Cualquier otra que considere relevante.

El 12/06/2020 el Administrador del reclamado presentó escrito de respuesta al

requerimiento enviado por la AEPD señalando: que actúa como mero encargado del

tratamiento, siguiendo las instrucciones de la Comunidad de Propietarios, y que los

escritos objeto de queja llevan el membrete de la misma y se publican en su tablón de

anuncios; que el motivo de la publicación se lleva a cabo en ejecución de acuerdos de

junta adoptados por la comunidad de propietarios, no habiendo sido objeto de

impugnación judicial por ningún vecino; que según criterios de la AEPD nos

encontraríamos ante un supuesto de cesión de datos con consentimiento previo de los

interesados.

TERCERO: El 02/07/2020, de conformidad con el artículo 65 de la LOPDGDD, la

Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la

reclamación presentada por el reclamante contra el reclamado.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/7

CUARTO: Con fecha 15/10/2020, la Directora de la Agencia Española de Protección

de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta

infracción del artículo 5.1.f) del RGPD, sancionada conforme a lo dispuesto en el

artículo 83.5.a) del citado RGPD.

QUINTO: Notificado el acuerdo de inicio, el reclamado al tiempo de la presente

resolución no ha presentado escrito de alegaciones, por lo que es de aplicación lo

señalado en el artículo 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento

Administrativo Común de las Administraciones Públicas, que en su apartado f)

establece que en caso de no efectuar alegaciones en el plazo previsto sobre el

contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de

resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad

imputada, por lo que se procede a dictar Resolución.

SEXTO: De las actuaciones practicadas en el presente procedimiento, han quedado

acreditados los siguientes:

HECHOS PROBADOS

PRIMERO: El 23/01/2020 tiene entrada en la AEPD escrito de la reclamante

manifestando que el reclamado, sistemática y mensualmente la relación de vecinos

morosos en el tablón de anuncios, situado en el hall de entrada y salida de cada

bloque de viviendas, considerando que tal practica vulnera la normativa de protección

de datos al exponer la lista de vecinos deudores a la vista de terceros.

SEGUNDO: Consta aportada fotografía del tablón de anuncios ubicado en el hall de

entrada y salida, así como de los estados de cuentas agosto y octubre, donde figura la

relación de vecinos deudores, identificados por piso y letra.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada

autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD,

la Directora de la Agencia Española de Protección de Datos es competente para iniciar

y para resolver este procedimiento.

II

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas, en su artículo 64 ?Acuerdo de iniciación en los

procedimientos de naturaleza sancionadora?, dispone:

?1. El acuerdo de iniciación se comunicará al instructor del procedimiento, con

traslado de cuantas actuaciones existan al respecto, y se notificará a los interesados,

entendiendo en todo caso por tal al inculpado.

Asimismo, la incoación se comunicará al denunciante cuando las normas

reguladoras del procedimiento así lo prevean.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/7

2. El acuerdo de iniciación deberá contener al menos:

a) Identificación de la persona o personas presuntamente responsables.

b) Los hechos que motivan la incoación del procedimiento, su posible

calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que

resulte de la instrucción.

c) Identificación del instructor y, en su caso, Secretario del procedimiento, con

expresa indicación del régimen de recusación de los mismos.

d) Órgano competente para la resolución del procedimiento y norma que le

atribuya tal competencia, indicando la posibilidad de que el presunto

responsable pueda reconocer voluntariamente su responsabilidad, con los

efectos previstos en el artículo 85.

e) Medidas de carácter provisional que se hayan acordado por el órgano

competente para iniciar el procedimiento sancionador, sin perjuicio de las que

se puedan adoptar durante el mismo de conformidad con el artículo 56.

f) Indicación del derecho a formular alegaciones y a la audiencia en el

procedimiento y de los plazos para su ejercicio, así como indicación de que, en

caso de no efectuar alegaciones en el plazo previsto sobre el contenido del

acuerdo de iniciación, éste podrá ser considerado propuesta de resolución

cuando contenga un pronunciamiento preciso acerca de la responsabilidad

imputada.

3. Excepcionalmente, cuando en el momento de dictar el acuerdo de iniciación

no existan elementos suficientes para la calificación inicial de los hechos que motivan

la incoación del procedimiento, la citada calificación podrá realizarse en una fase

posterior mediante la elaboración de un Pliego de cargos, que deberá ser notificado a

los interesados?.

En aplicación del anterior precepto y teniendo en cuenta que no se han

formulado alegaciones al acuerdo de inicio, procede resolver el procedimiento iniciado.

III

Los hechos denunciados se materializan en la inserción en los tablones de

anuncios ubicados en el hall de entrada y salida de cada bloque de viviendas de la

Comunidad de Propietarios del listado conteniendo los datos de carácter personal de

aquellos propietarios deudores identificados por piso y letra vulnerando el deber de

confidencialidad.

Dicho tratamiento podría ser constitutivo de una infracción del artículo 5,

Principios relativos al tratamiento, del RGPD que establece que:

?1. Los datos personales serán:

(?)

f) tratados de tal manera que se garantice una seguridad adecuada de los

datos personales, incluida la protección contra el tratamiento no autorizado o

ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/7

de medidas técnicas u organizativas apropiadas («integridad y

confidencialidad»).

(?)?

El artículo 5, Deber de confidencialidad, de la nueva Ley Orgánica 3/2018, de 5

de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

(en lo sucesivo LOPDGDD), señala que:

?1. Los responsables y encargados del tratamiento de datos así como todas las

personas que intervengan en cualquier fase de este estarán sujetas al deber de

confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.

2. La obligación general señalada en el apartado anterior será complementaria

de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán

aun cuando hubiese finalizado la relación del obligado con el responsable o encargado

del tratamiento?.

IV

Los hechos acreditados ponen de manifiesto la revelación de datos de carácter

personal, lo que supondría la posible vulneración del deber de confidencialidad, con

anterioridad deber de guardar secreto, en el tratamiento de los datos de carácter

personal al publicar en los tablones de anuncios de la Comunidad de Propietarios el

listado de vecinos deudores; es cierto que para que la publicación en el tablón de

anuncios comunitario sea conforme a la ley tiene que haberse intentado la notificación

previa a los propietarios deudores en el lugar designado a efectos de notificaciones,

aportando burofax con el que pretendieron comunicar la deuda a los deudores.

Además, hay que señalar que la ubicación de los tablones de anuncios, que

según la reclamante se encuentran colocados en el hall de entrada y salida de cada

bloque de viviendas, permite que dicha información sea revelada y pueda ser conocido

no sólo por los propietarios sino por cualquier tercero que acceda a cada uno de los

bloques.

Por tanto, la publicación en el citado elemento comunitario y en las condiciones

expuestas constituye una vulneración del deber de confidencialidad cuyo responsable

es la comunidad de propietarios.

Hay que señalar que los administradores de fincas, encargados del tratamiento,

realizan tratamientos de datos de carácter personal actuando por cuenta de las

comunidades de propietarios, quienes ostentan la condición de responsable del

tratamiento.

De la misma forma, las comunidades de propietarios respecto del tratamiento

de datos de los comuneros se encuentran legitimados, a los efectos de las causas que

recoge el RGPD, en el cumplimiento de una obligación legal en consonancia con el

articulado de la Ley de Propiedad Horizontal (LPH).

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/7

La Ley de Propiedad Horizontal, en su artículo 16.2 prevé que "la convocatoria

de la Junta contenga la relación de vecinos morosos que estén privados del voto",

siendo una buena práctica la notificación de la convocatoria individual por correo, la

inclusión en cajetín, o mediante intranet con clave y contraseña, evitándose cualquier

medio que pueda suponer el acceso por terceros (Internet).

No obstante, la difusión de la lista de un vecino deudor podrá publicarse

únicamente en el supuesto recogido en el artículo 9 de la Ley de Propiedad Horizontal

apartado h) párrafo segundo, "Si intentada una citación o notificación al propietario

fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá

realizada mediante la colocación de la comunicación correspondiente en el tablón de

anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto."

Para proceder de esta forma deberán acreditarse los intentos de notificación.

En el presente caso, los hechos expuestos ponen de manifiesto la vulneración

del deber de confidencialidad en el tratamiento de los datos de carácter personal al

publicar en los tablones de anuncios de cada uno de los portales del reclamado y en

lugar visible el listado de propietarios deudores de la comunidad; es cierto que para

que la publicación en el tablón de anuncios comunitario sea conforme a la ley tiene

que haberse intentado la notificación previa a los propietarios deudores en el lugar

designado a efectos de notificaciones, aportándose en este caso el burofax con el que

se pretendió comunicar la deuda al reclamante; por tanto, la información publicada en

el tablón y expuesta al público no se ajusta a los requisitos señalados en la LPH.

Por tanto, la publicación en el citado elemento comunitario cuyo cierre está bajo

el control de los órganos de gobierno de la comunidad de propietarios, en las

condiciones expuestas, constituye una vulneración del deber de confidencialidad y

cuyo responsable se identifica en el presente caso con el reclamado, toda vez que es

quien decide sobre la finalidad, contenido y uso de los datos de los diferentes

propietarios que la conforman y quien debe controlar el uso que se realiza de los

elementos comunitarios.

V

Por otra parte, el artículo 83.5 a) del RGPD, considera que la infracción de ?los

principios básicos para el tratamiento, incluidas las condiciones para el consentimiento

a tenor de los artículos 5, 6, 7 y 9? es sancionable, de acuerdo con el apartado 5 del

mencionado artículo 83 del citado RGPD, ?con multas administrativas de 20.000.000?

como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como

máximo del volumen de negocio total anual global del ejercicio financiero anterior,

optándose por la de mayor cuantía?.

Asimismo, la LOPDGDD considera a efectos de prescripción en su artículo 72:

?Infracciones consideradas muy graves:

1. En función de lo que establece el artículo 83.5 del Reglamento (UE)

2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que

supongan una vulneración sustancial de los artículos mencionados en aquel y, en

particular, las siguientes:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/7

a) El tratamiento de datos personales vulnerando los principios y garantías

establecidos en el artículo 5 del Reglamento (UE) 2016/679.

(?)

No obstante, el artículo 58.2 del RGPD dispone lo siguiente: ?Cada autoridad

de control dispondrá de todos los siguientes poderes correctivos indicados a

continuación:

(?)

b) sancionar a todo responsable o encargado del tratamiento con

apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en

el presente Reglamento;

(?)

Por tanto, el RGPD, sin perjuicio de lo establecido en su artículo 83, contempla

en su artículo 58.2 b) la posibilidad de acudir al apercibimiento para corregir los

tratamientos de datos personales que no se adecúen a sus previsiones. Además, no

consta que el reclamado haya sido sancionado con anterioridad.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,

La Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la COMUNIDAD DE PROPIETARIOS R.R.R., con NIF

***NIF.1, por una infracción del Artículo 5.1.f) del RGPD, tipificada en el artículo 83.5.a)

del RGPD, una sanción de apercibimiento.

SEGUNDO: REQUERIR a la COMUNIDAD DE PROPIETARIOS R.R.R., para que en

el plazo de un mes desde la notificación de esta resolución, acredite: la adopción de

las medidas necesarias y pertinentes de conformidad con la normativa en materia de

protección de datos de carácter personal, a fin de evitar que en el futuro vuelvan a

producirse incidencias como las que han dado lugar a la reclamación, adecuándose a

las exigencias contempladas en el artículo 5.1.f) del RGPD.

TERCERO: NOTIFICAR la presente resolución a COMUNIDAD DE PROPIETARIOS

R.R.R..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la

presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art.

48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la

LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición

ante la Directora de la Agencia Española de Protección de Datos en el plazo de un

mes a contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/7

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la

LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa

si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este

hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,

presentándolo a través del Registro Electrónico de la Agencia

[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes

registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También

deberá trasladar a la Agencia la documentación que acredite la interposición efectiva

del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la

interposición del recurso contencioso-administrativo en el plazo de dos meses desde el

día siguiente a la notificación de la presente resolución, daría por finalizada la

suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es