20.000€ de multa a inmobiliaria por fotografiar buzones comunitarios

Durante una reunión en abril de 2023, una conocida inmobiliaria instó a sus empleados a fotografiar y grabar vídeos de los buzones de comunidades de propietarios. El objetivo: recopilar nombres, apellidos, direcciones y número de piso para crear una base de datos con clientes potenciales, sin contar con consentimiento ni informar a los afectados. 

Origen de la sanción

La Agencia Española de Protección de Datos (AEPD) abrió un procedimiento sancionador tras recibir la denuncia de un extrabajador que se negó a participar en estas prácticas ilegales. Tras su negativa, fue despedido. En su denuncia incluyó una grabación en la que su supervisora reconocía que aquello era “la única forma de hacer zona” pese a admitir su naturaleza ilegal. 

La AEPD concluyó que se había vulnerado el artículo 6.1 del RGPD (ausencia de legitimación legal para tratar datos) y el artículo 14 (falta de información a los interesados) por recopilar datos personales visibles en buzones sin informar ni recabar permiso. 

Detalles del tratamiento ilícito

1. Fotos y vídeos de buzones de portales.
2. Captura de datos como calle, número, piso y puerta.
3. Almacenamiento y tratamiento en base de datos para “gestión de zona” y futura comercialización.
   

La inmobiliaria afirmó ante la AEPD que la información procedía de un directorio público. Sin embargo, la Agencia demostró que este no incluía datos como el número de piso, presente en su registro interno. 

Sanción económica y medidas correctivas

• Multa total: 20 000 €, desglosada en 10 000 € por cada infracción (art. 6 y 14 del RGPD) La empresa reconoció los hechos y pagó anticipadamente, lo que redujo la sanción.
• Debe implementar medidas correctivas:
  
  • Eliminar los datos obtenidos ilícitamente.
  • Informar a los afectados conforme al RGPD.
  • Revisar y adaptar sus procesos internos de recogida y tratamiento de datos.
    

Lecciones para el sector inmobiliario

• Fotografiar buzones de comunidades para recopilar datos constituye un tratamiento de datos personales que requiere base legal, generalmente el consentimiento expreso de los afectados.
• Resulta fundamental cumplir con el principio de transparencia: informar a los interesados del tratamiento de sus datos, especialmente cuando no son obtenidos directamente de ellos (art. 14 RGPD).
• La responsabilidad no sólo recae en las personas, sino también en las empresas que implementan procesos irregulares, sin garantías ni control.
• Las denuncias internas juegan un papel clave: el trabajador que se opuso actuó como alertador y permitió sancionar prácticas ilícitas.
  

Buenas prácticas para inmobiliarias y profesionales del RGPD

• Implementar un protocolo claro y transparente para la obtención de datos personales: ¿para qué se recogen? ¿quién accede a ellos? ¿con qué base legal?
• Facilitar siempre un aviso informativo al interesado cuando los datos no se obtienen directamente de él.
• Establecer canales de comunicación internos para que empleados puedan reportar irregularidades sin sufrir represalias, garantizando su protección.
• Revisar frecuentemente los tratamientos de datos para asegurar que cumplen el RGPD y no representan riesgos legales ni reputacionales.
• Contar con un delegado de protección de datos (DPO) que supervise los procesos, especialmente en empresas que trato datos sensibles o a gran escala.

El caso en cuestión pone de manifiesto cómo prácticas aparentemente inocuas —como hacer fotos a los buzones— pueden derivar en sanciones significativas y daños reputacionales. La AEPD envía un mensaje claro: el cumplimiento normativo, la transparencia y el respeto a los derechos de los interesados no son opcionales.

cumplimiento y seguridad jurídica en tratamiento de datos personales

Para garantizar el correcto tratamiento de datos, recomendamos seguir una serie de pasos:

• Realizar una evaluación de impacto para identificar riesgos en el tratamiento.
• Incorporar un registro de actividades de tratamiento, según exige el art. 30 del RGPD.
• Garantizar siempre derechos como acceso, rectificación, supresión, oposición y portabilidad.
• Revisar que los proveedores o subcontratistas cumplan con sus obligaciones bajo el RGPD.
• Formar regularmente a todo el personal sobre protección de datos y buenas prácticas.

En MaserLegal contamos con amplia experiencia en asesoramiento en cumplimiento del RGPD, implementación de protocolos internos, formación a equipos y auditorías. Si deseas reforzar tus procedimientos o prevenir sanciones, estamos a tu disposición.